In diesem Artikel wird erläutert, wie Sie Single Sign-on mit SAML 2.0 in Personio einrichten. SAML (Security Assertion Markup Language) 2.0 ist ein weit verbreiteter Authentifizierungsstandard. Mit dieser Einrichtung kann Ihr Unternehmen einen vorhandenen Identitätsanbieter (IdP) nutzen, um sich bei Personio einzuloggen. Das bedeutet, dass Ihre Mitarbeitenden kein separates Personio Passwort verwalten müssen.
Personio unterstützt jeden IdP, der mit SAML 2.0 kompatibel ist, darunter die folgenden:
- Microsoft Entra ID (Azure AD) / ADFS
- Okta
- OneLogin
- JumpCloud
Bevor Sie beginnen
- Um SSO mit SAML einzurichten, benötigen Sie die folgenden Berechtigungen:
- Admin-Rolle in Personio oder
- Mitarbeitendenrolle mit Rechten zum Bearbeiten von Account-Konfiguration > Authentifizierung.
- Stellen Sie sicher, dass Sie bereits Ihre Mitarbeitenden zu Personio eingeladen haben. Jede Person muss ihren Account erst aktivieren, bevor sie sich einloggen kann.
- Sie benötigen Admin-Rechte in Ihrem IdP, um eine neue Dienstanbieter-Anwendung zu registrieren.
- Ihr IdP muss SAML 2.0 mit vom Dienstanbieter initiiertem SSO unterstützen.
- Personio ordnet authentifizierte Nutzende anhand ihrer E-Mail-Adresse Mitarbeitendendatensätzen zu. Jeder Mitarbeiter, der SAML SSO nutzt, muss in Personio bereits über ein Mitarbeitendenprofil mit einer übereinstimmenden E-Mail-Adresse verfügen.
Schritt 1: Öffnen Sie die SAML-Konfiguration in Personio
Befolgen Sie diese Schritte:
- Gehen Sie in Personio zu Einstellungen.
- Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung.
- Wählen Sie in der Liste der Login-Methoden SAML aus und klicken Sie auf Konfigurieren.
- Unter Anbietereinstellungen zeigt Personio eine Reihe von Metadatenfeldern und voreingestellten Werten an. Diese Werte benötigen Sie im nächsten Schritt, wenn Sie Personio bei Ihrem IdP registrieren. In der folgenden Tabelle sind die einzelnen Metadatenwerte und ihr jeweiliger Verwendungszweck aufgeführt.
| Feld | Details |
| URL des Assertion Consumer Service (ACS) | Der Endpunkt, an den Ihr IdP die SAML-Antwort sendet, nachdem sich eine nutzende Person authentifiziert hat. |
| Kennung (ID der Gesellschaft) |
Eine weltweit eindeutige Kennung, die in Ihrer SAML-Föderation für Personio steht. |
| Signaturnachweis (optional) |
Ein Nachweis, der zur Validierung signierter SAML-Authentifizierungsanfragen verwendet wird. Alle Authentifizierungsanfragen von Personio werden mit RSA-SHA256 signiert und per HTTP-POST gesendet. Exportieren Sie den Nachweis, da Sie ihn für den nächsten Schritt benötigen. Je nach Bedarf können Sie zwischen den Formaten .cer und .pem wählen. |
Schritt 2: Registrieren Sie Personio als Dienstanbieter bei Ihrem IdP
Registrieren Sie Personio unter Verwendung der in Schritt 1 festgelegten Anbietereinstellungen als neue SAML-Anwendung in Ihrem IdP. Die Einzelheiten der Schritte hängen von Ihrem IdP ab, in der Regel müssen Sie jedoch Folgendes tun:
- Erstellen Sie in Ihrem IdP eine neue SAML-Anwendung (manchmal auch als Enterprise-Anwendung, Relying Party Trust oder Dienstanbieterverbindung bezeichnet).
- Stellen Sie die URL für den Assertion Consumer Service (ACS) bzw. die Antwort-URL auf die in Schritt 1 festgelegten Personio Werte ein.
- Setzen Sie die ID der Gesellschaft/Kennung auf die Personio ID der Gesellschaft aus Schritt 1.
