TeamViewer TensorのSingle Sign-On(シングルサインオン/ SSO)は、TeamViewer Tensorのリモートアクセスとそのサポートに関する企業ユーザーアカウントの構成を、IT部門がよりコントロールできるようにします。TeamViewer TensorのSingle Sign-Onは、企業のメールアドレスを持つユーザーのみにアクセスを制限することで、権限のないユーザーが企業のリモートアクセスプラットフォームを使用することを防ぐことができます。
- SSOアイデンティティサービスプロバイダを通じてパスワードコントロールを一元化することで、IT部門がパスワードを管理する必要がなくなり、パスワードリセットのリクエストを減らすことができます。
- 企業のパスワードポリシーと認証ルールを、権限を持つすべてのTeamViewer Tensorユーザーに自動的に適用します。
- TeamViewerを介した不正なバックドアアクセスを心配することなく、効率的に従業員をオフボーディングすることができます。
- 従業員がTeamViewer Tensorにログインする際、企業アプリケーションですでに使用している認証情報と同じSSOログイン情報を使用できるようにすることで、エンドユーザーエクスペリエンスを向上させます - 別のパスワードでTeamViewer Tensorにログインする必要はありません。
この記事は、エンタープライズ/ Tensor ライセンスをご購入されたお客様に適用されます。
必要事項
TeamViewer シングルサインオンを使用するには、以下が必要です。
- TeamViewerバージョン13.2.1080以上
- SAML 2.0互換のIDプロバイダ (IdP)*
- Management Consoleにアクセスし、ドメインを追加するTeamViewerアカウントがあること
- ドメインのDNS管理にアクセスでき、ドメインの所有権があること
- TeamViewer Tensor ライセンス
* 現在、Centrify、Okta、Azure、OneLogin、ADFS、および G Suite のみをサポートしていますが、将来的にはさらに多くの IdP をサポートするよう取り組んでいます。 上記の IdP はテスト済みであり、これらの IdP のいずれかをセットアップするための詳細な手順は、これらのドキュメントおよび SSO とそれぞれの IdP に関する他のリンク先ページに記載されています。
📌注意: 別のIdPを使用する場合は、技術情報を使用してIdPを手動で設定してください。
💡ヒント: シングルサインオン用のドメインを追加する場合は、所有アカウントを除外リストに追加することをお勧めします。この理由は、IdPが機能していない場合でも、ドメイン構成へのアクセスを維持するというフォールバックシナリオであるからです。
例:TeamViewerアカウント "admin@example.com"は、シングルサインオン用のドメイン "example.com"を追加します。ドメインを追加した後、除外リストにメールアドレス "admin@example.com"を追加する必要があります。 これは、構成の誤りによりシングル サインオンが機能しない場合でも、SSOの設定を変更するために必要です。
💡ヒント2:シングルサインオン用のドメインを追加する場合、SSOの所有権は社内で継承されないため、SSOドメインに所有者を追加することをお勧めします。
例:TeamViewerアカウント「admin@example.com」がシングルサインオン用のドメイン「example.com」を追加した後、ドメイン所有者として複数の会社管理者(「admin2@example.com」など)を追加します。ドメインとそのSSO設定を管理します。
シングルサインオン(SSO)は、このドメインのメールアドレスを使用して、すべてのTeamViewerアカウントのドメインレベルで有効化されます。有効化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、ドメイン用に構成されたIDプロバイダーにリダイレクトされます。この手順は、使用するIdPに関係なく必要です。
セキュリティ上の理由と悪用を防ぐために、機能を有効にする前にドメインの所有権を確認する必要があります。
新しいドメインの追加
SSOを有効化するには、Management Consoleにログインし、会社の管理をクリック後シングルサインオンメニューを選択します。 ドメインの追加をクリックして、SSOを有効化するドメインを入力します。
また、IDプロバイダーのメタデータを提供する必要があります。これを行うには、次の 3つのオプションが用意されています:
- URL経由:IdPメタデータURLを対応するフィールドに入力します。
- XML経由:メタデータXMLを選択してアップロードします。
- 手動構成:必要なすべての情報を手動で入力します。公開鍵はBase64エンコードされた文字列である必要がありますのでご注意ください。
カスタム識別子の作成
ドメインが追加された後、カスタム識別子を生成することができます。このカスタム識別子はTeamViewer には保存されませんが、SSO の初期設定に使用されます。シングルサインオンが中断され、新しい設定が必要になるため、いかなる場合でも変更しないでください。任意のランダムな文字列を顧客識別子として使用できます。この文字列は、後でIdPの設定に必要になります。
ドメインの所有権の確認
ドメインが正常に追加された後、ドメインの所有権を確認する必要があります。
ドメインの検証が完了するまで、シングルサインオンは有効化されません。
