In diesem Artikel erklären wir die verschiedenen Authentifizierungsmethoden, die Personio anbietet. Welche Methoden verfügbar sind, hängt von Ihrem Personio-Plan ab.
Zwei-Faktor-Authentifizierung (2FA)
Zur Erhöhung der Datensicherheit haben alle Personio-Kunden die Möglichkeit, 2FA für Mitarbeitendenrollen zu aktivieren. Mit 2FA melden sich Mitarbeitende mit einem Token von ihrem Mobilgerät aus an, zusammen mit ihrer E-Mail-Adresse und dem Passwort. Erfahren Sie, wie Sie 2FA für Mitarbeitendenrollen einrichten.
Google Single Sign-on (SSO)
Mit Google SSO nutzen Mitarbeitende ihre beruflichen Google-Konten, um auf Personio zuzugreifen. Google SSO ist nur für Unternehmen verfügbar, die Google Workspace verwenden. Erfahren Sie mehr darüber, wie Sie Google SSO einrichten.
Vorteile:
- Sie verwalten den Zugriff innerhalb von Google Workspace. Wenn beispielsweise eine mitarbeitende Person Ihr Unternehmen verlässt, deaktivieren Sie sie in Google. Mit dieser Aktion wird auch der Zugriff auf Personio entfernt.
- Mitarbeitende benötigen kein Passwort für Personio.
Überlegungen:
- Alle Mitarbeitenden müssen diese Methode anwenden.
- Mitarbeitende können sich nicht mit den Personio-Zugriffsdaten (E-Mail und Passwort) anmelden.
Tipp:
Aktivieren Sie Google SSO erst, wenn Sie Ihre Account-Einrichtung abgeschlossen haben. Sobald SSO aktiv ist, können sich Mitarbeitende bei Personio anmelden. Sie steuern den Zugriff auf Mitarbeiter-Accounts über Google.
OAuth 2.0
Personio unterstützt die Anmeldung über OAuth 2.0. Dieses Protokoll ermöglicht eine sichere und standardisierte Verwaltung des Zugriffs auf Anwendungen. Sie können Personio mit OAuth-Anbietern wie Microsoft Entra ID oder Okta integrieren. Sofern Sie einen anderen OAuth-Anbieter nutzen, führen Sie bitte die folgenden Schritte aus. Wir empfehlen, zur Einrichtung einer solchen Authentifizierung einen IT-Admin hinzuzuziehen.
Hinweis:
Wenn Sie OAuth aktivieren, können sich Mitarbeitende mit einem Personio-Profil auch ohne E-Mail Einladung bei ihrem Account einloggen.
Eine Weiterleitung auf den Callback-URI in Ihrem OAuth-Provider einrichten
- Gehen Sie zu Einstellungen.
- Klicken Sie im Bereich Integrationen auf Authentifizierung.
- Kopieren Sie in OAuth 2.0 unter Provider-Einstellungen die Callback-URL.
- Geben Sie diese URL in das entsprechende Eingabefeld in Ihren OAuth-Provider-Einstellungen ein.
- Außerdem müssen Sie die folgenden URLs in das entsprechende Eingabefeld in Ihren OAuth-Provider-Einstellungen eintragen:
- Für mobile-App-Anmeldungen über Ihren OAuth-Anbieter müssen Sie auch die folgende Callback-URL auf die Zulassungsliste setzen:
OAuth 2.0 in Personio konfigurieren
- Gehen Sie in Personio zu Einstellungen. Klicken Sie im Bereich Integrationen auf Authentifizierung. Klicken Sie dann auf OAuth 2.0.
- Klicken Sie unter Konfiguration auf Bearbeiten . Alle Daten, die Sie in die Eingabefelder eingeben, müssen den Einstellungen Ihres OAuth-Anbieters entnommen werden.
- Geben Sie den Autorisierungs-URI im Feld Autorisierungs-URI ein. Das System leitet Nutzende zur Autorisierungs-URI-Seite weiter, wenn sie auf Mit OAuth einloggen klicken.
- Geben Sie den Token-URI im Feld Token-URI ein. Personio ruft diesen Endpunkt auf, um ein Token zu erhalten, mit dem überprüft wird, ob die eingegebenen Zugriffsdaten korrekt sind.
- Wählen Sie aus dem Dropdown-Menü unter Userinfo URI die Option GET aus. Fügen Sie den Userinfo-Endpunkt "https://graph.microsoft.com/oidc/userinfo" in das Feld ein. Das System aktiviert standardmäßig die Checkbox Lesen von Entitäten aus ID-Token überspringen. Das bedeutet, dass das System beim Login die Benutzendeninformationen, einschließlich der E-Mail-Adresse, vom Userinfo-URI und nicht vom Token-URI liest. Deaktivieren Sie die Checkbox, wenn Sie Benutzendeninformationen beim Login aus dem Token-URI und nicht aus dem Userinfo-URI lesen möchten. Dies macht es möglich, OAuth mit Active Directory Federation Services (ADFS) zu nutzen.
