TeamViewer 单点登录(Single Sign-On)

无评分

本文适用于具有Enterprise/Tensor许可证的TeamViewer客户

TeamViewer单点登录(SSO)将TeamViewer与身份认证程序和用户目录相关联,减少大型公司的用户管理工作。

要求

使用TeamViewer单点登录,您需要

  • TeamViewer版本13.2.1080或更高版本以及需要企业许可证
  • SAML 2.0身份认证提供商(IdP)
  • TeamViewer帐户,用于访问管理控制台并添加域
  • 访问您域的DNS管理以验证域所有权
  • TeamViewer Tensor许可证。

*目前我们只支持Centrify,Okta,Azure,OneLogin,ADFS和G Suite,但我们正在努力支持更多的IdP。 上述IdP已经过测试,设置其中一个IdP的详细步骤可以在本文档和其他关于SSO和相应IdP的链接页面中找到。

注意: 如果您使用其他IdP,请按相关信息手动设置您的IdP。

提示: 将域添加至单点登录时,我们建议将该域的管理帐户添加至排除列表中。这样做可确保在IdP无法正常工作情况,您仍可以保留对域的访问权限。
示例:TeamViewer帐户“admin@example.com”为单点登录添加域“example.com”。添加域后,应将电子邮件地址“admin@example.com”添加到排除列表中。

TeamViewer管理控制台(MCO)配置

使用此域的电子邮件地址为所有TeamViewer帐户在域级别激活单点登录(SSO)。激活后,登录相应TeamViewer帐户的所有用户都将重定向到已为域配置的身份提供程序。该步骤是独立于使用idP所必需的。

出于安全原因和防止滥用,需要在激活功能之前验证域所有权。

添加新域名

要激活SSO,请登录TeamViewer 管理平台 (Management Console)并选择Single Sign-On菜单条目。单击添加域,然后输入要为其激活SSO的域。

您还需要为身份提供者提供元数据。有三种选择可供选择:

  • 通过URL:在相应的字段中输入您的IdP元数据URL
  • 通过XML:选择并上传您的元数据XML
  • 手动配置:手动输入所有必要信息。请注意,公钥必须是Base64编码的字符串。

SSO 1.png

创建自定义标识符

添加域后,可以生成自定义标识符。 TeamViewer不存储此自定义标识符,但用于SSO的初始配置。它不能在任何时间点更改,因为这将打破单点登录并且需要新的设置。任何随机字符串都可以用作客户标识符。稍后需要此字符串来配置IdP。

SSO 2.pngSSO 3.png

验证域名所有权

成功添加域后,您需要验证域所有权。
在域验证完成之前,不会激活单点登录。

要验证域名,请使用验证页面上显示的值为您的域名创建新的TXT记录。

注意: 由于DNS系统,验证过程可能需要几个小时。

SSO 4.png

添加TXT记录的对话框可能类似于:

SSO 5.png

注意: 根据您的域管理系统,输入字段的描述可能有所不同。

创建新的TXT记录后,单击“开始验证”按钮开始验证过程。

请注意,由于DNS系统,验证过程可能需要几个小时。

提示: TeamViewer将在开始验证后24小时内查找TXT验证记录。如果我们在24小时内找不到TXT记录,则验证失败并且状态会相应更新。在这种情况下,您需要通过此对话框重新启动验证。

 

身份提供商设置

每个身份提供者都需要自己的配置,这在专门的直属库文章中有所涉及:

Active Directory Federation-Services (ADFS)

Azure Active Directory

Centrify

G Suite

Okta

OneLogin

 

TeamViewer客户端配置

从版本13.2.1080开始,TeamViewer与Single Sign-On兼容。
以前的版本不支持单点登录,并且在登录期间无法将用户重定向到您的身份提供商。客户端配置是可选的,但允许更改已使用的浏览器以进行IdP的SSO登录。

默认情况下,TeamViewer客户端将使用嵌入式浏览器进行身份提供程序身份验证。如果您更喜欢使用操作系统的默认浏览器,则可以通过以下注册表项更改此行为:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

注意: 您需要在创建或更改注册表后重新启动TeamViewer客户端。

技术信息

本节列出了TeamViewer SAML服务提供商(SP)的技术细节。 在添加上述IdP之外的其他IdP时这些数据可能会有用。

SAML服务提供商元数据(Metadata):

设置  
SP Metdata URL https://sso.teamviewer.com/saml/metadata.xml
Entity ID https://sso.teamviewer.com/saml/metadata
Audience https://sso.teamviewer.com/saml/metadata
Assertion Consumer Service URL

https://sso.teamviewer.com/saml/acs

Assertion Consumer Service Bindings
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirec
SAML Request Signature Algorithm

http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
TeamViewer支持以SHA-256作为签名算法。 SAML断言(判断声明)需要有签名,而SAML响应的签名是可选的,但我们建议使用。

NameID

未界定

 

 所需的SAML 响应声明:

签名和加密证书(公钥)

执行以下PowerShell命令可以获取签署SAML请求和响应SAML加密的证书公钥:

"-----BEGIN PUBLIC KEY-----`n" + `
((Select-Xml `
-Content ((Invoke-WebRequest `
https://sso.teamviewer.com/saml/metadata.xml).Content) `
-xpath "//*[local-name()='X509Certificate']").Node[0].'#text') + `
"`n-----END PUBLIC KEY-----" `
| Out-File -FilePath "sso.teamviewer.com - saml.cer" -Encoding ascii

该命令下载元数据(metadata),提取公钥并将其写入文件。

Video

版本历史
修订号
4 / 4
上次更新时间:
‎15 五月 2019, 8:33 PM
更新依据:
 
标签 (2)