ドメインを確認するには、検証ページに表示されている値を使用して、ドメインの新しいTXTレコードを作成してください。
📌注意:DNSの仕組み上、検証には数時間かかることがあります。
TXTレコードを追加するダイアログは、次のようになります。
📌注意:お使いのドメイン管理システムによっては、入力欄の説明が異なる場合があります。
新しいTXTレコードを作成した後、「検証開始」ボタンをクリックして検証作業を開始します。
📌DNSの仕組み上、検証には数時間かかることがあります。
💡ヒント:TeamViewerは、検証を開始してから24時間、TXT検証レコードを検索します。 24時間以内にTXTレコードが見つからない場合、検証は失敗し、それに応じてステータスが更新されます。この場合、このダイアログから検証を再開する必要があります。
IDプロバイダーの設定
各IDプロバイダーには独自の構成が必要です。これについては、以下コミュニティ記事で詳細を説明しています。
- Active Directoryフェデレーション-サービス(ADFS):
TeamViewerクライアント構成
TeamViewerは、バージョン13.2.1080以降のシングルサインオンと互換性があります。
以前のバージョンでは、シングルサインオンをサポートしておらず、ログイン時にユーザーをIDプロバイダーにリダイレクトすることはできません。クライアント構成はオプションですが、IdPのSSOログインに使用するブラウザを変更できます。
TeamViewerクライアントは、デフォルトでIDプロバイダー認証に組み込みブラウザを使用します。オペレーティングシステムのデフォルトのブラウザを使用する場合は、次のレジストリキーを使用してこの動作を変更できます。
Windows:
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
macOS:
defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0
📌注意:レジストリを作成または変更した後、TeamViewerクライアントを再起動する必要があります。
技術的な案内
このセクションでは、TeamViewer SAMLサービスプロバイダ(SP)の技術的な詳細を一覧表示します。このデータは、上記以外のIdPの追加に関連している可能性があります。
SAMLサービスプロバイダのメタデータ:
上記の表のコピー/貼り付け用:
SP Metadata URL: https://sso.teamviewer.com/saml/metadata.xml
Entity ID: https://sso.teamviewer.com/saml/metadata
Audience: https://sso.teamviewer.com/saml/metadata
Assertion Customer Service URL: https://sso.teamviewer.com/saml/acs
Assertion Consumer Service URL: https://sso.teamviewer.com/saml/acs
Assertion Consumer Service Bindings
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirec
SAML Request Signature Algorithm: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
TeamViewerは、署名アルゴリズムとしてSHA-256をサポートしています。 SAMLアサーションに署名する必要がありますが、SAML応答への署名はオプションですが、推奨されます。
NameID:詳細不明
必要なSAML応答クレーム:
IdPのスコープ内(したがって、対応する会社のスコープ内)の一意のユーザー識別子にマップする必要があります。
たとえば、これはADFSのActiveDirectoryオブジェクトGUIDまたはOktaのメールアドレスにすることができます。
この属性は、サインインするユーザーのメールアドレスにマップする必要があります。メールアドレスは、TeamViewerアカウントに設定されているものと同じである必要があります。マッピング/比較は、大文字と小文字を区別する方法で行われます。
この属性は、顧客固有の識別子を返す必要があります。
TeamViewerは、シングルサインオンアカウントの初期構成のSAML応答のカスタムクレームとして顧客識別子を必要とします。
顧客IDはTeamViewerによって保存されません。後で変更すると、シングルサインオンが中断され、新しいセットアップが必要になります。
任意のランダムな文字列を顧客識別子として使用できます。
署名と暗号化証明書(公開鍵)
SAML要求の署名およびSAML応答の暗号化に使用される証明書の公開鍵は、次のPowerShellコマンドを実行することで取得できます。
"-----BEGIN PUBLIC KEY-----`n" + `
((Select-Xml `
-Content ((Invoke-WebRequest `
https://sso.teamviewer.com/saml/metadata.xml).Content) `
-xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + `
"`n-----END PUBLIC KEY-----" `
| Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii
このコマンドは、メタデータをダウンロードし、公開鍵を抽出してファイルに書き込みます。