- Optional: Laden Sie den Signaturnachweis von Personio (den Sie in Schritt 1 exportiert haben) hoch, damit Ihr IdP signierte Anfragen überprüfen kann.
- Konfigurieren Sie Ihren IdP so, dass die E-Mail-Adresse der nutzenden Person als Attribut übermittelt wird. Personio identifiziert Mitarbeitende, indem es in folgender Reihenfolge nach einem E-Mail-Attribut sucht: zunächst nach einem Standard-E-Mail-Claim (für Nicht-Microsoft-IdPs), dann nach http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress und schließlich nach http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Diese Adresse muss mit den Angaben im Mitarbeitendendatensatz in Personio übereinstimmen, damit Zugriff gewährt wird.
- Stellen Sie in Ihrem IdP das Name-ID-Format auf E-Mail-Adresse ein. Dadurch wird sichergestellt, dass Ihr IdP die Identität der nutzenden Person im von Personio erwarteten Format übermittelt. Ohne diese Angabe wird Mitarbeitenden beim Versuch, sich einzuloggen, möglicherweise eine Fehlermeldung angezeigt.
- Suchen Sie nach dem Speichern den Speicherort der SAML-Metadaten Ihres IdP. Diese Angabe finden Sie in der Regel in den Einstellungen Ihrer IdP-Anwendung unter einer Bezeichnung wie App Federation Metadata URL, SAML Metadata URL oder Federation Metadata Endpoint. Kopieren Sie diese Adresse, da Sie sie im nächsten Schritt benötigen.
Schritt 3: Schließen Sie die Konfiguration in Personio ab
Kehren Sie zur SAML-Konfigurationsseite in Personio zurück. Füllen Sie die folgende Felder aus.
Client-Konfiguration
| Feld | Details |
| Metadaten .xml-URL | Die SAML-Metadatenadresse Ihres Identitätsanbieters. Personio nutzt sie, um den Signaturnachweis Ihres IdP, die SSO-Endpunkte und weitere Einstellungen automatisch abzurufen. |
Login-Erfahrung (optional)
| Feld | Details |
| Button-Anzeigetext |
Geben Sie den Text ein, der auf dem Login-Button angezeigt werden soll (z. B. „Mit [Ihr Text] fortfahren“). Beachten Sie, dass individuelle Texte nicht übersetzt werden. Wenn Sie dieses Feldes leer lassen, wird standardmäßig „Mit SSO fortfahren“ auf dem Login-Button angezeigt. |
| Home Realm Discovery |
Geben Sie eine oder mehrere E-Mail-Domänen ein, getrennt durch ein Komma. Das System leitet Nutzende mit diesen Domänen beim Login automatisch an diesen IdP weiter. Geben Sie beispielsweise yourcompany.com ein, wenn Ihre Mitarbeitenden E-Mail-Adressen mit der Endung @yourcompany.com verwenden. Diese Einstellungen sind besonders nützlich, wenn Sie auch Personio Zugriffsdaten aktiviert haben. Sie zwingt Nutzende mit entsprechenden Domänen dazu, sich über SAML einzuloggen und nicht ihre E-Mail-Adresse und ihr Passwort zu verwenden. |
Schritt 4: Speichern Sie Ihre Konfiguration und testen Sie die Verbindung
Tipp:
Wenn Sie Ihren gewählten IdP als einzige aktivierte Login-Methode festlegen möchten, führen Sie zuerst einen Konfigurationstest durch. Dadurch wird verhindert, dass Sie sich durch eine falsche Konfiguration selbst aussperren.
Vergewissern Sie sich, dass Sie beim Testen der Verbindung als Admin eingeloggt sind. Die E-Mail-Adresse Ihres Personio Accounts muss mit einer nutzenden Person in Ihrem IdP übereinstimmen. Sollte der Test fehlschlagen, überprüfen Sie bitte, ob die ACS-URL und die ID der Gesellschaft in Ihrem IdP genau mit den Werten übereinstimmen, die Personio in Schritt 1 bereitgestellt hat. Schon ein kleiner Unterschied (beispielsweise ein abschließender Schrägstrich) führt dazu, dass die Verbindung fehlschlägt.
- Überprüfen Sie die Daten, die Sie in Personio eingegeben haben.
- Klicken Sie auf Senden, um Ihre Konfiguration zu speichern. Personio greift auf die Metadatenadresse Ihres IdP zu und importiert den Signaturnachweis, die SSO-Endpunkte sowie weitere IdP-Einstellungen.
- Überprüfen Sie die Details des importierten IdP: die Login-Adresse, den allgemeinen Namen des Nachweises und das Ablaufdatum des Nachweises. Das hilft Ihnen sicherzustellen, dass Sie eine Verbindung zum richtigen IdP hergestellt haben.
- Testen Sie Ihre Verbindung.
Während des Tests leitet Personio einen SAML-Authentifizierungsablauf ein, der Sie zum Einloggen bei Ihrem IdP weiterleitet. Im Erfolgsfall werden Sie auf dieselbe Seite zurückgeleitet, was bestätigt, dass die Verbindung funktioniert.
Login-Verhalten nach der Konfiguration verstehen
Sobald SAML SSO aktiviert ist, gilt Folgendes:
- Nur von Personio initiierter Login: Mitarbeitende müssen sich über die Login-Seite von Personio anmelden. Logins, die direkt über das IdP-Dashboard initiiert werden (IdP-initiiertes SSO), werden nicht unterstützt.
- Mit Home Realm Discovery: Wenn die E-Mail-Adresse eines Mitarbeiters mit einer konfigurierten Domain übereinstimmt, leitet das System ihn automatisch zur Login-Seite des IdP weiter.
- Ohne Home Realm Discovery: Die Mitarbeitenden klicken auf der Login-Seite von Personio auf die Schaltfläche SSO-Login. Dadurch werden sie zu Ihrem IdP weitergeleitet. Wenn sie stattdessen ihre E-Mail-Adresse ins E-Mail-Feld eingeben, werden sie zur Eingabe eines Passworts aufgefordert und nicht zu Ihrem IdP weitergeleitet.
- Mitarbeitendenabgleich: Nach der Authentifizierung ordnet Personio die nutzende Person anhand ihrer E-Mail-Adresse einem Mitarbeitendendatensatz zu. Wenn kein passender Datensatz vorhanden ist, wird der Zugriff verweigert.
Metadaten Ihres IdP aktualisieren
Tipp:
Personio erkennt Änderungen an den Metadaten Ihres IdP nicht automatisch. Wenn Sie die Konfiguration Ihres IdP ändern, müssen Sie anhand der folgenden Schritte manuell eine erneute Synchronisierung durchführen.
Wenn der Signaturnachweis Ihres IdP erneuert wird oder sich Ihre IdP-Konfiguration ändert, können Sie die Metadaten in Personio aktualisieren. Die Verbindung müssen Sie dazu nicht neu konfigurieren.
- Gehen Sie zu Einstellungen.
- Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung.
- Wählen Sie in der Liste der Login-Methoden SAML aus und klicken Sie auf Verwalten.
- Gehen Sie im Abschnitt Konfiguration zum Feld Metadata.xml-URL und klicken Sie auf Aktualisieren.
- Geben Sie die Metadatenadresse ein.
- Speichern Sie Ihre Änderungen.
Personio führt eine erneute Synchronisierung mit der Metadatenadresse durch und aktualisiert die Nachweis- und Endpunktdaten. Das Ablaufdatum des Nachweises wird angezeigt, sobald Sie Ihre Änderungen gespeichert haben.
SAML-Sicherheitseinstellungen verstehen
Die folgenden Sicherheitseinstellungen gelten für alle SAML-Verbindungen in Personio. Sie können sie nicht ändern. In der folgenden Tabelle sind die einzelnen Einstellungen mit den entsprechenden Werten aufgeführt.
| Einstellung | Wert / Verhalten |
| Signatur anfordern | Alle von Personio gesendeten SAML-Authentifizierungsanfragen sind standardmäßig signiert. Konfigurieren Sie Ihren IdP so, dass er signierte Anfragen akzeptiert. |
| Signaturalgorithmus | RSA-SHA256. SHA-1 wird nicht unterstützt. |
| Anfrage verpflichtend | HTTP-POST wird erzwungen. HTTP-Weiterleitungen werden nicht unterstützt. |
| Assertion-Validierung | Übernommen von Auth0 (der Identitätsschicht von Personio), das SAML-Assertions, Nachweise und Signaturen validiert. |