Zum Hauptinhalt gehen

Wie können wir Ihnen helfen?

Zurück

Die richtige Authentifizierungsmethode für Ihr Unternehmen wählen

 

In diesem Artikel erklären wir die verschiedenen Authentifizierungsmethoden, die Personio anbietet. Welche Methoden für Sie zur Verfügung stehen, hängt von Ihrem Personio-Paket ab.

 

Zwei-Faktor-Authentifizierung

Personio-Kunden können für jede Mitarbeiterrolle die Zwei-Faktor-Authentifizierung aktivieren und so die Sicherheit der in Personio gespeicherten Daten erhöhen.

Ist die Zwei-Faktor-Authentifizierung für eine Mitarbeiterrolle aktiviert, müssen alle dieser Rolle zugewiesenen Mitarbeiter bei der Anmeldung zusätzlich zu der E-Mail-Adresse und dem Passwort (Wissen, 1. Faktor) ein auf Ihrem Mobilgerät (Besitz, 2. Faktor) generiertes Token eingeben.

Zur Aktivierung der Zwei-Faktor-Authentifizierung und um zu erfahren, wie Ihre Mitarbeiter diese auf ihren Geräten einrichten können, folgen Sie der Anleitung in unserem Artikel Zwei-Faktor-Authentifizierung für bestimmte Mitarbeiterrollen aktivieren .

 

Google Single Sign-on (SSO)

Hinweise:
▶︎ Diese Authentifizierungsmethode steht nur zur Verfügung, wenn Sie mindestens das Professional-Paket haben.
▶︎ Diese Option funktioniert nur, sofern Sie in Ihrem Unternehmen Google Workspace verwenden.
▶︎ Wenn Sie Google Single Sign-On aktivieren, gilt diese Authentifizierungsmethode für alle Mitarbeiter und eine Anmeldung mit den Personio-Zugangsdaten (E-Mail und Passwort) ist nicht möglich.

Ist Google Single Sign-On aktiviert, können sich Ihre Mitarbeiter mit ihren arbeitsbezogenen Google-Konten bei Personio anmelden.

Dies hat folgende Vorteile:

  • Die Zugangsverwaltung passiert ausschließlich in Google Workspace. Wird bei einem Austritt des Mitarbeiters sein Google-Account deaktiviert, ist automatisch auch der Zugang zu Personio entzogen.
  • Die Vergabe eines weiteren Passworts für Personio durch den Mitarbeiter ist nicht notwendig

Um Google SSO zu aktivieren, folgen Sie der Anleitung in unserem Artikel Google Single Sign-On .

Tipp:
Wir empfehlen, Google Single Sign-on erst freizuschalten, wenn Ihr Account fertig eingerichtet ist, da sich Ihre Mitarbeiter sofort ab der Aktivierung in Personio einloggen können. Der Zugriff auf die Accounts wird dann ausschließlich über Google gesteuert.

 

OAuth 2.0

Hinweis:
▶︎ Diese Authentifizierungsmethode steht nur zur Verfügung, wenn Sie das Enterprise-Paket haben.
▶︎ Wir empfehlen,diese Art der Authentifizierung zusammen mit einem IT-Administrator zu implementieren.

Personio unterstützt die Anmeldung über OAuth 2.0. Dieses Protokoll ermöglicht eine sichere und standardisierte Verwaltung des Zugriffs auf Anwendungen.

Sie können Personio mit verschiedenen OAuth-Anbietern wie Azure AD oder Okta integrieren. Lesen Sie hierzu den entsprechenden Artikel, um zu erfahren, wie Sie die OAuth-Authentifizierung mit einem dieser Anbieter einrichten:

Sofern Sie einen anderen OAuth-Anbieter nutzen, führen Sie bitte die folgenden Schritte aus.

 

1. Einrichten der Weiterleitung auf den Callback-URI in Ihrem OAuth-Anbieter

  1. Gehen Sie in Personio zu Einstellungen > Integrationen > Authentifizierung > OAuth 2.0.
  2. Kopieren Sie unter Provider Einstellungen die im Feld Callback URI eingetragene URL.

    settings-authentication-oauth_2.0-callback_uri_de.png

  3. Geben Sie den Callback URI in das entsprechende Eingabefeld in Ihren OAuth-Provider-Einstellungen ein.

Tipp:
Wenn Sie möchten, dass sich Benutzer über die mobile Personio-App anmelden können, müssen Sie auch die folgende Callback-URL auf die Allowlist setzen: https://auth.personio.de/providers/oauth/callback

 

2. Konfigurieren der OAuth-2.0-Einstellungen in Personio

  1. Navigieren Sie in Personio zurück zu Einstellungen > Integrationen > Authentifizierung > OAuth 2.0.
  2. Klicken Sie neben Client-Konfiguration auf Bearbeiten.

