Dieser Artikel behandelt die am häufigsten gestellten Fragen zum Single Sign-On (SSO) in Personio.
Können einige Mitarbeitende Google SSO nutzen und andere Microsoft-Konten?
Der Login über mehrere SSO-Anbieter wird nicht unterstützt. Sie können Ihr Google SSO über OAuth konfigurieren und es als nicht erzwungen festlegen. Auf diese Weise:
- können sich Mitarbeitende über Google SSO einloggen.
- können sich Mitarbeitende ohne Google-E-Mail-Adresse und SSO mit ihrer eigenen E-Mail-Adresse und ihrem eigenen Passwort einloggen.
Können einige Mitarbeitende Google SSO nutzen, während andere Personio E-Mail und Passwort verwenden?
Ja, Sie können Google SSO mit dem Personio E-Mail-Login kombinieren. Das ist hilfreich, wenn einige Mitarbeitende keine Google-Konten haben.
So richten Sie das ein:
- Richten Sie Google SSO über OAuth 2.0 ein.
- Erzwingen Sie OAuth nicht. So haben die Mitarbeitenden zwei Login-Möglichkeiten.
Verwenden Sie wegen bekannter Probleme mit älteren Google Workspace-Endpunktversionen diese Einstellungen beim Konfigurieren von OAuth 2.0 in Personio:
- Autorisierungs-URI: https://accounts.google.com/o/oauth2/v2/auth
- Token-URI: https://oauth2.googleapis.com/token
Können einige Mitarbeitende Aktivierungscodes verwenden, während andere Google SSO verwenden?
Ja, Sie können beide Methoden verwenden. Einige Mitarbeitende können mit Google SSO einloggen, während sich anderemit Aktivierungscodes registrieren. Richten Sie Google SSO über OAuth 2.0 ein, ohne es zu erzwingen. Das funktioniert genauso wie die Kombination von Google SSO mit dem Login mit Personio E-Mail und Passwort.
Ich benutze sowohl SSO als auch das Personio E-Mail-Login. Kann ich einschränken, welche Mitarbeitenden das E-Mail-Login nutzen dürfen?
Nein. Wenn Sie das Personio E-Mail-Login aktivieren, können alle Mitarbeitenden diese Methode nutzen. Man kann das E-Mail-Login nicht auf bestimmte Mitarbeitende beschränken.
SSO ist die einzige Login-Option. Wie kann ich vermeiden, ausgesperrt zu werden?
Gehen Sie wie folgt vor, um Aussperrungen zu vermeiden:
- Testen Sie die OAuth-Konfiguration, bevor Sie es erzwingen.
- Geben Sie in Personio in den SSO-Einstellungen das Ablaufdatum Ihres Clientschlüssels in das Feld Ablaufdatum des Schlüssels ein. Personio sendet Ihnen 30, 14, 7 Tage sowie 1 Tag vor dem eingegebenen Datum Erinnerungs-E-Mails. Aktualisieren Sie das Feld jedes Mal, wenn Sie den Schlüssel ändern.
- Wenn Ihr Clientschlüssel abläuft, benachrichtigt Personio Ihre Kontoinhabenden automatisch per E-Mail. Die E-Mail enthält einen Button, über den der Login mit Personio Zugriffsdaten (E-Mail-Adresse und Passwort) vorübergehend aktiviert werden kann. Die kontoinhabende Person kann sich dann einloggen, den Schlüssel aktualisieren und SSO wieder aktivieren.
- Ziehen Sie in Betracht, das Personio E-Mail-Login als Backup-Option zu behalten.
Unterstützt Personio SSO mit einem externen Identitätsanbieter über das SAML-Protokoll?
Wir unterstützen das SAML SSO-Protokoll innerhalb von Personio nicht.
Können sich Mitarbeitende weiterhin mit Zugriffsdaten wie E-Mail-Adresse und Passwort bei Personio einloggen, nachdem ich SSO aktiviert habe?
Sie können Google SSO nicht als optional festlegen, es sei denn, Sie konfigurieren es über OAuth. Wenn Sie Google SSO aktivieren, können sich Ihre Mitarbeitenden nur auf diese Weise einloggen.
Wenn Sie einen OAuth-Anbieter aktivieren, können Ihre Mitarbeitenden wählen, ob sie sich mit OAuth oder ihren Personio-Zugriffsdaten bei Personio einloggen möchten. Sie können Mitarbeitende auch verpflichten, sich über OAuth einzuloggen.
Wenn ich SSO verwende, kann ich neue Mitarbeitende zuerst mit ihrer privaten E-Mail-Adresse einladen?
Ja, aber Sie müssen sowohl SSO als auch E-Mail/Passwort als Login-Optionen einrichten. Erzwingen Sie SSO nicht. Führen Sie dann die folgenden Schritte aus:
- Erstellen Sie den Mitarbeiter und laden Sie ihn mit seiner privaten E-Mail-Adresse ein.
- Wenn die eingeladene Person beigetreten ist, aktualisieren Sie die E-Mail-Adresse des Mitarbeiters mit seiner SSO-E-Mail.
Nachdem Sie seine E-Mail-Adresse aktualisiert haben, kann sich der Mitarbeiter entweder mit SSO oder E-Mail/Passwort einloggen. Sie können den Zugriff auf SSO nicht nur in diesem Setup einschränken.
Kann sich ein neuer Mitarbeiter ohne Einladung oder Aktivierung seines Kontos in sein Konto einloggen, wenn ich SSO aktiviere?
Nein, Sie müssen Mitarbeitende einladen, damit sie sich einloggen können.
Kann ich neuen Mitarbeitenden vor ihrem Startdatum Zugang zu Personio geben, wenn ich Okta SSO aktiviere?
Ja, aber Sie müssen Folgendes bestätigen:
- Überprüfen Sie, ob die E-Mail-Adressen übereinstimmen: Stellen Sie sicher, dass die E-Mail-Adresse in Personio mit der E-Mail-Adresse im primären E-Mail-Feld in Okta übereinstimmt (Verzeichnis > Personen > Primär).
- Mitarbeitendenstatus in Okta bestätigen: Damit SSO funktioniert, müssen Mitarbeitende in Okta den Status „Aktiv“ haben. Standardmäßig haben Onboarding-Mitarbeitende in Okta den Status „Staged“.
Sobald Mitarbeitende in Okta den Status „Aktiv“ haben und ihre E-Mail-Adressen in beiden Tools übereinstimmen, können sie sich mit SSO bei Personio einloggen.
Wie ermutige ich Mitarbeitende, sich mit SSO einzuloggen?
Mit SSO können Ihre Mitarbeitenden auf alle Systeme ihres Unternehmens leichter zugreifen. Sie kommen in den Genuss verstärkter Sicherheit und müssen sich nicht mehrere Passwörter merken. Die Mitarbeitenden werden SSO aber nicht immer sofort annehmen. Das gilt besonders, wenn sie an traditionelle Login-Methoden gewöhnt sind. Sobald Sie SSO aktivieren, schlägt Personio Ihren Mitarbeitenden diese Login-Option automatisch vor. Es führt sie durch den Prozess. Um die Annahme zusätzlich zu unterstützen, können Sie den Text der SSO Login-Schaltfläche anpassen. Dadurch wirkt es für Ihre Belegschaft relevanter und einladender.