G Suiteを使用したシングルサインオン(SSO)

評価なし

この記事は、エンタープライズ / テンサープランをご購入されたお客様に適用されます。

 

 

TeamViewerシングルサインオン(SSO)は、TeamViewerをアイデンティティプロバイダおよびユーザーディレクトリに接続することによって、大企業のユーザー管理作業の効率を上げる事を目的としています。

 

必要条件

TeamViewerシングルサインオンを使用するには、次のものが必要です。

  • TeamViewerバージョン2.1080以降
  • SAML 2.0互換IDプロバイダー(IdP)*
  • マネージメントコンソールにアクセスしてドメインを追加するためのTeamViewerアカウント
  • ドメインの所有権を確認するためのドメインのDNS管理へのアクセス
  • TeamViewer テンサープラン

 

TeamViewerマネージメントコンソール(MCO)の設定

シングルサインオン(SSO)は、このドメインのメールアドレスを使用して、すべてのTeamViewerアカウントに対してドメインレベルで有効になります。アクティブ化されると、対応するTeamViewerアカウントにサインインするすべてのユーザーは、そのドメイン用に構成されているIDプロバイダーにリダイレクトされます。

セキュリティ上の理由から、また悪用を防ぐために、機能をアクティブにする前にドメインの所有権を確認する必要があります。

 

新しいドメインの追加

SSOを有効にするには、マネージメントコンソールにログインして[シングルサインオン]メニューエントリを選択します。 [ドメインの追加]をクリックして、SSOを有効にするドメインを入力します。

また、アイデンティティプロバイダのメタデータも提供する必要があります。それには3つの方法があります。

  • URL経由:
    IdPメタデータのURLを対応する欄に入力します
  • XMLを介して:
    メタデータXMLを選択してアップロードします。
  • 手動設定
    必要な情報をすべて手動で入力してください。公開鍵はBase64でエンコードされた文字列にしてください。

Add domain.png

 

カスタム識別子の作成

ドメインを追加した後、カスタム識別子を生成できます。このカスタム識別子はTeamViewerによって保存されませんが、SSOの初期設定に使用されます。シングルサインオンが無効になり、新しい設定が必要になるため、どの時点でも変更しないでください。任意のランダムな文字列を顧客IDとして使用できます。この文字列は、IdPの設定に後で必要になります。

CustomIdentifier1.png

 

CustomIdentifier2.png

 

 

ドメイン所有権の確認

ドメインが正常に追加されたら、ドメインの所有権を確認する必要があります。
ドメインの検証が完了するまで、シングルサインオンは有効になりません。

ドメインを確認するには、確認ページに表示されている値でドメイン用の新しいTXTレコードを作成してください。

注意:検証プロセスはDNSシステムが原因で数時間かかる場合があります。

20180910_domain_verification.png

 

TXTレコードを追加するダイアログは、次のようになります。AddDNSrecord.png

注意: ドメイン管理システムによっては、入力フィールドの説明が異なる場合があります。

新しいTXTレコードを作成したら、[Start Verification]ボタンをクリックして検証プロセスを開始します。

注意: DNSシステムのため、検証プロセスには数時間かかることがあります。

ヒント: TeamViewerは、検証開始後24時間でTXT検証レコードを探します。 24時間以内にTXTレコードが見つからない場合、検証は失敗し、それに応じてステータスが更新されます。この場合、このダイアログで確認を再開する必要があります。

ヒント:シングルサインオン用のドメインを追加するときは、所有アカウントを除外リストに追加することをお勧めします。その理由は、IdPが機能していなくてもドメイン設定へのアクセスを維持するというフォールバックシナリオです。
例:TeamViewerアカウント「admin@example.com」は、シングルサインオン用のドメイン「example.com」を追加します。ドメインを追加したら、メールアドレス「admin@example.com」を除外リストに追加する必要があります。

 

G Suiteを使用したアイデンティティプロバイダの設定

  1. Googleマネージメントコンソールを開きます。https://admin.google.com
  2. TeamViewer顧客IDを保持するためのカスタムユーザー属性を作成します。

GSuite_AddCustomAttribute.png

  • ディレクトリ>ユーザーにナビゲートして下さい。
  • 右上隅にある[カスタム属性の管理(Manage custom attributes)]ボタンを押します。
  • カスタム属性の追加(Add Custom Attribute)(右上隅)を押します。
  • カテゴリ名(例: "シングルサインオン")とオプションの説明を入力してください。
  • [カスタムフィールド]セクションに、新しいカスタム属性の名前(たとえば、TeamViewer Customer Identifier)を入力します。
  • 情報タイプ(Info Type)をテキストに選択します。
  • 管理者に表示される表示設定(Visibility)を選択します。
  • 単一値になる値の数を選択してください。
  • 「追加」を選択します。

 

  1. [アプリ]> [SAMLアプリ]に移動し、右下隅の[追加](+)をクリックします。
  2. [カスタムアプリケーションの設定(Setup My Own Custom App)]を選択します。
  3. [次へ]をクリックして[Google IdP情報]ダイアログを確認します。すべての情報は後でまたアクセスすることができます。
  4. アプリケーションの名前を入力します。たとえば、 "TeamViewer"(説明とロゴもオプションで追加できます)。

GSuite_AddApp_BasicInformation.png

  1. [サービスプロバイダの詳細]で、以下の情報を入力します。

GSuite_AddApp_ServiceProviderDetails.png

  1. 「属性マッピング」セクションで、以下のマッピングを追加します。(png

GSuite_AddApp_AttributeMapping.png

 

シングルサインオンでTeamViewerにログインしたいユーザーには、 "TeamViewer顧客ID"属性を設定する必要があります。

 

TeamViewerクライアント構成

TeamViewerは、バージョン13.2.1080からシングルサインオンと互換性があります。

以前のバージョンはシングルサインオンをサポートしていないため、ログイン中にユーザーをIDプロバイダーにリダイレクトすることはできません。クライアント設定はオプションですが、IdPのSSOログインに使用されるブラウザを変更することを許可します。

TeamViewerクライアントは、デフォルトでアイデンティティプロバイダの認証に埋め込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用したい場合は、次のレジストリキーを使用してこの動作を変更できます。

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

 

注意: レジストリを作成または変更した後は、TeamViewerクライアントを再起動する必要があります。

バージョン履歴
改訂番号
2/2
最終更新:
‎01 5 2019, 11:25 AM
更新者:
 
寄稿者: