TeamViewerシングルサインオン(SSO)は、TeamViewerをアイデンティティプロバイダおよびユーザーディレクトリに接続することによって、大企業のユーザー管理作業の効率を向上することを目的としています。
必要条件
TeamViewerシングルサインオンを使用するには、次のものが必要です。
- TeamViewerバージョン2.1080以降
- SAML 2.0互換IDプロバイダー(IdP)*
- マネージメントコンソールにアクセスしてドメインを追加するためのTeamViewerアカウント
- ドメインの所有権を確認するためのドメインのDNS管理へのアクセス
- TeamViewer テンサーライセンス
TeamViewerマネージメントコンソール(MCO)の設定
シングルサインオン(SSO)は、このドメインのメールアドレスを使用して、すべてのTeamViewerアカウントに対してドメインレベルで有効になります。アクティブ化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、そのドメイン用に構成されているIDプロバイダーにリダイレクトされます。
セキュリティ上の理由から、また悪用を防ぐために、機能をアクティブにする前にドメインの所有権を確認する必要があります。
新しいドメインの追加
SSOを有効にするには、マネージメントコンソールにログインして[シングルサインオン]メニューエントリを選択します。 [ドメインの追加]をクリックして、SSOを有効にするドメインを入力します。
また、アイデンティティプロバイダのメタデータも提供する必要があります。それには3つの方法があります。
- URL経由:IdPメタデータURLを対応する欄に入力します。
- XML経由:メタデータXMLを選択してアップロードします。
- 手動設定:必要な情報をすべて手動で入力します。公開鍵はBase64でエンコードされた文字列でなければならないことに注意してください。
カスタム識別子の作成
ドメインを追加した後、カスタム識別子を生成できます。このカスタム識別子はTeamViewerによって保存されませんが、SSOの初期設定に使用されます。シングルサインオンが無効になり、新しい設定が必要になるため、どの時点でも変更しないでください。任意のランダムな文字列を顧客IDとして使用できます。この文字列は、IdPの設定に後で必要になります。
ドメインの所有権を確認する
ドメインが正常に追加されたら、ドメインの所有権を確認する必要があります。
ドメインの検証が完了するまで、シングルサインオンは有効になりません。
ドメインを確認するには、確認ページに表示されている値でドメイン用の新しいTXTレコードを作成してください。
注意: 検証プロセスはDNSシステムが原因で数時間かかる場合があります。
TXTレコードを追加するダイアログは、次のように表示されます。
注意: ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。
DNSシステムのため、検証プロセスには数時間かかることがあります。
新しいTXTレコードを作成した後、[Start Verification]ボタンをクリックして検証プロセスを開始します。
ヒント: TeamViewerは、検証開始後24時間でTXT検証レコードを探します。 24時間以内にTXTレコードが見つからない場合、検証は失敗し、それに応じてステータスが更新されます。この場合、このダイアログで確認を再開する必要があります。
ヒント: シングルサインオン用のドメインを追加するときは、所有アカウントを除外リストに追加することをお勧めします。その理由は、IdPが機能していなくてもドメイン設定へのアクセスを維持するというフォールバックシナリオです。
例:TeamViewerアカウント「admin@example.com」は、シングルサインオン用のドメイン「example.com」を追加します。ドメインを追加したら、メールアドレス「admin@example.com」を除外リストに追加する必要があります。
Oktaを使用したアイデンティティプロバイダの設定
このセクションでは、TeamViewer SSOサービスのIdPとして使用されるようにOktaを設定する方法について説明します。
ヒント: 設定に応じて、Oktaでユーザーをアプリケーションに割り当てる必要があります。
Oktaの資料は
TeamViewer Oktaアプリを使った自動設定
- Okta管理者ダッシュボードにログインします。
- TeamViewerアプリケーションを追加します。
- SAML 2.0を選択します。
・メタデータURLをコピーして保存します。
- アプリケーションにユーザーを割り当てます。
- MCOのドメイン管理のメタデータを使用してSAMLを有効にします。
Okta Webユーザーインターフェースを使用した手動設定
管理インタフェースに移動して、新しいSAMLアプリケーションを追加してください。 SAML設定ページで以下の値を指定します。
| 設定 |
値 |
|
Single Sign On URL
|
受信者URLとリンク先URLを使用します。
このアプリに他のSSO URLの要求を許可します。
|
|
Audience URI (SP Entity ID)
|
|
|
Default RelayState
|
|
|
Name ID Format
|
EmailAddress
|
|
Application username
|
Email
|
詳細設定
|
値
|
|
Response
|
Signed
|
|
Assertion Signature
|
Signed
|
|
Signature Algorithm
|
RSA-SHA256
|
|
Digest Algorithm
|
SHA256
|
|
Assertion Encryption
|
Encrypted
|
|
Encryption Algorithm
|
AES256-CBC
|
|
Key Transport Algorithm
|
RSA-OAEP
|
|
Encryption Certificate
|
TeamViewer SAMLサービスプロバイダの公開鍵をアップロードします。
証明書を取得する方法については、技術情報を参照してください。
|
|
Enable Single Logout
|
No
|
以下の属性ステートメントを追加します。(名前フォーマット - 未指定)
この属性は、最初にTeamViewer SSOを設定するときに各顧客が指定する必要があります。
注意: 最初に設定された「顧客ID」は変更してしまいますと、SSOが破綻します。 TeamViewerはこの値を保存していません。
- 複雑なマッピング -
注意: emailaddress属性ステートメントの値はもっと複雑なマッピング規則を含むかもしれません。Oktaは式言語を提供します。詳細に関する、公式なドキュメントは次のリンクからご確認頂けます。
A社は、@ a1.testと@A2.testの2つのメールアドレスドメインをユーザー用に予約しています。 Oktaユーザーは、自身のアカウントに関連付けられた@ a1.testドメインを持っています。
TeamViewer SSOは、@A2.testのメールアドレスに対してのみ有効にする必要があります。
emailaddressステートメントの値は、次のようになります。
String.append(String.substringBefore(user.email, "@), @a2.test")
以上でSAML応答に正しいメールアドレスが含まれるようになります。
TeamViewerクライアント構成
TeamViewerは、バージョン13.2.1080からシングルサインオンと互換性があります。
以前のバージョンはシングルサインオンをサポートしていないため、ログイン中にユーザーをIDプロバイダーにリダイレクトすることはできません。クライアント設定はオプションですが、IdPのSSOログインに使用されるブラウザを変更することを許可します。
TeamViewerクライアントは、デフォルトでアイデンティティプロバイダの認証に埋め込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用したい場合は、次のレジストリキーを使用してこの動作を変更できます。
HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)
注意: レジストリを作成または変更した後は、TeamViewerクライアントを再起動する必要があります。