    Hinweis:
     Alle Daten, die Sie in die Eingabefelder eingeben, müssen den Einstellungen Ihres OAuth-Anbieters entnommen werden.


    settings-authentication-configuration_de.png
  3. Geben Sie den Autorisierungs-URI im Feld Autorisierungs-URI ein. Benutzer werden zur Autorisierungs-URI-Seite weitergeleitet, wenn sie auf "Mit OAuth einloggen" klicken.
  4. Geben Sie den Token-URI im Feld Token-URI ein. Personio wird diesen Endpunkt aufrufen, um ein Token zu erhalten, mit dem überprüft wird, ob die eingegebenen Anmeldedaten korrekt sind. 
  5. Wählen Sie unter Userinfo URI im Dropdown-Menü „GET“ aus und fügen Sie den Userinfo-Endpunkt "https://graph.microsoft.com/oidc/userinfo" in das Feld ein. Die Checkbox Lesen von Entitäten aus ID-Token überspringen ist standardmäßig gesetzt. Dies bedeutet, dass Benutzerinformationen, insbesondere die E-Mail-Adresse des Benutzers, beim Login über den Nutzerinfo-URI und nicht den Token-URI eingelesen werden.

    Hinweis:
     Wenn Sie möchten, dass Benutzerinformationen beim Login vom Token-URI statt vom Userinfo-URI gelesen werden, deaktivieren Sie die Checkbox, um OAuth mit Active Directory Federation Services (ADFS) implementieren zu können.

  6. Geben Sie im Feld Scopes den gewünschten Bereich ein. Dieses Feld gibt an, wie die Benutzerinformationen an Personio übertragen werden. Bei vielen OAuth-Anbietern lautet der korrekte Wert "openid, email".
  7. Geben Sie die Client-ID, die für die Authentifizierung verwendet wird, im Feld Client-ID ein.
  8. Geben Sie das Client-Secret, das für die Authentifizierung verwendet wird, im Feld Client Secret ein.
  9. Wählen Sie unter Claim-Feld das Feld in Ihrem OAuth-Anbieter aus, in dem die E-Mail-Adressen Ihrer Mitarbeiter gespeichert sind. Um zu überprüfen, ob ein Mitarbeiter in Personio vorhanden ist, prüft Personio, ob der Wert in diesem Feld der in Personio verwendeten E-Mail-Adresse entspricht. Sie können zwischen „email“, „unique_name“, „sub“ und „upn“ wählen.

    Tipp:
    Wenn Sie Standard nutzen wählen, überprüft Personio die Felder "email", "unique_name" und "sub" sequenziell, bis eines gefunden wird, das einen Wert enthält.

  10. Optional: Geben Sie in das Feld Authentication Context Class Reference die entsprechende Referenz ein. Diese Referenz entspricht dem Feld acr_values innerhalb Ihres OAuth-Anbieters. Sie kann zur Einrichtung zusätzlicher Prozesse seitens Ihres Identitätsanbieters verwendet werden, wie z. B. die Zwei-Faktor-Authentifizierung.

4. Prüfung und Test

  1. Überprüfen Sie die Daten, die Sie in Personio eingegeben haben.
  2. Wenn Sie sich vergewissert haben, dass alle Daten korrekt sind, klicken Sie auf Speichern, um die Daten zu speichern.
  3. Um die OAuth-Verbindung zu testen, klicken Sie auf Testen.

Sie werden zur Anmeldung bei Ihrem OAuth-Anbieter aufgefordert. Wenn Fehler auftreten, wird eine Meldung angezeigt, die Ihnen bei der Fehlerbehebung weiterhilft.

Hinweis:
Die Anmeldung Ihrer Mitarbeiter über OAuth funktioniert nur, wenn die E-Mail-Adresse, die im Attribut "email", "unique_name" oder "sub" Ihres OAuth-Anbieter hinterlegt ist, mit der E-Mail-Adresse des Mitarbeiters in Personio übereinstimmt.

 

Optional: Ausschließlich OAuth-Authentifizierung erlauben

Nachdem die Einrichtung der Authentifizierung erfolgt ist, können Ihre Mitarbeiter wählen, ob Sie über die Personio-Zugangsdaten oder über OAuth in Personio einloggen möchten. Wenn Sie den Login für alle Mitarbeiter ausschließlich über OAuth zulassen möchten, stellen Sie dies ein, indem Sie auf die Schaltfläche Ausschließlich OAuth erlauben klicken.

settings-authentication-oauth-enforcement_de.png

 

LDAP / Active Directory über OAuth 2.0

Um Ihr Active Directory an Ihr Personio Konto anzubinden, muss die Implementierung über einen Identitätsanbieter erfolgen. Dieser Anbieter dient als OAuth-Schnittstelle zwischen Ihrem Active Directory und Personio.

Hierfür bietet sich das Identity-Server-Produkt von WSO2 an, ein Identity und Access Management Tool. Ein kostenloser Download steht zur Verfügung. 

Sofern Sie bereits einen der folgenden Anbieter nutzen, kann auch über diesen eine Anbindung via OAuth vorgenommen werden:  

 

Haben Sie noch Fragen?

Fragen Sie die Community FAQ anzeigen