Dieser Artikel erklärt, wie Sie Google Workspace Directory in Personio integrieren. Durch diese Integration kann Personio automatisch Google-Accounts für neue Mitarbeitende erstellen, die Google-Accountdaten aktualisieren, wenn sich die Mitarbeitendendaten in Personio ändern, und die Google-Accounts inaktiver Mitarbeitender automatisch deaktivieren.
Voraussetzungen für eine erfolgreiche Integration
Stellen Sie vor der Integration sicher, dass Folgendes der Fall ist:
- Sie verfügen über eine Admin-Rolle oder Bearbeitungsberechtigungen über Ihre Mitarbeitendenrolle für die Marketplace Integration und API.
- Sie besitzen einen Google Workspace-Superadmin-Account.
- Sie verfügen über die erforderlichen Rechte, um ein Google Cloud-Projekt und einen Google-Dienst-Account zu erstellen.
Google Workspace Directory Sync verbinden und authentifizieren
Bevor Sie mit dem Einrichtungsprozess in Personio beginnen können, müssen Sie einen Google-Dienst-Account einrichten und autorisieren. Die Zugangsdaten eines Dienst-Accounts gewährleisten, dass die Google Directory Sync-Integration zuverlässig und sicher abläuft.
- Gehen Sie zu Google Cloud, und erstellen Sie ein Google Cloud-Projekt als Superadmin. Bei der Einrichtung eines Projekts ist es ratsam, mindestens eine zusätzliche Person als projektverantwortliche Person zu benennen.
- Aktivieren Sie die Admin SDK API für das Google Cloud-Projekt, um dem Dienst-Account die Ausführung administrativer Verzeichnisaufgaben zu ermöglichen.
- Richten Sie den OAuth-Zustimmungsbildschirm ein. Markieren Sie die App als intern, um ihre Nutzung einzuschränken und zu vermeiden, dass Google sie überprüfen muss.
- Erstellen Sie Ihren Dienst-Account.
- Erstellen Sie den Dienst-Account-Schlüssel, und laden Sie ihn im JSON-Format herunter.
- Besuchen Sie admin.google.com und fügen Sie dem Dienstkonto die Rolle „Administrator für die Nutzerverwaltung“ hinzu. So können Verwaltungsaufgaben erfüllt werden.
Sobald Sie diese Aufgaben erledigt haben, richten Sie die Integration direkt im Personio Marketplace mit dem Konfigurationsassistenten ein. Befolgen Sie diese Schritte:
- Gehen Sie zu Marketplace in Personio.
- Suchen und wählen Sie die Google Workplace Directory Sync-Integration aus.
- Klicken Sie auf Verbinden, um den Konfigurationsassistenten zu öffnen.
- Geben Sie Ihre Primäre Domain und den Dienst-Account-Schlüssel ein.
- Klicken Sie auf Weiter.
Bestehende Accounts
Im zweiten Schritt des Konfigurationsassistenten können Sie die Datensynchronisierung für bestehende Google-Accounts einrichten. Befolgen Sie diese Schritte:
- Wählen Sie Mitarbeitendendaten mit bestehenden Google-Konten synchronisieren, damit die Mitarbeitendeninformationen in Ihrem Google Directory stets aktuell sind. Damit dies funktioniert, müssen Sie außerdem Neue Google-Accounts erstellen aktivieren. Folgen Sie dazu den Anweisungen im nächsten Abschnitt. Dadurch wird die Verknüpfung zwischen dem jeweiligen Personio-Mitarbeitendenprofil und dessen Google-Account hergestellt.
- Prüfen Sie alle Informationen. Stellen Sie sicher, dass jedes Google Directory-Feld dem entsprechenden Personio Attribut entspricht.
- Optional: Klicken Sie auf Attribut hinzufügen, um weitere Attribute hinzuzufügen.
- Klicken Sie auf Weiter, um zum dritten Schritt des Konfigurationsassistenten zu gelangen und neue Accounts zu konfigurieren.
Diese Integration kann Admin-Accounts weder deaktivieren noch ändern.
Neue Accounts
Im dritten Schritt des Konfigurationsassistenten können Sie neue Google-Accounts konfigurieren. Befolgen Sie diese Schritte:
- Wählen Sie Neue Google-Accounts erstellen, wenn Personio neue Google-Accounts für Mitarbeitende mit leeren E-Mail-Adressen oder für Mitarbeitende, die keinem Google-Account in Ihrem Verzeichnis zugeordnet sind, erstellen soll.
- Optional: Sie können die E-Mail-Adresse manuell definieren und den Wert in einem individuellen Personio Attribut angeben.
- Wenn Sie keine E-Mail-Adressen vorab zuweisen, konfigurieren Sie das Format der automatisch generierten E-Mail-Adressen.
- Klicken Sie auf Weiter, um zum dritten Schritt des Konfigurationsassistenten zu gelangen und Deaktivierungen zu konfigurieren.
Deaktivierungen
Im letzten Schritt des Konfigurationsassistenten können Sie Deaktivierungen konfigurieren. Befolgen Sie diese Schritte:
- Wählen Sie Google-Accounts deaktivieren, wenn Mitarbeitende inaktiv werden, wenn Sie verknüpfte Google-Accounts deaktivieren möchten, sobald sich der Mitarbeitendenstatus auf inaktiv ändert.
- Klicken Sie auf Fertig stellen.
Die Einrichtung der Integration ist abgeschlossen.
Diese Integration kann Admin-Accounts weder deaktivieren noch ändern.
Google Workspace Directory-Workflows
Sobald die Integration abgeschlossen ist, versucht Personio, alle aktiven Mitarbeitenden mit bestehenden Google-Konten abzugleichen. Die für den Abgleich verwendete E-Mail-Adresse hängt von Ihrer Konfiguration für neue Accounts ab:
- Wenn Sie E-Mail-Adressen mithilfe eines Personio Attributs vorab zuweisen, verwendet die Integration diesen Attributwert für den Abgleich.
- Wenn Sie die automatische E-Mail-Generierung verwenden, nutzt die Integration die generierte E-Mail-Adresse für den Abgleich.
Die Integration gleicht nur Mitarbeitende mit dem Status Aktiv ab. Für den Abgleich wird nicht die im Personio Mitarbeitendenprofil gespeicherte E-Mail-Adresse verwendet. Die E-Mail-Adressen, die Ihre Konfiguration für neue Accounts generiert, müssen mit den Adressen in Ihrem Google-Verzeichnis übereinstimmen. Bei fehlender Übereinstimmung kann die Integration keine Mitarbeitenden mit ihren bestehenden Google-Konten verknüpfen.
Bei einer Übereinstimmung erstellt die Integration einen Eintrag im Google Directory. Es wird das externalID-Feld verwendet, das die entsprechende Mitarbeitenden-ID in Personio enthält.
Nach der ersten Synchronisierung wird die Integration alle 30 Minuten ausgeführt. Dabei wird der Mitarbeitenden-ID Priorität eingeräumt, um sicherzustellen, dass die Integration auch dann noch funktioniert, wenn sich die E-Mail-Adresse des Mitarbeiters ändert.
Inaktive Mitarbeitende
Inaktive Accounts werden weiterhin aktualisiert. Dies können Sie verhindern, indem Sie den Link zu den externen IDs aus Google Directory entfernen. Dadurch wird die Verbindung getrennt, und die Integration versucht nicht, inaktive Nutzende wieder neu zu erstellen.
Hinweis: Über diese Integration können nur Nutzenden-Accounts ohne Admin-Rechte verwaltet werden.
Bereitstellung von Nutzenden
Sie können mit den folgenden Optionen automatisch neue Accounts für aktive Personio Mitarbeitende erstellen, die bisher nicht mit Google Directory verknüpft waren:
- E-Mail-Adressen vorab zuweisen
Geben Sie ein Feld an, das die gewünschte E-Mail-Adresse enthält. Das Attribut muss eine vollständige E-Mail-Adresse einschließlich der Domain sein. Wenn die Feldinhalte nicht im E-Mail-Format vorliegen oder Google Directory die Domain nicht unterstützt, wird durch die Integration kein Account erstellt. Wenn das Feld leer ist, wird die E-Mail-Adresse automatisch generiert. Sie können E-Mail-Adressen selektiv vorab zuweisen.
- Automatisch E-Mail-Adressen generieren
Wenn Sie keine E-Mail-Adressen vorab zuweisen oder das Attributfeld leer lassen, versucht die Integration, die E-Mail-Adresse gemäß der von Ihnen angegebenen Formel zu erstellen. Im Falle eines Namenskonflikts fügt die Integration die Mitarbeitenden-ID zum Nutzendennamen hinzu, der später geändert werden kann.
Das Attribut muss eine vollständige E-Mail-Adresse einschließlich der Domain sein. Wenn der Inhalt des Feldes nicht im E-Mail-Format vorliegt, wird kein Account für Nutzende erstellt. Wenn die Domain der E-Mail-Adresse nicht zu Ihrem Google Directory gehört, wird kein Account erstellt.
Deaktivierung von Nutzenden
Durch die Integration wird der Google-Account inaktiver Personio Mitarbeitender deaktiviert. Der Account wird dadurch nicht gelöscht. Das Deaktivieren inaktiver Mitarbeitender bei Google kann bis zu 30 Minuten dauern. Wenn Sie den Zugriff auf Google sofort beenden müssen, wenden Sie sich an Ihren IT-Admin, damit der Google-Account deaktiviert wird.
Diese Integration kann Admin-Accounts weder deaktivieren noch ändern. Dies ist eine von Google eingeführte Schutzmaßnahme. Sie sorgt dafür, dass Ihr Unternehmen stets die Kontrolle über kritische Admin-Zugriffe und -Berechtigungen behält, selbst bei der Synchronisierung mit einem externen Verzeichnisdienst. Reguläre Nutzendenkonten können weiterhin vollständig über den Directory Sync-Prozess verwaltet werden.