Okta

 

In diesem Artikel erfahren Sie, wie Sie Okta mit Personio integrieren können. Hier finden Sie eine Übersicht über die Installationsvoraussetzungen für die Integration mit der Mitarbeiterdaten-API in Personio sowie Anweisungen, wie Sie die Integration einrichten können. 

 

Welche Möglichkeiten gibt mir die Integration von Personio mit Okta?

Diese Integrationen vereinfacht die Prozesse für Onboarding und Offboarding von Mitarbeitern sowie alle relevanten Änderungen an Mitarbeiterinformationen (z. B. Rollen oder Abteilungsänderungen). Sie aktualisiert Okta automatisch mit aktuellen Informationen aus Personio, um unterschiedliche Zugriffe zu verwalten, die Mitarbeiter über Okta erhalten.

Hinweis: Die Synchronisierung funktioniert nur von Personio zu Okta. Wenn Sie Informationen in Okta aktualisieren, werden diese Informationen in Personio nicht automatisch synchronisiert.

 

Wie kann ich die Integration einrichten?

Um die Integration einzurichten, folgen Sie diesen Schritten:

1. Voraussetzungen für eine erfolgreiche Integration

  • Sie müssen in Personio Bearbeitungsrechte für den Personio Marketplace haben (Einstellungen > Mitarbeiterrollen > Zugriffsrechte > Kontokonfiguration > Integration Marketplace) oder Administrator sein.
  • Sie benötigen das Okta-API-Token, das von Ihrem Okta-Administrator generiert wird.

 

2. Neue API-Zugriffsdaten erstellen

Sie müssen in Personio zunächst neue API-Zugriffsdaten für diese Integration in Einstellungen > API-Zugriffsdaten generieren. In den meisten Fällen hinterlegt das System automatisch die Systemattribute, welche die Integration lesen und schreiben muss, sobald Sie eine Integration im Dropdown Menü auswählen. Sie können benötigte Attribute jederzeit manuell hinzufügen oder entfernen. Für weitere Informationen zur Vorgehensweise finden Sie in unserem Help Center einen Artikel zum Erstellen und Verwalten von API-Zugriffsdaten.

Sie müssen Okta erlauben, mindestens die folgenden Mitarbeiterattribute zu lesen:

  • Vorname
  • Nachname
  • E-Mail
  • Anstelldatum
  • Ende des Arbeitsverhältnisses
  • Status
  • Erstellt am (dies ist das Datum, an dem das Mitarbeiterprofil erstellt wurde; dies ist für die erste Synchronisierung erforderlich)

 

3. Okta im Marketplace suchen

Die Integration mit Okta kann direkt in Personio vorgenommen werden. Es gibt zwei Möglichkeiten, um die Integration in Personio zu finden. Navigieren Sie zu Einstellungen > Marketplace > Okta. Navigieren Sie alternativ zu Workflow Hub > Onboarding > Optimierung mit Integrationen. Klicken Sie auf den Button Okta verbinden, um die Authentifizierung zu starten.

Hinweis:
Wenn Sie die Integration im Marketplace nicht finden können, stellen Sie sicher, dass die Checkbox Tray.io, Inc. unter Einstellungen > Support > Paket & Rechnung > Auftragsverarbeitungsvertrag (AVV) aktiviert ist.

Personio arbeitet mit Tray.io als Auftragsdatenverarbeiter, um die Einbeziehung bestimmter Integrationen zu ermöglichen.Ohne Nutzung der genannten Integration werden keine Daten an Tray.io übertragen.

 

4. Okta authentifizieren

Authentifizieren Sie Okta anhand eines API-Tokens, der von einem Global Okta Admin generiert wurde, und einer Domain. Wenn Sie mehrere Domains haben, wählen Sie diejenige aus, die sich auf Personio bezieht. Sie können für diese Integration nur eine Domain verwenden. Klicken Sie auf Weiter.

 

5. Personio authentifizieren

Authentifizieren Sie Personio, indem Sie die API-Zugriffsdaten eingeben, die Sie für diese Integration in Einstellungen > API-Zugriffsdaten generiert haben. Klicken Sie auf Weiter.

 

6. Log-in-Schema definieren

Wählen Sie das Format für das Log-in-Schema, mit dem neue Anmeldungen erstellt werden sollen. Dies ist im Allgemeinen die geschäftliche E-Mail-Adresse, beispielsweise „max.mustermann@demo.com“. 

Hinweis:
Falls ein Mitarbeiter mit den gleichen Werten für die gewählten Attribute hinzugefügt wird, erstellt Okta ein Profil mit dem Log-in-Schema Log-inAnfang[Trennzeichen]Log-inEnde_MitarbeiterID@Domain (z. B. maxmustermann_12345@demo.com).

Legen Sie das Schema an, indem Sie zunächst einen Log-in-Anfang aus den verfügbaren Attributen auswählen (z. B. „Vorname“) und definieren, ob Entire field (Ganzes Feld) oder nur First letter (Anfangsbuchstabe) verwendet werden soll.Fügen Sie dann optional ein Trennzeichen (z. B. „.“) und ein Log-in-Ende (z. B. „Nachname“) hinzu und wählen Sie eine Bevorzugte Okta-Domain aus (z. B. „@demo.com“).Klicken Sie auf Weiter.

Tipp:
Wenn Sie lieber kein Trennzeichen und kein Log-in-Ende hinzufügen möchten, geben Sie für beide Optionen None ein und stellen Sie sicher, dass Sie für das Log-in-Ende zusätzlich Entire field (Ganzes Feld) oder First letter (Anfangsbuchstabe) ausgewählt haben.

 

7. Attribute abbilden

Wählen Sie die Okta-Attribute aus, die Sie den Personio-Attributen zuordnen möchten. In diesem Schritt können Sie auch entscheiden, ob Sie die Aktivierung der Benutzer am Einstelldatum automatisieren möchten. Klicken Sie auf Abschließen.

 

8. Konfiguration abschließen

Mit Klick auf den Button Abschließen schließen Sie Ihre Okta-Integration ab. Im Personio Marketplace können Sie die verknüpften Attribute jederzeit ändern oder die Integration deaktivieren. Weitere Informationen zum Personio Marketplace finden Sie in unserem Helpcenter-Artikel Personio Marketplace

 

Onboarding und Offboarding sowie Workflows zu Rollenänderungen mit Okta

1. Erstsynchronisierung

Sobald die Integration eingerichtet ist, wird der Workflow Erstsynchronisierung aktiviert. Wenn Sie bereits Benutzer in Okta erstellt haben, die Ihren Mitarbeitern in Personio entsprechen, versucht die Integration, die entsprechenden Mitarbeiter-IDs aus Personio an die Okta-Benutzerprofile weiterzugeben, indem das UPN-Attribut in Okta dem E-Mail-Attribut in Personio zugeordnet wird:

  • Bei einer Übereinstimmung wird die entsprechende Mitarbeiter-ID in Personio in das Attributfeld Mitarbeiternummer geschrieben. Dieser Benutzer wird nun für die Workflows Aktualisierung von Benutzern und Deaktivierung von Benutzern berücksichtigt.
  • Wenn es keine Übereinstimmung gibt, müssen Sie den passenden Mitarbeiter manuell in Personio identifizieren, seine vom System erstellte Mitarbeiter-ID (= die Zahl am Ende der URL des Personio-Mitarbeiterprofils) ermitteln und diese in das Attributfeld für die Mitarbeiter-ID in Azure AD einfügen.

Wenn einer Ihrer Mitarbeiter in Personio kein Profil in Okta hat, müssen Sie diese Profile manuell erstellen und die Personio-Mitarbeiter-ID zum Attributfeld Mitarbeiternummer in Okta hinzufügen.

Hinweis:
Der Workflow für die Erstsynchronisierung gilt nur für Mitarbeiter, die bereits in Ihrem Personio-Konto vorhanden sind.Neu erstellte Mitarbeiter, die entweder massenweise importiert oder manuell hinzugefügt wurden, werden automatisch über den Workflow Benutzerbereitstellung zu Okta hinzugefügt, unabhängig davon, ob sie bereits über ein Okta-Benutzerprofil verfügen.

 

2. Erstellen von Benutzern

Sobald ein Mitarbeiter in Personio angelegt ist, erstellt die Integration in Okta einen neuen Benutzer mit dem Status Staged. Das bedeutet, dass der Benutzer zwar angelegt ist, sich aber nicht anmelden kann, bis der Status auf Aktiv geändert wurde. Sie können diese Aktivierung automatisieren und das Einstelldatum wie oben in Schritt 7. Attribute abbilden beschrieben festlegen.

Hinweise
▶ ︎Um ein Profil in Okta zu erstellen, müssen die Attribute Vorname, Nachname und E-Mail im Mitarbeiterprofil in Personio befüllt sein.
▶ ︎Dieser erste Workflow für die Erstellung von Benutzern legt den Benutzer in Okta an, aber es ist der Workflow zur Benutzeraktualisierung, der das Profil füllt.

Im Workflow zum Erstellen von Benutzern wird die Mitarbeiter-ID in Personio in das Feld Mitarbeiternummer im Okta-Profil übertragen und der Benutzername für den Benutzer erstellt. Dies geschieht gemäß dem Login-Schema, das Sie wie in Schritt 6. Login-Schema definieren oben Ihren Anforderungen entsprechend konfiguriert haben.

 

3. Aktualisierung von Benutzern

Der Workflow zur Aktualisierung von Benutzern in Okta wird alle 30 Minuten ausgeführt und prüft, ob ein Attribut, das während des Einrichtungsprozesses (Schritt 7) zugeordnet wurde, in der Zwischenzeit in Personio geändert wurde. Wenn ein Attribut in Personio geändert wurde, aktualisiert dies automatisch das zugeordnete Attribut in Okta. Okta kann dann diese neuen Informationen verwenden, um Zugriffsrechte für bestimmte Tools zu gewähren oder zu widerrufen.

Hinweise:
▶ ︎Für diesen Workflow muss die Mitarbeiter-ID im Benutzerprofil in Okta vorhanden sein.
▶ ︎Änderungen werden nur von Personio an Okta übertragen. Wenn Sie ein Attribut in Okta manuell ändern, wird dies in Personio nicht automatisch aktualisiert.

 

4. Deaktivierung von Benutzern

Sobald das Kündigungsdatum in Personio überschritten ist, wird der Status des Benutzers in Okta von Aktiv auf Deaktiviert geändert. Der Mitarbeiter kann sich dann nicht mehr über SSO bei seinen Systemen anmelden (Slack-Konto, E-Mail-Konto usw.).

Hinweis: Benutzer werden nicht gelöscht. So haben Sie weiterhin Zugriff auf ihre Daten und die mit ihnen verbundenen Dienste wie E-Mail-Inboxen usw.

 

Derzeitige Grenzen der Integration

  • Zurückschreiben von Attributen

Alle in der Überleitungstabelle ausgewählten Attribute werden von Personio an Okta gesendet. Die Integration unterstützt derzeit keine Synchronisierung von Okta zu Personio.

 

Weitere Informationen

Weitere Informationen über die Automatisierung Ihres Identitäts- und Zugriffsmanagements mithilfe einer Integration mit Personio finden Sie in unserem Help-Center-Artikel Identitäts- und Zugriffsmanagement.

 

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.

    Themen dieses Artikels