Zum Hauptinhalt gehen

Finden Sie die Antworten, die Sie brauchen

Hinweis: Wir aktualisieren derzeit den Bereich Einstellungen. Die in diesem Artikel beschriebenen Schritte, Navigationspfade und Abbildungen können in Ihrem Account anders aussehen.

Problembehebung: Probleme beim Login mit SSO

Dieser Artikel enthält Schritte zur Problembehebung für Google SSO- und OAuth 2.0-Anbieter wie Microsoft Entra ID und Okta.

Bevor Sie beginnen

  • Falls Sie SSO über OpenID Connect / OAuth 2.0 nutzen:
    • Wenn Sie sich nicht anmelden können, liegt das möglicherweise daran, dass Ihr Clientschlüssel abgelaufen ist. Läuft Ihr Clientschlüssel ab, sendet Personio Ihrer kontoinhabenden Person per E-Mail einen Wiederherstellungslink mit Anweisungen zu. Bevor Sie weitere Lösungsansätze ausprobieren, bitten Sie die Person, ihr E-Mail-Konto zu überprüfen. Die Person muss dem Link in der E-Mail folgen, um sich mit E-Mail-Adresse und Passwort zu authentifizieren. Anschließend kann sie auf Personio zugreifen und den Schlüssel aktualisieren. Das Token ist drei Tage lang gültig.
  • Falls das oben beschriebene Problem bei Ihnen nicht auftritt, versuchen Sie Folgendes:
    • Verwenden Sie einen anderen Browser.
    • Löschen Sie Ihren Browser-Cache.
    • Wechseln Sie in den Inkognito-Modus.
    • Loggen Sie sich aus und stellen Sie sicher, dass Sie sich mit den richtigen Zugriffsdaten einloggen.
    • Erstellen Sie ein neues Profil im Browser Ihrer Wahl.
    • Deaktivieren Sie Erweiterungen.
    • Lesen Sie die häufig gestellten Fragen zu SSO.
  • Wenn SSO auf dem Desktop, aber nicht in der mobilen App funktioniert, liegt das Problem in der Regel am Gerät und nicht an einer Konfiguration. So beheben Sie Anmeldeprobleme in der mobilen App.

Google SSO Probleme

Wenn Dann

Sie diese Fehlermeldung erhalten: 

„Mitarbeitende Person konnte nicht für das Google-Login gefunden werden“

Versuchen Sie Folgendes:
 

  1. Loggen Sie sich bei Google aus.
  2. Loggen Sie sich in Personio ein. Wenn Google Sie auffordert, Ihr Konto auszuwählen, stellen Sie sicher, dass Sie das richtige Konto auswählen.
Ihr Unternehmen seine E-Mail-Domain ändert Wenn Ihr Unternehmen seine E-Mail-Domain ändert, erkennt Personio die E-Mail-Adressen nicht mehr und die Mitarbeitenden können sich nicht mehr einloggen.
Die Integration in der Vergangenheit funktioniert hat, sich Ihre Mitarbeitenden jetzt aber nicht mehr einloggen können Ihr Unternehmen hat möglicherweise seine E-Mail-Domain geändert.

 

Probleme mit OpenID Connect/OAuth 2.0 (einschließlich Microsoft Entra ID und Okta)

Wenn Dann
Sich mindestens ein Mitarbeiter nicht einloggen kann.

Versuchen Sie Folgendes:
 

  1. Gehen Sie zur Personalliste und filtern Sie nach den betroffenen Personen.
  2. Prüfen Sie, dass die E-Mail-Adressen der Mitarbeitenden korrekt sind.
  3. Wenn die genannte Lösung nicht funktioniert, prüfen Sie, ob die E-Mail-Adressen in Personio und beim OAuth-Anbieter übereinstimmen.
Sich Ihre Mitarbeitenden nach der Ersteinrichtung nicht einloggen können

 

Versuchen Sie Folgendes:

  1. Gehen Sie zu Einstellungen
  2. Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung
  3. Wählen Sie in der Liste der Login-Methoden OpenID Connect (OIDC) aus, und klicken Sie auf Konfigurieren

Überprüfen Sie die Einstellungen, die Sie für Ihren Identitätsanbieter vorgenommen haben:

  • Überprüfen Sie, ob Scopes auf „openid, email“ eingestellt ist. Je nach Identitätsanbieter können unterschiedliche Scopes erforderlich sein. Überprüfen Sie die erforderlichen Scopes.
  • Wenn Sie einen individuellen Identitätsanbieter haben, fügen Sie diesen hinzu.
  • Überprüfen Sie den Autorisierungs-URI.
  • Überprüfen Sie den Token-URI.
  • Überprüfen Sie, ob der Callback-URI beim Identitätsanbieter korrekt eingerichtet ist.
  • Überprüfen Sie, ob die Aussteller- und JSON Web Key Sets (JWKs)-URIs eingerichtet sind.
  • Überprüfen Sie das Ablaufdatum des Clientschlüssels. Beachten Sie, dass Personio der kontoinhabenden Person eine E-Mail mit Schritten zur Wiederherstellung des Zugriffs auf Personio sendet, falls Ihr Clientschlüssel abläuft.
  • Überprüfen Sie im Claim-Feld, ob die E-Mail-Adresse des Mitarbeiters mit der in Personio hinterlegten E-Mail-Adresse übereinstimmt.

Wir empfehlen Ihnen außerdem Folgendes:

  • Stellen Sie sicher, dass Sie bereits Ihre Mitarbeitenden zu Personio eingeladen haben. Jede Person muss ihren Account erst aktivieren, bevor sie sich einloggen kann.
  • Überprüfen Sie bei den Mitarbeitenden, die sich nicht einloggen können, ob sie zu einem anderen Mandanten gehören oder Gastnutzende sind, die über den Mandanten synchronisiert werden und in ihrem Token einen anderen Aussteller haben. In diesem Fall empfiehlt es sich, die Microsoft Entra ID-Verbindung zu verwenden.

Wenn Sie OAuth in Verbindung mit Active Directory Federation Services (ADFS) verwenden:

  • Stellen Sie sicher, dass die Checkbox Lesen von Entitäten aus ID-Token überspringen unter UserInfo-URI aktiviert ist.
  • Prüfen Sie, ob die E-Mail-Adressen der betroffenen Mitarbeitenden in einem der Felder „E-Mail“ oder „unique_name“ beim Authentifizierungs-Anbieter hinterlegt sind. Wählen Sie aus dem Eingang „E-Mail aus Claim lesen“ den passenden Wert „ein“.
  • Prüfen Sie, ob Sie Zugriffsdaten in den Query-String einfügen müssen. Dies ist für Microsoft Entra ID erforderlich. Die Checkbox Zugriffsdaten in Query-String einbeziehen unter dem Feld Token-URI muss aktiviert sein.
  • Testen Sie die Konfiguration, indem Sie auf Konfigurationstest durchführen klicken.
Die Integration in der Vergangenheit funktioniert hat, sich Ihre Mitarbeitenden jetzt aber nicht mehr einloggen können

Dies kann drei Hauptgründe haben:
Ihr Unternehmen verwendet verschiedene E-Mail-Domains, wie z.B. .com, .es oder .de Vergewissern Sie sich, dass die von Ihnen verwendete Domain genau mit der Domain übereinstimmt, die Sie beim OAuth-Anbieter eingegeben haben.
Sie erhalten den Microsoft Entra ID-Fehler: AADSTS50146 (URI-Konfiguration der Anwendungs-ID) Erfahren Sie, wie Sie den folgenden Fehler beheben: „AADSTS50146: This application is required to be configured with an application ID URI“ (Diese Anwendung muss mit einer URI der Anwendungs-ID konfiguriert werden).
Helfen Sie uns, uns zu verbessern. Ist diese Seite hilfreich?