Tipp:
Dieser Artikel behandelt ausschließlich die Einrichtung von Microsoft Entra ID-SSO über unsere native Verbindung. Sie können jedoch weiterhin Microsoft Entra ID mit OpenID Connect (OIDC) konfigurieren, wenn es Ihren Anforderungen entspricht. Folgen Sie dazu dieser Anleitung.
In diesem Artikel wird erläutert, wie Sie Microsoft Entra ID als Single Sign-on (SSO) in Personio einrichten. Personio stellt über eine native Microsoft-Verbindung eine Verbindung zu Microsoft Entra ID her. Eine Konfiguration über OpenID Connect (OIDC) ist nicht erforderlich.
Diese Authentifizierungsmethode bietet folgende Vorteile:
- Ihre Mitarbeitenden können sich mit ihren Microsoft Entra ID-Konten bei Personio einloggen.
- Sie können ein Mandantenmodell auswählen, das den Anforderungen Ihres Unternehmens an die Authentifizierung entspricht.
- Sie können über die Microsoft Entra ID-Konfiguration genau angeben, welche Mandanten sich über Ihre Anwendung authentifizieren können.
Wir empfehlen, zur Einrichtung einer solchen Authentifizierung mit Ihrem IT-Team zusammenzuarbeiten.
Bevor Sie beginnen
- Um SSO mit Microsoft Entra ID einzurichten, benötigen Sie folgende Berechtigungen:
- Admin-Rolle in Personio oder
- Mitarbeitendenrolle mit Rechten zum Bearbeiten von Account-Konfiguration > Authentifizierung.
- Stellen Sie sicher, dass Sie bereits Ihre Mitarbeitenden zu Personio eingeladen haben. Jede Person muss ihren Account erst aktivieren, bevor sie sich einloggen kann.
Entscheiden, welche Mandanteneinrichtung für Ihr Unternehmen gilt
Hinweis:
Die in diesem Abschnitt beschriebenen Einstellungen gelten nur für die Microsoft Entra ID zum Login. Andere Microsoft-Integrationen im Marketplace unterstützen keine Mehrmandantenkonfigurationen.
Die Mandantenvalidierung steuert, wer sich mit Microsoft Entra SSO bei Personio einloggen kann. Sie können das Mandantenmodell auswählen, das zur Verwendung von Microsoft Entra ID in Ihrem Unternehmen passt.
Gehen Sie die Szenarien in der folgenden Tabelle durch, bevor Sie mit der Konfiguration beginnen.
| Mandantenmodell | Wann es gilt | Konfiguration in Personio |
| Ein Mandant | Alle Ihre Mitarbeitenden authentifizieren sich bei einem einzigen Microsoft Entra-Mandanten. Dies erlaubt keine Gastnutzenden. | Umschalter für Mehrmandantenoption deaktiviert lassen |
| Ein Mandant und B2B-Gastnutzende | Sie haben einen primären Microsoft Entra-Mandanten. Sie haben zudem Mitarbeitende von einem anderen Mandaten als Gastnutzende, zum Beispiel erworbene Unternehmen, Auftragnehmende usw. | Umschalter für Mehrmandantenoption deaktiviert lassen |
| Mehrere Mandanten | Ihr Unternehmen verwendet mehrere separate Microsoft Entra-Mandanten. Beispielsweise können Sie nach einer Fusion mehrere Gesellschaften haben. | Umschalter für Mehrmandantenoption aktivieren |
Ihre Mitarbeitenden können sich nur authentifizieren, wenn ihre E-Mail Adresse mit einem Mitarbeitendendatensatz in Ihrem Personio Account übereinstimmt. Erfahren Sie mehr über das erwartete Login-Verhalten nach der Konfiguration.
In Microsoft Entra ID eine neue Anwendung registrieren
Falls Sie dies noch nicht getan haben, müssen Sie eine neue Anwendung in Microsoft Entra ID registrieren:
- Loggen Sie sich beim Microsoft Entra Admin Center ein.
- Gehen Sie zu Entra ID > App-Registrierungen.
- Klicken Sie auf Neue Registrierung.
- Geben Sie einen Namen für die Anwendung ein, z. B. „Personio SSO“.
- Wählen Sie unter Unterstützte Account-Typen die Option aus, die Ihrem Szenario entspricht.
- Wenn Sie mehrere Entra ID-Mandanten auswählen:
- Aus Sicherheitsgründen empfehlen wir Ihnen, die Schritte zur Verwaltung zulässiger Mandanten zu befolgen. Mit dieser Einstellung können Sie jeden Mandanten einzeln hinzufügen. So können Sie festlegen, welche Mandanten sich über Ihre Anwendung authentifizieren können.
- Wenn Sie eine Sandbox-Version von Personio verwenden, richten Sie nicht dieselbe Microsoft Entra-Anwendung sowohl in Ihrer Sandbox als auch in Ihren Haupt-Accounts ein. Dies kann zu einer Verwechslung der Identitäten führen. (Eine Sandbox ist ein separater Personio Account, mit dem Sie bestimmte Konfigurationen, Integrationen usw. testen können.)
- Wenn Sie mehrere Entra ID-Mandanten auswählen:
- Wählen Sie unter Weiterleitungs-URI (optional) Web als Weiterleitungstyp aus, und fügen Sie den Wert hinzu: https://login.personio.com/login/callback
- Registrieren Sie die Anwendung.
Sobald Sie die Anwendung registriert haben, gewähren Sie API-Berechtigungen, wie unten beschrieben.
API-Berechtigungen gewähren
Klicken Sie in der linken Seitenleiste auf API-Berechtigungen, um in der gerade registrierten Anwendung zu verbleiben. Die Seite zeigt eine Tabelle mit einer Liste der konfigurierten Berechtigungen an. Stellen Sie unter Microsoft Graph sicher, dass die folgenden Berechtigungen vorhanden sind:
| Feld | Berechtigungen erforderlich |
| openid | Erforderlich: ermöglicht einfache Microsoft-Logins |
| profile | Erforderlich: liest den Profil-Claim der Person |
| Erforderlich: gleicht die E-Mail der Person mit einem Personio Mitarbeiter ab | |
| offline_access | Erforderlich: aktiviert die Token-Aktualisierung |
| user.read | Erforderlich: liest das Profil der eingeloggten Person |
Clientschlüssel und Anwendungs-ID kopieren
Gehen Sie folgendermaßen vor, um in der Anwendung zu verbleiben, die Sie gerade registriert haben:
- Klicken Sie in der linken Seitenleiste auf Zertifikate & Geheimnisse.
- Klicken Sie auf Neuer Clientschlüssel.
- Notieren Sie sich den Wert (das Geheimnis) und das Ablaufdatum. Diese Angaben benötigen Sie für die Konfiguration in Personio.
- Klicken Sie in der linken Seitenleiste auf Übersicht.
- Kopieren Sie die Anwendungs-ID (Client-ID). Diese benötigen Sie für die Konfiguration in Personio.
Stellen Sie bei Szenarien mit mehreren Mandanten sicher, dass der unterstützte Account in Ihrer Anwendung auf Accounts in einem beliebigen Organisationsverzeichnis festgelegt ist.
Microsoft Entra ID in Personio konfigurieren
Gehen Sie folgendermaßen vor, um Microsoft Entra ID in Personio zu konfigurieren:
- Gehen Sie in Personio zu Einstellungen.
- Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung.
- Gehen Sie in der Liste der Login-Methoden zu Microsoft Entra ID, und klicken Sie auf Konfigurieren.
Füllen Sie die Felder wie unten beschrieben aus.
Provider Einstellungen
| Feld | Details |
| Callback-URLs/Weiterleitungs-URIs |
Personio füllt dieses Feld mit https://login.personio.com/login/callback aus. Dieser Wert ist schreibgeschützt. Falls Sie dies noch nicht getan haben, kopieren Sie diesen Wert in Ihre Microsoft-Anwendungsregistrierung. Sie müssen den Wert in das Feld Weiterleitungs-URI einfügen. |
| E-Mail-Claim |
Das System verwendet einen Token-Claim, um die E-Mail-Adresse der Person zu identifizieren. Personio setzt ihn automatisch auf UPN (User Principal Name), was für die meisten Unternehmen korrekt ist. Ändern Sie dies nur, wenn Ihr Entra-Mandant die E-Mail in einem anderen Claim sendet, z. B. email. Hinweis: Wenn Sie mehrere Mandanten haben, die unterschiedliche Claims verwenden, funktioniert die Verbindung möglicherweise nicht korrekt. Dies ist eine bekannte Einschränkung. |
Client-Konfiguration
| Feld | Details |
| Mehrmandantenoption (Umschalter) |
Aktivieren Sie diese Einstellung, wenn Ihr Unternehmen mehrere separate Entra-Mandanten verwendet. Wenn aktiviert, können sich Personen über mehr als einen Mandanten authentifizieren. Wenn Sie dies aktivieren, empfehlen wir dringend, den Abschnitt zu den Sicherheitsempfehlungen zu befolgen, um einzuschränken, welche Mandanten zulässig sind. |
| Client-ID | Die Anwendungs-ID (Client-ID) aus Ihrer Microsoft-Anwendungsregistrierung. |
| Client Secret | Der Clientschlüssel, den Sie in Microsoft unter Zertifikate & Geheimnisse generiert haben. Wir empfehlen Ihnen, ihn sicher aufzubewahren, da er nach Verlassen der Seite nicht mehr angezeigt wird. |
| Ablaufdatum des Schlüssels |
Geben Sie das Ablaufdatum Ihres Clientschlüssels ein. Personio versendet 30, 14, 7 Tage sowie 1 Tag vor dem eingegebenen Datum jeweils eine Erinnerungs-E-Mail an Kontoinhabende. Wenn Sie den Schlüssel und das Ablaufdatum aktualisieren, werden keine Erinnerungen mehr versendet. Wir empfehlen Ihnen, dieses Feld jedes Mal zu aktualisieren, wenn Sie den Schlüssel ändern, damit die Erinnerungen korrekt versendet werden. Wenn Ihr Clientschlüssel abläuft, sendet Personio der kontoinhabenden Person eine E-Mail mit Schritten zur Wiederherstellung des Zugriffs auf Personio. |
| Active Directory-Domain |
Geben Sie Ihre primäre Active Directory-Domain ein, z. B. „yourorganization.onmicrosoft.com“. Erfahren Sie, wie Sie die Microsoft Entra-Mandanten-ID und den primären Domainnamen finden. Nach der Konfiguration geben Ihre Mitarbeitenden ihre E-Mail-Adresse beim Personio Login ein. Wenn ihre Domain mit der Active Directory-Domain übereinstimmt, werden sie zum Microsoft-Login-Flow umgeleitet. |
Login-Erfahrung (optional)
| Feld | Details |
| Button-Anzeigefeld |
Geben Sie den Text ein, der auf dem Login-Button angezeigt werden soll (z. B. „Mit [Ihr Text] fortfahren“). Beachten Sie, dass individuelle Texte nicht übersetzt werden. Wenn Sie dieses Feldes leer lassen, wird standardmäßig „Mit SSO fortfahren“ auf dem Login-Button angezeigt. |
| Home Realm Discovery |
Geben Sie eine durch Kommas getrennte Domainliste ein. Nach der Konfiguration geben Ihre Mitarbeitenden ihre E-Mail-Adresse beim Personio Login ein. Wenn die E-Mail Domain mit einer Domain in der Liste übereinstimmt, werden sie zum Microsoft-Login-Flow weitergeleitet. Verwenden Sie diese Option, wenn Sie den Microsoft-Login für bestimmte E-Mail-Domains erzwingen möchten. Sie können sie auch verwenden, wenn sich Ihre Active Directory-Domain und die E-Mail-Domain von Mitarbeitenden unterscheiden. Beispiel: Wenn Ihre Mitarbeitenden E-Mails über @yourorganization.com verwenden, die Active Directory-Domain aber yourorganization.onmicrosoft.com ist, geben Sie hier yourorganization.com ein. |
Sobald Sie die obigen Felder ausgefüllt haben, klicken Sie auf Senden, um Ihre Konfiguration zu speichern. Sie können nun die Verbindung aktivieren.
Verbindung testen
Tipp:
Änderungen der Konfigurationseinstellungen können bis zu 30 Sekunden dauern. Berücksichtigen Sie diese kurze Verzögerung, bevor Sie einen Test durchführen.
Bevor Sie die Verbindung testen, müssen Sie sich unbedingt als Admin einloggen. Ihr Account muss sowohl in Personio als auch in Ihrem Entra-Verzeichnis vorhanden sein.
Wechseln Sie in Personio zu den Konfigurationseinstellungen Ihrer Microsoft Entra ID, aktivieren Sie die Verbindung mit dem Umschalter, und klicken Sie auf Testen. Personio öffnet während des Tests einen Microsoft-Login in einem neuen Reiter. Hier müssen Sie korrekte Login-Zugriffsdaten eingeben. Sie werden dann zur selben Seite weitergeleitet, auf der ein Erfolg oder Fehlschlag angezeigt wird. Hier wird überprüft, ob die Verbindung funktioniert.
Wenn der Test fehlschlägt, überprüfen Sie Folgendes:
- Client-ID und -schlüssel sind korrekt.
- Der Weiterleitungs-URI in Ihrer Microsoft-Anwendung entspricht der in Personio.
Login-Verhalten nach der Konfiguration verstehen
Sobald Sie SSO über Microsoft Entra ID aktivieren, wird beim Personio Login immer ein Eingabefeld für die E-Mail-Adresse angezeigt. Dies ist auch dann der Fall, wenn Microsoft Entra ID die einzige Login-Methode ist.
Nach Eingabe der E-Mail-Adresse eines Mitarbeiters können Sie folgende Verhaltensweisen erwarten:
| Login-Konfiguration | Zu erwartendes Verhalten |
| Nur Microsoft Entra ID |
Ein Mitarbeiter gibt seine E-Mail-Adresse ein. Die Person muss kein Passwort eingeben.
|
| Microsoft Entra ID und Personio Zugriffsdaten |
Ein Mitarbeiter gibt seine E-Mail-Adresse ein.
|