Single Sign-On (authentification unique) avec Okta

Pas d'évaluation

Cet article s'applique aux clients de TeamViewer possédant une licence Tensor.


Le Single Sign-On (SSO ou authentification unique) de TeamViewer vise à réduire les efforts de gestion des utilisateurs pour les grandes entreprises en connectant TeamViewer aux fournisseurs d'identité et aux répertoires d'utilisateurs.

 

Prérequis

Pour utiliser lauthentification unique de TeamViewer, vous devez disposer de :

  • une version de TeamViewer 13.2.1080 (ou plus récente
  • un fournisseur d'identité (IdP) compatible SAML 2.0*.
  • un compte TeamViewer pour accéder à la Management Console et ajouter des domaines
  • l'accès à la gestion DNS de votre domaine pour vérifier la propriété du domaine
  • une licence TeamViewer Tensor.

 

Configuration de la Management Console (MCO)

L'authentification unique (SSO) est activée au niveau du domaine pour tous les comptes TeamViewer utilisant une adresse électronique avec ce domaine. Une fois activé, tous les utilisateurs qui se connectent à un compte TeamViewer correspondant sont redirigés vers le fournisseur d'identité qui a été configuré pour le domaine.

Pour des raisons de sécurité et pour éviter les abus, il est nécessaire de vérifier la propriété du domaine avant d'activer la fonction.

 

Ajouter un nouveau domaine

Pour activer le SSO, connectez-vous à la Management Console et sélectionnez le menu Authentification Unique. Cliquez sur Ajouter un domaine et saisissez le domaine pour lequel vous souhaitez activer l'authentification unique.

Vous devez également fournir les métadonnées de votre fournisseur d'identité. Trois options sont disponibles pour ce faire :

  • via l'URL : entrez l'URL de vos métadonnées IdP dans le champ correspondant

  • via XML : sélectionnez et téléchargez vos métadonnées XML

  • Configuration manuelle : saisissez manuellement toutes les informations nécessaires. Veuillez noter que la clé publique doit être une chaîne codée en Base64.

     

01_Add domain (4).png

 

Créer un identifiant personnalisé

Après l'ajout du domaine, l'identifiant personnalisé peut être généré. Cet identifiant personnalisé n'est pas stocké par TeamViewer, mais est utilisé pour la configuration initiale du SSO. Il ne doit être modifié à aucun moment, car cela briserait l'authentification unique et une nouvelle configuration serait nécessaire. Toute chaîne aléatoire peut être utilisée comme identifiant du client. Cette chaîne est ensuite requise pour la configuration de l'IdP.

02_CustomIdentifier1 (4).png

 03_CustomIdentifier2 (4).png

 

Vérifier la propriété du domaine

Une fois qu'un domaine a été ajouté avec succès, vous devez vérifier la propriété du domaine. L'authentification unique ne sera pas activée avant que la vérification du domaine ne soit terminée.

Pour vérifier le domaine, veuillez créer un nouvel enregistrement TXT pour votre domaine avec les valeurs indiquées sur la page de vérification.

Note : Le processus de vérification peut prendre plusieurs heures en raison du système DNS.

04_20180910_domain_verification (4).png

La fenêtre permettant d'ajouter un enregistrement TXT peut ressembler à celui-ci :

05_AddDNSrecord (4).png

Note : La description des champs de saisie peut varier en fonction de votre système de gestion des domaines.

Après avoir créé le nouvel enregistrement TXT, lancez le processus de vérification en cliquant sur le bouton "Démarrer la vérification".

Veuillez noter que le processus de vérification peut prendre plusieurs heures en raison du système DNS.

Astuce : TeamViewer recherchera l'enregistrement de vérification TXT pendant 24 heures après le début de la vérification. Si nous ne trouvons pas l'enregistrement TXT dans les 24 heures, la vérification échoue et le statut est mis à jour en conséquence. Dans ce cas, vous devez relancer la vérification par le biais de cette boîte de dialogue.

Astuce : : Lorsque vous ajoutez un domaine pour l'authentification unique, il est recommandé d'ajouter le compte propriétaire à la liste d'exclusion. La raison en est un scénario de repli selon lequel vous conservez l'accès à la configuration du domaine même si l'IdP ne fonctionne pas.
Exemple : Le compte TeamViewer "admin@example.com" ajoute le domaine "example.com" pour l'identification unique. Après avoir ajouté le domaine, l'adresse électronique "admin@example.com" doit être ajoutée à la liste d'exclusion. Cela est nécessaire pour apporter des modifications à la configuration du SSO, même lorsque l'identification unique ne fonctionne pas en raison d'une mauvaise configuration.

Astuce : : Lorsque vous ajoutez un domaine pour l'authentification unique, il est recommandé d'ajouter des propriétaires supplémentaires au domaine du SSO, car la propriété du SSO n'est pas héritée au sein de votre entreprise.
Exemple : Après que le compte TeamViewer "admin@example.com" ait ajouté le domaine "example.com" pour l'authentification unique, il ajoute plusieurs administrateurs de l'entreprise (par exemple "admin2@example.com") comme propriétaires du domaine, afin qu'ils puissent également gérer le domaine et ses paramètres SSO.

 

Configuration du fournisseur d'identification

Cette section décrit comment configurer Okta pour qu'il soit utilisé comme IdP pour le service SSO TeamViewer.

Astuce : Vous devez affecter des utilisateurs à l'application dans Okta, en fonction de vos paramètres. Vous trouverez la documentation d'Okta ici : Documentation Okta 


Configuration automatique à l'aide de l'application TeamViewer Okta

  1. Connectez-vous à votre tableau de bord administrateur Okta
  2. Ajouter l'application TeamViewer
  3. Sélectionnez SAML 2.0
    • Copiez et enregistrez l'URL de vos métadonnées
  4. Affecter des utilisateurs à l'application
  5. Activez SAML en utilisant vos métadonnées dans la gestion de domaine dans la Management Console TeamViewer


Configuration manuelle à l'aide de l'interface utilisateur Web Okta

Allez dans l'interface d'administration et ajoutez une nouvelle application SAML. Spécifiez les valeurs suivantes sur la page des SAML Settings :

Settings  Value

Single Sign On URL

https://sso.teamviewer.com/saml/acs

Utilisez ceci pour l'URL du destinataire et l'URL de destination
Permettez à cette application de demander d'autres URL du SSO

Audience URI (SP Entity ID)

https://sso.teamviewer.com/saml/metadata

Default RelayState

 

Name ID Format

EmailAddress

Application username

Email

 

Advanced settings

 Value

Response

Signed

Assertion Signature

Signed

Signature Algorithm

RSA-SHA256

Digest Algorithm

SHA256

Assertion Encryption

Encrypted

Encryption Algorithm

AES256-CBC

Key Transport Algorithm

RSA-OAEP

Encryption Certificate

Uploadez la clé publique du fournisseur de services TeamViewer SAML.
Veuillez vous reporter à la section "Technical Information" pour savoir comment obtenir le certificat.

Enable Single Logout

No

 

Ajoutez les attributs suivants (Format du nom - non spécifié) :

Cet attribut doit être spécifié par chaque client lors de la configuration initiale de TeamViewer SSO.

Veuillez noter que le Customer Identifier qui a été défini initialement ne doit pas changer, sinon le SSO sera rompu. TeamViewer ne stocke pas cette valeur.


Pour aller plus loin...

Note : La valeur de l'attribut emailaddress peut inclure des règles de mise en correspondance plus complexes. Okta vous fournit donc un langage d'expression. Vous pouvez consulter la documentation officielle à ce sujet ici : https://developer.okta.com/reference/okta_expression_language/index

La société A a réservé deux domaines d'adresses e-mail à ses utilisateurs - @a1.test et @A2.test. Les utilisateurs d'Okta ont le domaine @a1.test associé à leur compte.

Le SSO TeamViewer doit être activé pour les adresses e-mail de @A2.test uniquement.

La valeur pour l'attribut emailaddress pourrait ressembler à ce qui suit :

String.append(String.substringBefore(user.email, "@"), "@a2.test")


La réponse de SAML inclut donc l'adresse électronique correcte.


Configuration du client TeamViewer

TeamViewer est compatible avec l'authentification unique à partir de la version 13.2.1080.
Les versions précédentes ne supportent pas l'authentification unique et ne peuvent pas rediriger les utilisateurs vers votre fournisseur d'identité lors de la connexion. La configuration du client est optionnelle, mais permet de changer le navigateur utilisé pour la connexion au SSO de l'IdP.

Le client TeamViewer utilisera par défaut un navigateur intégré pour l'authentification du fournisseur d'identité. Si vous préférez utiliser le navigateur par défaut du système d'exploitation, vous pouvez modifier ce comportement via la clé de registre suivante :

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

Note : Vous devez redémarrer le client TeamViewer après avoir créé ou modifié le registre.

Historique des versions
Numéro de la révision
1 de 1
Dernière mise à jour :
il y a 2 semaines
Mis à jour par :
 
Contributeurs