- Dieses Scopes-Feld gibt an, wie Benutzendeninformationen an Personio übertragen werden. Bei vielen OAuth-Anbietern lautet der korrekte Wert „openid, email“.
- Geben Sie die Client-ID, die für die Authentifizierung verwendet werden soll, im Feld Client-ID ein.
- Geben Sie den Clientschlüssel, der für die Authentifizierung verwendet wird, im Feld Client Secret ein.
- Wählen Sie unter Claim-Feld das Feld in Ihrem OAuth-Anbieter mit den E-Mail-Adressen Ihrer Mitarbeitenden aus. Um zu bestätigen, dass eine mitarbeitende Person in Personio vorhanden sind, prüfen wir, ob der Wert in diesem Feld der in Personio verwendeten E-Mail-Adresse entspricht. Sie können zwischen „email“, „unique_name“, „sub“ und „upn“ wählen. Wenn Sie Standard nutzen wählen, prüfen wir die Felder „email“, „unique_name“ und „sub“ sequenziell, bis eines gefunden wird, das einen Wert enthält.
- Optional: Geben Sie in das Feld Authentication Context Class Reference die entsprechende Referenz ein. Diese Referenz entspricht dem Feld acr_values in Ihrem OAuth-Anbieter. Sie können diese Referenz verwenden, um andere Prozesse seitens Ihres Identitätsanbieters einzurichten, wie z. B. 2FA.
URI-Felder für den Aussteller und die JWK konfigurieren
- Der Issuer ist die Aussteller-Identifikationsnummer des Autorisierungsservers in der Antwort. Geben Sie in diesem Feld den Wert des Felds Issuer aus dem Endpunkt .well-known/openid-configuration Ihres SSO-Anbieters ein.
- Der JSON Web Key Set (JWKs) URI ist der Erkennungs-URI für eine Reihe öffentlicher Schlüssel. Diese Schlüssel überprüfen alle vom Autorisierungsserver ausgegebenen JSON Web Token (JWT). Geben Sie in diesem Feld den Wert des Feldes jwks_uri aus dem Endpunkt der .well-known/openid-configuration Ihres SSO-Anbieters ein.
Sie finden die Felder Issuer und jwks_URI im Erkennungs-Dokument-Endpunkt Ihres SSO-Anbieters. In der Regel ist dies über eine der folgenden URLs zugänglich:
- https://example-provider.com/well-known/openid-configuration
- https://example-provider/oauth2/token/.well-known/openid-configuration
- https://example-provider.com/oauth2/authorize/.well-known/openid-configuration
- https://example-provider.com/v2.0/.well-known/openid-configuration
Prüfung und Test
- Prüfen Sie die Daten, die Sie in Personio eingegeben haben.
- Speichern Sie Ihre Änderungen.
- Um die OAuth-Verbindung zu testen, klicken Sie auf Testen.
- Sie müssen sich bei Ihrem OAuth-Anbieter anmelden. Wenn Fehler auftreten, erscheint eine Meldung, die Ihnen bei der Fehlerbehebung weiterhilft.
Mitarbeitende können sich nur dann über OAuth anmelden, wenn die E-Mai -Adresse für das Attribut "email", "unique_name" oder "sub" in Ihrem OAuth-Anbieter mit der E-Mail-Adresse in Personio übereinstimmt.
Optional: Ausschließlich OAuth-Authentifizierung erlauben
Nachdem die Einrichtung der Authentifizierung erfolgt ist, haben Ihre Mitarbeitenden zwei Anmeldemöglichkeiten. Sie können über OAuth in Personio einloggen oder ihre Personio-Zugriffsdaten verwenden. Um den Login für alle Mitarbeitenden ausschließlich über OAuth zu zulassen, klicken Sie auf Ausschließlich OAuth erlauben.
LDAP / Active Directory über OAuth 2.0
Um Ihr Active Directory an Personio anzubinden, muss die Implementierung über einen Identitätsanbieter erfolgen. Dieser Anbieter dient als OAuth-Schnittstelle zwischen Ihrem Active Directory und Personio.
Hierfür bietet sich das Identity-Server-Produkt von WSO2 an, ein Identity und Access Management Tool. Ein kostenloser Download steht zur Verfügung.
Sofern Sie bereits mit einem der folgenden Anbieter arbeiten, können Sie Ihre OAuth-Integration über diesen einrichten: