Dieser Artikel erläutert, wie Sie Single Sign-on (SSO) in Personio mit einem externen Identitätsanbieter unter Verwendung von OpenID Connect/OAuth 2.0 einrichten.
Wenn Sie SSO einrichten, loggen sich Mitarbeitende über den von Ihnen gewählten Identitätsanbieter bei Personio ein. Sie müssen sich nicht mit Zugriffsdaten einloggen. Wir empfehlen, bei dieser Einrichtung mit Ihrem IT-Team zusammenzuarbeiten.
Personio unterstützt auch andere Login-Methoden. Eine Übersicht finden Sie in unserem Artikel zum Thema.
Bevor Sie beginnen
- Um SSO einzurichten, benötigen Sie folgende Berechtigungen:
- Admin-Rolle in Personio oder
- Mitarbeitendenrolle mit Rechten zum Bearbeiten von Account-Konfiguration > Authentifizierung.
- Stellen Sie sicher, dass Sie bereits Ihre Mitarbeitenden zu Personio eingeladen haben. Jede Person muss ihren Account erst aktivieren, bevor sie sich einloggen kann.
Weiterleitung zur Callback-URI in Ihrem Identitätsanbieter einrichten
- Gehen Sie zu Einstellungen.
- Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung.
- Wählen Sie in der Liste der Login-Methoden OpenID Connect (OIDC) aus, und klicken Sie auf Konfigurieren.
- Kopieren Sie unter Anbietereinstellungen die Callback-URL.
- Geben Sie diese URL in das relevante Feld in den Einstellungen Ihres Identitätsanbieters ein.
- Sie müssen außerdem diese URL in das relevante Feld in den Einstellungen Ihres Identitätsanbieters eingeben:
https://login.personio.com/login/callback
OpenID Connect/OAuth 2.0 in Personio konfigurieren
- Gehen Sie in Personio zu Einstellungen.
- Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung.
- Gehen Sie in der Liste der Login-Methoden zuOpen ID Connect (OIDC) und klicken auf Konfigurieren.
- Füllen Sie unter Konfiguration die unten beschriebenen Felder aus.
| Feld | Details |
| Button-Anzeigetext | Geben Sie den Text ein, der auf dem Login-Button angezeigt werden soll (z. B. „Mit [Ihr Text] fortfahren“). Wenn Sie das Feld leer lassen, wird standardmäßig "Mit SSO fortfahren" angezeigt. Beachten Sie, dass individuelle Texte nicht übersetzt werden. |
| Aussteller | Im Abschnitt unten finden Sie weitere Informationen. |
| Autorisierungs-URI | Geben Sie die Autorisierungs-URI ein. Das System leitet Nutzende auf die Autorisierungs-URI-Seite weiter, wenn sie auf Mit OAuth einloggen klicken. |
| Token-URI | Geben Sie die Token URI ein. Personio ruft diesen Endpunkt auf, um ein Token zu erhalten, mit dem überprüft wird, ob die eingegebenen Zugriffsdaten korrekt sind. |
| UserInfo-URI |
Wählen Sie GET aus dem Dropdown-Menü aus. Fügen Sie den Userinfo-Endpunkt „https://graph.microsoft.com/oidc/userinfo“ in das Feld ein. Die Checkbox Lesen von Entitäten aus ID-Token überspringen ist standardmäßig gesetzt. Beim Login liest das System die Nutzendeninformationen, einschließlich der E-Mail-Adresse, vom Userinfo-URI und nicht vom Token-URI. Deaktivieren Sie die Checkbox, wenn Sie möchten, dass die Nutzendeninformationen vom Token-URI gelesen werden. Dadurch können Sie OAuth mit Active Directory Federation Services (ADFS) nutzen. |
| JSON Web Key Sets URI | Im Abschnitt unten finden Sie weitere Informationen. |
| Scopes | Legen Sie fest, wie Nutzendeninformationen in Personio übertragen werden. Bei vielen OAuth-Anbietern lautet der korrekte Wert für dieses Feld"openid, email". |
| Client-ID | Geben Sie die Client-ID für die Authentifizierung ein. |
| Client Secret | Gegen Sie den Clientschlüssel für die Authentifizierung ein. |
| Ablaufdatum des Schlüssels |
Geben Sie das Ablaufdatum Ihres Clientschlüssels ein. Personio versendet 30, 14, 7 Tage sowie 1 Tag vor dem eingegebenen Datum jeweils eine Erinnerungs-E-Mail an Kontoinhabende. Wenn Sie den Schlüssel und das Ablaufdatum aktualisieren, werden keine Erinnerungen mehr versendet. Wir empfehlen Ihnen, dieses Feld jedes Mal zu aktualisieren, wenn Sie den Schlüssel ändern, damit die Erinnerungen korrekt versendet werden. Wenn Ihr Clientschlüssel abläuft, sendet Personio der kontoinhabenden Person eine E-Mail mit Schritten zur Wiederherstellung des Zugriffs auf Personio. |
| Claim-Feld |
Wählen Sie das Feld in Ihrem Identitätsanbieter mit den E-Mail-Adressen Ihrer Mitarbeitenden aus. Um zu überprüfen, ob ein Mitarbeiter in Personio vorhanden ist, prüft das System, ob der Wert in diesem Feld der in Personio verwendeten E-Mail-Adresse entspricht. Sie können zwischen „email“, „unique_name“, „sub“ und „upn“ wählen. Wenn Sie Standard nutzen auswählen, prüft das System die Felder „email“, „unique_name“ und „sub“ der Reihe nach, bis eines gefunden wird, das einen Wert enthält. |
| Authentication Context Class Reference | Optional: Geben Sie die Authentication Context Class Reference ein. Diese Referenz entspricht dem Feld acr_values in Ihrem Identitätsanbieter. Über diese Referenz können Sie weitere Prozesse auf der Seite Ihres Identitätsanbieters einrichten, wie z. B. 2FA. |
Aussteller- und JWKs-URI-Felder konfigurieren
- Der Aussteller ist die Aussteller-Identifikationsnummer des Autorisierungsservers in der Autorisierungsantwort. Geben Sie in diesem Feld den Wert des Ausstellers aus dem Endpunkt .well-known/openid-configuration Ihres SSO-Anbieters ein.
- Die JSON Web Key Sets (JWKs) URI ist die Discovery-URI für einen Satz öffentlicher Schlüssel. Diese Schlüssel verifizieren jedes JSON Web Token (JWT), das vom Autorisierungsserver ausgestellt wurde. Geben Sie in diesem Feld den Wert des Feldes jwks_uri aus dem Endpunkt .well-known/openid-configuration Ihres SSO-Anbieters ein.
Die Felder Aussteller und jwks_uri finden Sie im Discovery-Document-Endpunkt Ihres SSO-Anbieters. Sie können diese normalerweise über eine dieser URLs aufrufen:
- https://example-provider.com/well-known/openid-configuration
- https://example-provider/oauth2/token/.well-known/openid-configuration
- https://example-provider.com/oauth2/authorize/.well-known/openid-configuration
- https://example-provider.com/v2.0/.well-known/openid-configuration
5. Prüfung und Test
Tipp:
Wenn Sie Ihren gewählten Identitätsanbieter als einzige aktivierte Login-Methode festlegen möchten, führen Sie zuerst einen Konfigurationstest durch. Dadurch wird verhindert, dass Sie sich durch eine falsche Konfiguration selbst aussperren.
- Überprüfen Sie die Daten, die Sie in Personio eingegeben haben.
- Speichern Sie Ihre Änderungen.
- Um die OIDC-Verbindung zu testen, aktivieren Sie die Verbindung, und klicken Sie auf den Button Testen.
- Die Verbindung leitet Sie weiter, sodass Sie sich bei Ihrem Identitätsanbieter einloggen können. Bei Fehlern hilft eine Meldung bei der Fehlerbehebung.
Mitarbeitende können sich nur dann über OAuth einloggen, wenn die E-Mail-Adresse für das Attribut "email", "unique_name" oder "sub" in Ihrem OAuth-Anbieter mit der in Personio verwendeten E-Mail-Adresse übereinstimmt.
Optional: SSO bei Ihrem gewählten Identitätsanbieter durchsetzen
Nachdem Sie die Konfiguration abgeschlossen haben, können Sie SSO bei Ihrem gewählten Identitätsanbieter durchsetzen. Um den Login über OpenID Connect (OIDC) für alle Mitarbeitenden verpflichtend zu machen, legen Sie ihn als einzige aktivierte Login-Methode fest.
LDAP/Active Directory über OAuth 2.0
Wenn Sie Ihr Active Directory in Personio integrieren möchten, müssen Sie diese Option über einen Identitätsanbieter implementieren. Der Identitätsanbieter ist eine OAuth-Schnittstelle zwischen Ihrem Active Directory und Personio.
Hierfür bietet sich der WSO2 Identity Server an, ein gutes Tool für Identitäts- und Zugriffsverwaltung. Ein kostenloser Download steht zur Verfügung.
Wenn Sie bereits einen dieser Anbieter verwenden, können Sie Ihre OAuth-Integration darüber einrichten: