Inicio de sesión único (SSO) con Okta

No hay clasificaciones

Este artículo concierne a los clientes de TeamViewer con una licencia Enterprise/Tensor.

El objetivo del inicio de sesión único de TeamViewer (SSO en inglés) es reducir los esfuerzos de gestión de usuarios de las grandes empresas mediante la conexión de TeamViewer con los proveedores de identidad y los directorios de usuarios.

Requisitos

Para utilizar inicio de sesión único de TeamViewer, necesitas:

  • una versión de TeamViewer 13.2.1080 o superior
  • un proveedor de identidad compatible con SAML 2.0 (IdP)*
  • una cuenta de TeamViewer para acceder a la Management Console y añadir dominios
  • acceso a la gestión de DNS de tu dominio para verificar la propiedad del dominio
  • una licencia de TeamViewer Tensor.

* Actualmente sólo admitimos Centrify, Okta, Azure, OneLogin, ADFS pero estamos trabajando para respaldar más IdPs en el futuro. Los IdPs anteriores han sido probados y los pasos detallados para configurar uno de estos IdPs se pueden encontrar en este documento. Se nos ha informado de que Gsuite no es compatible en la actualidad y lo tenemos en la hoja de ruta de soporte.

Nota: Si utiliza un IdP diferente, utilice la información técnica para configurar su IdP manualmente.

Sugerencia: Al añadir un dominio para el inicio de sesión único, se recomienda añadir la cuenta de propietario a la lista de exclusión. La razón de esto, es que en una hipotética situación de emergencia se mantenga el acceso a la configuración del dominio incluso si el IdP no funciona.
Ejemplo: La cuenta de TeamViewer "admin@example.com" añade el dominio "example.com" para el inicio de sesión único. Después de añadir el dominio, la dirección de correo electrónico "admin@example.com" debe añadirse a la lista de exclusión.

Configuración de TeamViewer en la Management Console (MCO)

El inicio de sesión único (SSO) se activa a nivel de dominio para todas las cuentas de TeamViewer utilizando una dirección de correo electrónico con este dominio. Una vez activado, todos los usuarios que inician sesión en una cuenta de TeamViewer correspondiente se redirigen al proveedor de identidades que se ha configurado para el dominio.

Por razones de seguridad y para evitar abusos, es necesario verificar la propiedad del dominio antes de activar la función.

Añadir un nuevo dominio

Para activar SSO, inicia sesión en la Management Console y selecciona la entrada del menú inicio de sesión único. Haz clic en añadir dominio e introduce el dominio para el que quieres activar el SSO.

También debes proporcionar los metadatos de tu proveedor de identidad. Hay tres opciones disponibles para hacerlo:

  • vía URL: introduce tu URL de metadatos IdP en el campo correspondiente
  • vía XML: selecciona y carga tus metadatos XML
  • Configuración manual: introduce manualmente toda la información necesaria. Ten en cuenta que la clave pública debe ser una cadena codificada Base64.

1_MCO_AddDomain.png

 

Crear un identificador personalizado

Una vez añadido el dominio, se puede generar el identificador personalizado. TeamViewer no almacena este identificador personalizado, pero se utiliza para la configuración inicial de SSO. No debe ser cambiado en ningún momento, ya que esto romperá el inicio de sesión único y será necesario configurarlo de nuevo. Cualquier cadena aleatoria puede ser utilizada como identificador de cliente. Esta cadena se requiere posteriormente para la configuración del IdP.

Single Sign-On Customer Identifier.png

3_Single Sign-On Customer Identifier2.png

Verificar la propiedad del dominio

En el momento en el que el dominio haya sido agregado correctamente, es necesario verificar la propiedad del dominio.
El inicio de sesión único no se activará antes de que se complete la verificación del dominio.

Para verificar el dominio, crea un nuevo registro TXT para tu dominio con los valores mostrados en la página de verificación.

Nota: El proceso de verificación puede tardar varias horas debido al sistema DNS.

4_MCO_DomainVerification.png

El cuadro de diálogo para añadir un registro TXT puede parecerse a:3_DNSEntry.png 

Nota: Dependiendo de tu sistema de gestión de dominio, la descripción de los campos de entrada puede variar.

Después de crear el nuevo registro TXT, inicia el proceso de verificación haciendo clic en el botón "Iniciar verificación".

Ten en cuenta que el proceso de verificación puede tardar varias horas debido al sistema DNS.

Sugerencia: TeamViewer buscará el registro de verificación TXT durante 24 horas después de iniciar la verificación. Si no podemos encontrar el registro TXT en 24 horas, la verificación falla y el estado se actualiza acorde. En este caso, reinicia la verificación a través de este cuadro de diálogo. 

Sugerencia: Al añadir un dominio para el inicio de sesión único, se recomienda añadir la cuenta de propietario a la lista de exclusión. La razón de esto es un escenario hipotético en el que se mantiene el acceso a la configuración del dominio incluso si el IdP no funciona.
Ejemplo: La cuenta de TeamViewer "admin@example.com" añade el dominio "example.com" para el inicio de sesión único. Después de añadir el dominio, la dirección de correo electrónico "admin@example.com" debe añadirse a la lista de exclusión.

Configuración del proveedor de identidades con Okta

Esta sección describe cómo configurar Okta para que se utilice como IdP para el servicio de inicio de sesión único de TeamViewer.

Consejo: Necesitas asignar usuarios a la aplicación en Okta, dependiendo de tus opciones.

Encuentra aquí la documentación de Okta.

Configuración automática usando la apicación de Teamviewer Okta

  1. Inicia sesión en tu interfaz de administrador de Okta
  2. Añade la aplicación de TeamViewer 
  3. Selecciona SAML 2.0
    • Copia y guarda los metadatos URL
  4. Assigna usuarios a la aplicación
  5. Activa SAML usando tus metadatos en la gestión del dominio en tu MCO

Configuración manual usando la interfaz de usuario en la web de Okta

Vete a la interfaz de administrado y añade una nueva aplicación SAML. Especifica los siguientes valores en los ajustes de SAML:

Ajustes  Valor

Single Sign On URL

https://sso.teamviewer.com/saml/acs

Utiliza esta opción para la URL del destinatario y la URL de destino
Permite que esta aplicación solicite otras URLs de SSO

Audience URI (SP Entity ID)

https://sso.teamviewer.com/saml/metadata

Default RelayState

 

Formato Name ID 

EmailAddress

Aplicación nombre de usuario

Email

 

Ajustes avanzados

 Valor

Respuesta

Signed

Assertion Signature

Signed

Signature Algorithm

RSA-SHA256

Digest Algorithm

SHA256

Assertion Encryption

Encrypted

Encryption Algorithm

AES256-CBC

Key Transport Algorithm

RSA-OAEP

Encryption Certificate

Carga la clave pública del proveedor de servicios de TeamViewer SAML.
Consulta la Información técnica para obtener información sobre cómo obtener el certificado.

Enable Single Logout

No

 

Añade las siguientes sentencias de atributos (Nombre de formato - sin especificar):

  • http://sso.teamviewer.com/saml/claims/customeridentifier

    Este atributo tiene que ser especificado por cada cliente una vez haya iniciado la configuración de inicio de sesión único de TeamViewer.

    Ten en cuenta: El "identificador de cliente" que ha sido configurado inicialmente no puede ser cambiado, si no el inicio de sesión único se romperá. TeamViewer no almacena este valor.  

 

-Asignación más compleja-

Ten en cuenta: El valor de la declaración de atributos de dirección de correo electrónico puede incluir reglas de asignación más complejas. Okta por lo tanto le proporciona un lenguaje de expresión. Puedes ver la documentación oficial aquí: https://developer.okta.com/reference/okta_expression_language/index

La Compañía A ha reservado dos dominios de dirección de correo electrónico para sus usuarios - @a1.test @A2.test. Los usuarios de Okta tienen el dominio @a1.test  asignado a su cuenta.

El inicio de sesión único de TeamViewer deberá estar habilitado solo para la dirección @A2.test.

El valor de la declaración de dirección de correo electrónico podría ser el siguiente:

String.append(String.substringBefore(user.email, "@"), "@a2.test")


Esto hace que la respuesta de SAML incluya la dirección de correo electrónico correcta.

Confirguración de TeamViewer Client 

TeamViewer es compatible con el inicio de sesión único a partir de la versión 13.2.1080.
Las versiones anteriores no admiten el inicio de sesión único y no pueden redirigir a los usuarios a su proveedor de identidad durante el inicio de sesión. La configuración del Client es opcional, pero permite cambiar el navegador utilizado para el inicio de sesión único del IdP.

TeamViewer Client utilizará un navegador integrado para la autenticación del proveedor de identidad de forma predeterminada. Si prefiere utilizar el navegador predeterminado del sistema operativo, puede cambiar este comportamiento a través de la siguiente clave de registro:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

Nota: TeamViewer Client tiene que ser reiniciado después de crear o cambiar el registro.

Historial de versiones
Revisión n.º
3 de 3
Última actualización:
‎06 may 2019, 5:12 PM
Actualizado por:
 
Colaboradores