Integration eines Authentifizierungsproviders in Personio

 

In diesem Artikel erklären wir, wie Sie ein bestehendes Authentifizierungssystem, z. B. Google Single Sign-On (SSO) oder OAuth (Open Authorization) 2.0, mit Ihrem Personio Konto integrieren.

 

1. Google Single-Sign-On (SSO)

Wenn Sie Google Single Sign-On aktivieren, können Mitarbeiter, deren Google-basierte E-Mail-Adresse in Personio im Mitarbeiterprofil hinterlegt ist, sich über die Google-Authentifizierung in Personio einloggen. 

Um Google SSO zu aktivieren, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie auf Einstellungen > Integrationen > Authentifizierung.
  2. Öffnen Sie den Reiter Google Auth.
  3. Klicken Sie auf (Bearbeiten), und aktivieren Sie das Kontrollkästchen Ja.
  4. Klicken Sie auf Speichern.

settings-integrations-authentication-google_auth_de.png

Beim Aufruf von Personio sehen Ihre Mitarbeiter eine Bestätigung, dass Google SSO aktiviert ist. Um sich in Personio einzuloggen, brauchen sie lediglich auf Über Google anmelden zu klicken. 

login-google-sso_de.png

Hinweis:
Da sich Ihre Mitarbeiter ab dem Zeitpunkt der SSO-Aktivierung bei Personio anmelden können, sollten Sie Google SSO erst nach der vollständigen Implementierung Ihres Personio Kontos aktivieren. Der Zugriff auf die Personio-Accounts der Mitarbeiter wird dann über Google gesteuert. Sobald Google SSO aktiviert worden ist, können sich die Mitarbeiter nicht mehr mit ihrem Personio-Benutzernamen und -Passwort anmelden.

 

2. OAuth 2.0 

Hinweis:
Wir empfehlen, zur Implementierung dieser Authentifizierung einen IT-Administratoren hinzuzuziehen.

Personio unterstützt die Anmeldung über OAuth 2.0. Dieses Protokoll ermöglicht eine sichere und standardisierte Verwaltung des Zugriffs auf Anwendungen.

Um die OAuth 2.0-Einstellungen direkt in Personio zu konfigurieren, gehen Sie wie folgt vor:

  1. Navigieren Sie auf Einstellungen > INTEGRATIONEN > Authentifizierung.
  2. Öffnen Sie den Reiter OAuth 2.0.
  3. Klicken Sie auf (Bearbeiten), um die Einstellungen der Konfiguration zu bearbeiten.
    Hinweis: Alle Daten, die Sie zur Konfiguration in die Eingabefelder eingeben, müssen den Einstellungen Ihres OAuth-Anbieters entnommen werden.

    settings-authentication-configuration_de.png
  4. Geben Sie den Autorisierungs-URI im Feld Autorisierungs-URI ein. Benutzer werden zur Autorisierungs-URI-Seite weitergeleitet, wenn sie auf "Mit OAuth einloggen" klicken.
  5. Geben Sie den Token-URI im Feld Token-URI ein. Personio wird diesen Endpunkt aufrufen, um ein Token zu erhalten, mit dem überprüft wird, ob die eingegebenen Anmeldedaten korrekt sind. 
  6. Vergewissern Sie sich, dass aus der Drop-down-Auswahl bei Nutzerinfo-URI "GET" eingestellt ist.
  7. Fügen Sie den Endpunkt Nutzerinfo im Feld Nutzerinfo-URI ein. Die Checkbox Lesen von Entitäten aus ID-Token überspringen ist standardmäßig gesetzt. Dies bedeutet, dass Benutzerinformationen, insbesondere die E-Mail-Adresse des Benutzers, beim Login über den Nutzerinfo-URI und nicht den Token-URI eingelesen werden. Hinweis: Wenn Sie möchten, dass Benutzerinformationen beim Login vom Token-URI und nicht vom Nutzerinfo-URI gelesen werden, deaktivieren Sie die Checkbox Lesen von Entitäten aus ID-Token überspringen, um OAuth mit Active Directory Federation Services (ADFS) implementieren zu können. 
  8. Geben Sie im Feld Scopes den gewünschten Bereich ein. Dieses Feld gibt an, wie die Benutzerinformationen an Personio übertragen werden. Bei vielen OAuth-Anbietern lautet der korrekte Wert für dieses Feld „openid, email“.
  9. Geben Sie die Client-ID, die für die Authentifizierung verwendet wird, im Feld Client-ID ein.
  10. Geben Sie das Client-Secret, das für die Authentifizierung verwendet wird, im Feld Client Secret ein.
  11. Wählen Sie unter Claim-Feld das Feld in Ihrem OAuth-Anbieter aus, in dem die E-Mail-Adressen Ihrer Mitarbeiter gespeichert sind. Um zu überprüfen, ob ein Mitarbeiter in Personio vorhanden ist, prüft Personio, ob der Wert in diesem Feld der in Personio verwendeten E-Mail-Adresse entspricht. Sie können zwischen „email“, „unique_name“, „sub“ und „upn“ wählen.

    Tipp:
    ▶ ︎Wenn Sie Standard nutzen wählen, überprüft Personio die Felder „email“, „unique_name“ und „sub“ sequenziell, bis eines gefunden wird, das einen Wert enthält.

  12. Optional: Geben Sie in das Feld Authentication Context Class Reference die entsprechende Referenz ein. Diese Referenz entspricht dem Feld acr_values innerhalb Ihres OAuth-Anbieters. Sie kann zur Einrichtung zusätzlicher Prozesse seitens Ihres Identitätsanbieters verwendet werden, wie z. B. die Zwei-Faktor-Authentifizierung.
  13. Klicken Sie auf Speichern.

 

Konfigurieren der Weiterleitung auf den Callback-URI in Ihrem OAuth-Anbieter

Nachdem Sie Ihre Eingaben gespeichert haben, müssen Sie die Weiterleitung auf den Callback URI in den Einstellungen Ihres OAuth-Anbieters konfigurieren. Den Callback URI finden Sie in Personio unter den Provider-Einstellungen.

 

settings-authentication-oauth_2.0-callback_uri_de.png

 

Geben Sie den unter Provider-Einstellungen in Personio aufgeführten Callback URI in das entsprechende Eingabefeld in Ihren OAuth-Provider-Einstellungen ein.

Sofern sich Benutzer über die mobile Personio-App bei Ihrem OAuth-Anbieter anmelden, müssen Sie auch die folgende Callback-URL als Client bei Ihrem OAuth-Anbieter auf die Whitelist setzen:

https://auth.personio.de/providers/oauth/callback

Um zu prüfen, ob die Authentifizierung erfolgreich eingerichtet wurde, klicken Sie auf Testen.

settings-authentication-oauth-test-configuration_de.png

Sie werden zur Anmeldung bei Ihrem OAuth-Anbieter aufgefordert. Um ggf. beim Troubleshooting zu helfen, wird genau angezeigt, ob Fehler auftreten.

Hinweis:
Die Anmeldung Ihrer Mitarbeiter über OAuth funktioniert nur, wenn die E-Mail-Adresse, die in den Attributen "email", "unique_name" oder "sub" von Ihrem OAuth-Anbieter übertragen wird, mit der E-Mail-Adresse des Mitarbeiters im Feld E-Mail in Personio identisch ist.

 

Optionale Durchsetzung der OAuth-Authentifizierung

Nach der Einrichtung von OAuth ist die Anmeldung über Ihren Authentifizierungsanbieter optional. Ihre Mitarbeiter können also wählen, ob Sie über die Personio-Zugangsdaten oder über OAuth in Personio einloggen möchten. Wenn Sie den Login für alle Mitarbeiter ausschließlich über OAuth zulassen möchten, stellen Sie dies ein, indem Sie auf die Schaltfläche OAuth durchsetzen klicken.

settings-authentication-oauth-enforcement_de.png

 

3. LDAP / Active Directory über OAuth2

Hinweis:
Wir empfehlen, zur Implementierung dieser Authentifizierung einen IT-Administratoren hinzuzuziehen.

Um Ihr Active Directory an Ihr Personio Konto anzubinden, muss die Implementierung über einen Identitätsanbieter erfolgen. Dieser Anbieter dient als OAuth-Schnittstelle zwischen Ihrem Active Directory und Personio.

Hierfür bietet sich das Identity-Server-Produkt von WSO2 an, ein Identity und Access Management Tool. Ein kostenloser Download steht zur Verfügung. 

Sofern Sie bereits einen der folgenden Anbieter nutzen, kann auch über diesen eine Anbindung via OAuth vorgenommen werden:  

 

Weitere Informationen

 

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.

    Themen dieses Artikels