In diesem Artikel erklären wir die verschiedenen Authentifizierungsmethoden, die Personio anbietet. Welche Methoden für Sie zur Verfügung stehen, hängt von Ihrem Personio-Paket ab.
Zwei-Faktor-Authentifizierung
Personio-Kunden können für jede Mitarbeitendenrolle die Zwei-Faktor-Authentifizierung aktivieren und so die Sicherheit der in Personio gespeicherten Daten erhöhen.
Ist die Zwei-Faktor-Authentifizierung für eine Mitarbeitendenrolle aktiviert, müssen alle dieser Rolle zugewiesenen Mitarbeiter bei der Anmeldung zusätzlich zu der E-Mail-Adresse und dem Passwort (Wissen, 1. Faktor) ein auf Ihrem Mobilgerät (Besitz, 2. Faktor) generiertes Token eingeben.
Zur Aktivierung der Zwei-Faktor-Authentifizierung und um zu erfahren, wie Ihre Mitarbeitenden diese auf ihren Geräten einrichten können, folgen Sie der Anleitung in unserem Artikel Zwei-Faktor-Authentifizierung für bestimmte Mitarbeitendenrollen aktivieren .
Google Single Sign-on (SSO)
Notizen
▶︎ Diese Option funktioniert nur, sofern Sie in Ihrem Unternehmen Google Workspace verwenden.
▶︎ Wenn Sie Google Single Sign-On aktivieren, gilt diese Authentifizierungsmethode für alle Mitarbeitenden und eine Anmeldung mit den Personio-Zugangsdaten (E-Mail und Passwort) ist nicht möglich.
Ist Google Single Sign-On aktiviert, können sich Ihre Mitarbeitenden mit ihren arbeitsbezogenen Google-Konten bei Personio anmelden.
Dies hat folgende Vorteile:
- Die Zugangsverwaltung passiert ausschließlich in Google Workspace. Wird bei einem Austritt des Mitarbeiters sein Google-Account deaktiviert, ist automatisch auch der Zugang zu Personio entzogen.
- Die Vergabe eines weiteren Passworts für Personio durch den Mitarbeitenden ist nicht notwendig
Um Google SSO zu aktivieren, folgen Sie der Anleitung in unserem Artikel Google Single Sign-On .
Tipp:
Wir empfehlen, Google Single Sign-on erst freizuschalten, wenn Ihr Account fertig eingerichtet ist, da sich Ihre Mitarbeitenden sofort ab der Aktivierung in Personio einloggen können. Der Zugriff auf die Accounts wird dann ausschließlich über Google gesteuert.
OAuth 2.0
Hinweise
▶︎ Wir empfehlen, zur Implementierung dieser Authentifizierung einen IT-Admin hinzuzuziehen.
Personio unterstützt die Anmeldung über OAuth 2.0. Dieses Protokoll ermöglicht eine sichere und standardisierte Verwaltung des Zugriffs auf Anwendungen.
Sie können Personio mit verschiedenen OAuth-Anbietern wie Microsoft Entra ID oder Okta integrieren. Lesen Sie hierzu den entsprechenden Artikel unten, um zu erfahren, wie Sie die OAuth-Authentifizierung mit einem dieser Anbieter einrichten:
- Single Sign-On (SSO) in Personio mit Microsoft Entra ID einrichten
- Einrichtung von Single Sign-On (SSO) in Personio mit Okta
Sofern Sie einen anderen OAuth-Anbieter nutzen, führen Sie bitte die folgenden Schritte aus.
Eine Weiterleitung auf den Callback-URI in Ihrem OAuth-Provider einrichten
- Navigieren Sie zu Einstellungen.
- Klicken Sie im Bereich Integrationen auf Authentifizierung.
- Kopieren Sie in OAuth 2.0 unter Provider-Einstellungen die im Feld Callback URI eingetragene URL.
- Geben Sie diese URL in das entsprechende Eingabefeld in Ihren OAuth-Provider-Einstellungen ein.
- Geben Sie außerdem die folgende URL in das entsprechende Eingabefeld in Ihren OAuth-Provider-Einstellungen ein: https://login.personio.de/login/callback
https://login.personio.com/login/callback
Tipp:
Wenn Sie möchten, dass sich Nutzende über die mobile Personio-App anmelden können, müssen Sie auch die folgende Callback-URL auf die Allowlist setzen: https://auth.personio.de/providers/oauth/callback
OAuth-2.0-Einstellungen in Personio konfigurieren
- Navigieren Sie in Personio zurück zu Einstellungen > Integrationen > Authentifizierung > OAuth 2.0.
- Klicken Sie neben Client-Konfiguration auf Bearbeiten.
Hinweis
Alle Daten, die Sie in die Eingabefelder eingeben, müssen den Einstellungen Ihres OAuth-Anbieters entnommen werden.
- Geben Sie den Autorisierungs-URI im Feld Autorisierungs-URI ein. Benutzende werden zur Autorisierungs-URI-Seite weitergeleitet, wenn sie auf „Mit OAuth einloggen“ klicken.
- Geben Sie den Token-URI im Feld Token-URI ein. Personio ruft diesen Endpunkt auf, um ein Token zu erhalten, mit dem überprüft wird, ob die eingegebenen Zugriffsdaten korrekt sind.
- Wählen Sie unter Userinfo URI im Dropdown-Menü „GET“ aus und fügen Sie den Userinfo-Endpunkt "https://graph.microsoft.com/oidc/userinfo" in das Feld ein. Die Checkbox Lesen von Entitäten aus ID-Token überspringen ist standardmäßig gesetzt. Dies bedeutet, dass Benutzerinformationen, insbesondere die E-Mail-Adresse des Benutzers, beim Login über den Nutzerinfo-URI und nicht den Token-URI eingelesen werden.
Hinweis:
Wenn Sie möchten, dass Benutzerinformationen beim Login vom Token-URI statt vom Userinfo-URI gelesen werden, deaktivieren Sie die Checkbox, um OAuth mit Active Directory Federation Services (ADFS) implementieren zu können. - Geben Sie im Feld Scopes den gewünschten Bereich ein. Dieses Feld gibt an, wie die Benutzendeninformationen an Personio übertragen werden. Bei vielen OAuth-Anbietern lautet der korrekte Wert „openid, email“.
- Geben Sie die Client-ID, die für die Authentifizierung verwendet wird, im Feld Client-ID ein.
- Geben Sie den Clientschlüssel, der für die Authentifizierung verwendet wird, im Feld Client Secret ein.
- Wählen Sie unter Claim-Feld das Feld in Ihrem OAuth-Anbieter aus, in dem die E-Mail-Adressen Ihrer Mitarbeitenden gespeichert sind. Um zu überprüfen, ob Mitarbeitende in Personio bereits vorhanden sind, prüft Personio, ob der Wert in diesem Feld der in Personio verwendeten E-Mail-Adresse entspricht. Sie können zwischen „email“, „unique_name“, „sub“ und „upn“ wählen.
Tipp
Wenn Sie Standard nutzen wählen, überprüft Personio die Felder „email“, „unique_name“ und „sub“ sequenziell, bis eines gefunden wird, das einen Wert enthält. - Optional: Geben Sie in das Feld Authentication Context Class Reference die entsprechende Referenz ein. Diese Referenz entspricht dem Feld acr_values innerhalb Ihres OAuth-Anbieters. Sie kann zur Einrichtung zusätzlicher Prozesse seitens Ihres Identitätsanbieters verwendet werden, wie z. B. die Zwei-Faktor-Authentifizierung.
Prüfung und Test
- Überprüfen Sie die Daten, die Sie in Personio eingegeben haben.
- Wenn Sie sich vergewissert haben, dass alle Daten korrekt sind, klicken Sie auf Speichern, um die Daten zu speichern.
- Um die OAuth-Verbindung zu testen, klicken Sie auf Testen.
Sie werden zur Anmeldung bei Ihrem OAuth-Anbieter aufgefordert. Wenn Fehler auftreten, wird eine Meldung angezeigt, die Ihnen bei der Fehlerbehebung weiterhilft.
Hinweis:
Die Anmeldung Ihrer Mitarbeitenden über OAuth funktioniert nur, wenn die E-Mail-Adresse, die im Attribut "email", "unique_name" oder "sub" Ihres OAuth-Anbieter hinterlegt ist, mit der E-Mail-Adresse des Mitarbeiters in Personio übereinstimmt.
Optional: Ausschließlich OAuth-Authentifizierung erlauben
Nachdem die Einrichtung der Authentifizierung erfolgt ist, können Ihre Mitarbeitenden wählen, ob Sie über die Personio-Zugangsdaten oder über OAuth in Personio einloggen möchten. Wenn Sie den Login für alle Mitarbeitenden ausschließlich über OAuth zulassen möchten, stellen Sie dies ein, indem Sie auf die Schaltfläche Ausschließlich OAuth erlauben klicken.
Hinweis
Wenn OAuth erzwungen wird und Mitarbeitendenprofile bereits angelegt wurden, können sich Mitarbeitende auch ohne Einladung oder Aktivierung ihrer Accounts einloggen.
LDAP / Active Directory über OAuth 2.0
Um Ihr Active Directory an Ihr Personio Konto anzubinden, muss die Implementierung über einen Identitätsanbieter erfolgen. Dieser Anbieter dient als OAuth-Schnittstelle zwischen Ihrem Active Directory und Personio.
Hierfür bietet sich das Identity-Server-Produkt von WSO2 an, ein Identity und Access Management Tool. Ein kostenloser Download steht zur Verfügung.
Sofern Sie bereits einen der folgenden Anbieter nutzen, kann auch über diesen eine Anbindung via OAuth vorgenommen werden: