A maioria dos problemas de SSO se resume a cinco verificações. Este blog mostra como diagnosticar e resolver rapidamente os problemas de login mais comuns que surgem após o lançamento, focando em cinco verificações críticas. Ele foi projetado para administradores do TeamViewer Tensor responsáveis pelo acesso seguro em escala, oferecendo insights claros e práticos para que você resolva problemas mais rápido.
Por que o SSO falha: Cinco verificações-chave para administradores do TeamViewer Tensor
1. Verifique se seu domínio está verificado
O TeamViewer precisa saber que sua empresa realmente é dona do domínio antes que o SSO possa funcionar. Os problemas mais comuns que vemos são:
- O registro TXT foi adicionado incorretamente
- A verificação foi iniciada, mas nunca concluída
Verificação rápida: Em Configurações de administração ➜ Administração da empresa ➜ Login único (SSO) e confirme que o domínio aparece como verificado.
2. Confirme que suas configurações de IdP correspondem exatamente
Até mesmo pequenas incompatibilidades podem quebrar o SSO. Os culpados comuns incluem:
- URL de ACS/Resposta errada
- ID de Entidade Incorreto
- Formato NameID não configurado para e-mail
- Certificados expirados ou desatualizados
Verificação rápida: Compare sua configuração de IdP com os valores mostrados na página de configuração do SSO do TeamViewer. Eles devem combinar caractere por caractere.
3. Garanta que os endereços de e-mail dos usuários pertençam ao domínio verificado
Se o e-mail de um usuário não corresponder ao domínio verificado, o SSO irá rejeitá-lo, mesmo que todo o resto esteja correto.
Alguns exemplos do mundo real:
- Os usuários ainda mantêm domínios de e-mail antigos após uma reformulação de marca da empresa
- Os contratados tentam fazer login com e-mails externos
- O Azure AD contém domínios mistos, mas apenas um deles é verificado no TeamViewer
Verificação rápida: Certifique-se de que o endereço de e-mail de cada usuário no seu IdP corresponda ao domínio que você verificou no TeamViewer.
4. Garanta que os usuários afetados tenham uma licença Tensor atribuída
O SSO é um recurso exclusivo do Tensor. Se um usuário não tiver uma licença do Tensor atribuída, o SSO falhará.
Como pode ser:
- O SSO funciona para alguns usuários, mas não para outros
- Administradores podem fazer login, mas usuários comuns não podem
- Os usuários ficam presos em loops de login ou retornam ao IdP sem um erro claro
Nada está quebrado. O usuário simplesmente não está licenciado corretamente.
Verificação rápida: Vá a Configurações de Administrador ➜ Gerenciamento de Usuários e confirme o usuário afetado:
- Existe no TeamViewer
- Está ativado
- Tem uma licença Tensor atribuída. Sem licença Tensor, não há acesso a recursos do Tensor, incluindo SSO.
5. Você está usando SCIM? Questões SCIM e SSO frequentemente estão conectadas
Se você usa SCIM e um usuário não consegue fazer login via SSO, uma das primeiras coisas a verificar é se o usuário foi provisionado com sucesso via SCIM.
Um dos erros mais comuns é:
- Erro 500: O usuário já existe como uma conta gratuita
Isso ocorre quando o usuário já possui uma conta TeamViewer independente, impedindo que o SCIM faça provisionamento e bloqueando o acesso ao SSO.
Verificação rápida: Existem maneiras de adicionar o usuário à empresa.
- Usuário exclui sua conta existente:
O usuário faz login e exclui sua conta pelas configurações do perfil
➜ Exclua sua conta - Convide manualmente o usuário:
Envie um convite para o usuário entrar na empresa
➜ Adicionar usuários à sua empresa
Importante: Para ambas as opções, adicione o usuário à sua lista de exceções do SSO para que ele ainda possa fazer login caso o SSO seja aplicado.
Se o usuário não conseguir excluir sua conta sozinho ou não puder ser adicionado por convite manual, você pode entrar em contato com o Suporte do TeamViewer. Nossa equipe ficará feliz em ajudar.
Dica de especialista: Use a lista de inclusões do SSO durante o lançamento
Antes de ativar o SSO em toda a empresa, utilize a lista de inclusão do SSO.
A lista de inclusões permite limitar a aplicação do SSO a um conjunto específico de usuários enquanto você ainda está testando. Isso ajuda a validar se sua configuração está funcionando, sem correr o risco de um bloqueio em toda a empresa.
É especialmente útil durante a fase de testes ou os lançamentos faseados, quando nem todos os usuários ainda estão licenciados ou prontos para migrar para o SSO. Quando você tiver certeza de que tudo funciona como esperado, pode expandir gradualmente a lista de inclusões ou removê-la completamente.
Essas verificações já ajudaram você a solucionar problemas no SSO no passado? Ou você já se deparou com situações em que não se aplicaram? Compartilhe sua experiência na Comunidade e deixe que outros usuários do Tensor se beneficiem dos seus insights!
Atenciosamente,
Carol
