Zum Hauptinhalt gehen

Wie können wir Ihnen helfen?

Zurück

Okta

 

In diesem Artikel erfahren Sie, wie Sie Okta mit Personio integrieren können. Hier finden Sie eine Übersicht über die entsprechenden Voraussetzungen sowie eine Anleitung, wie Sie die Integration einrichten.

 

Welche Möglichkeiten gibt mir die Integration von Personio mit Okta?

Diese Integration vereinfacht die Prozesse für das Onboarding und Offboarding von Mitarbeitenden sowie alle relevanten Änderungen an Mitarbeiterinformationen (z. B. Rollen- oder Abteilungsänderungen). Sie aktualisiert Okta automatisch mit aktuellen Informationen aus Personio, um unterschiedliche Zugriffe zu verwalten, die Mitarbeitende über Okta erhalten.

Hinweis: Die Synchronisierung funktioniert nur von Personio zu Okta. Wenn Sie Informationen in Okta aktualisieren, werden diese Informationen in Personio nicht automatisch synchronisiert.

 

Wie kann ich die Integration einrichten?

Um die Integration einzurichten, folgen Sie diesen Schritten:

 

1. Voraussetzungen für eine erfolgreiche Integration

  • Sie müssen in Personio Bearbeitungsrechte für den Personio Marketplace haben (Einstellungen > Mitarbeiterrollen > Zugriffsrechte > Konto-Konfiguration > Integration Marketplace) oder Admin sein.
  • Sie benötigen das Okta-API-Token, das von Ihrem Okta-Administrator generiert wird.

 

2. Okta im Marketplace suchen

Die Integration mit Okta kann direkt in Personio vorgenommen werden. Es gibt zwei Möglichkeiten, um die Integration in Personio zu finden. Navigieren Sie zu Einstellungen > Marketplace > Okta. Klicken Sie auf den Button Okta verbinden, um die Authentifizierung zu starten.

Hinweis:
Wenn Sie die Integration im Marketplace nicht finden können, stellen Sie sicher, dass die Checkbox Tray.io, Inc. unter Einstellungen > Support > Paket & Rechnung > Auftragsverarbeitungsvertrag (AVV) aktiviert ist.

Personio arbeitet mit Tray.io als Auftragsdatenverarbeiter, um die Einbeziehung bestimmter Integrationen zu ermöglichen.Ohne Nutzung der genannten Integration werden keine Daten an Tray.io übertragen.

 

3. Okta authentifizieren

Authentifizieren Sie Okta durch Eingabe eines API-Tokens (der Token-Wert, der im Okta Admin generiert wurde) und einer Domain ("beispiel.okta.com"). Wenn Sie mehrere Domains haben, wählen Sie diejenige aus, die sich auf Personio bezieht. Sie können für diese Integration nur eine Domain verwenden. Klicken Sie auf Weiter.

 

4. Personio authentifizieren

Um mit dem Setup-Prozess fortzufahren, müssen Sie der Integration Zugriff auf die erforderlichen Personio-Daten gewähren. Überprüfen Sie die Berechtigungen, die für die Integration erforderlich sind, und klicken Sie auf Weiter, um fortzufahren.

Tipp
Sie können die gewährten Berechtigungen nach dem Setup-Prozess überprüfen, indem Sie zu Einstellungen > Integrationen > API-Anmeldedaten gehen und auf die Okta-Integration klicken.

 

5. Login-Schema definieren

Wählen Sie das Format für das Login-Schema, mit dem neue Anmeldungen erstellt werden sollen. Dies ist im Allgemeinen die geschäftliche E-Mail-Adresse, beispielsweise „max.mustermann@demo.com“. 

Hinweis:
Falls ein Mitarbeiter mit den gleichen Werten für die gewählten Attribute hinzugefügt wird, erstellt Okta ein Profil mit dem Log-in-Schema Log-inAnfang[Trennzeichen]Log-inEnde_MitarbeiterID@Domain (z. B. maxmustermann_12345@demo.com).

Legen Sie das Schema an, indem Sie zunächst einen Log-in-Anfang aus den verfügbaren Attributen auswählen (z. B. „Vorname“) und definieren, ob Entire field (Ganzes Feld) oder nur First letter (Anfangsbuchstabe) verwendet werden soll.Fügen Sie dann optional ein Trennzeichen (z. B. „.“) und ein Log-in-Ende (z. B. „Nachname“) hinzu und wählen Sie eine Bevorzugte Okta-Domain aus (z. B. „@demo.com“).Klicken Sie auf Weiter.

Tipp:
Wenn Sie lieber kein Trennzeichen und kein Log-in-Ende hinzufügen möchten, geben Sie für beide Optionen None ein und stellen Sie sicher, dass Sie für das Log-in-Ende zusätzlich Entire field (Ganzes Feld) oder First letter (Anfangsbuchstabe) ausgewählt haben.

 

6. Attribute verknüpfen

Wählen Sie die Okta-Attribute aus, die Sie den Personio-Attributen zuordnen möchten. In diesem Schritt können Sie auch entscheiden, ob Sie die Aktivierung der Benutzenden am Anstelldatum automatisieren möchten. Klicken Sie auf Abschließen.

 

7. Konfiguration abschließen

Mit Klick auf den Button Abschließen schließen Sie Ihre Okta-Integration ab. Im Personio Marketplace können Sie die verknüpften Attribute jederzeit ändern oder die Integration deaktivieren. Weitere Informationen zum Personio Marketplace finden Sie in unserem Helpcenter-Artikel Personio Marketplace

 

Onboarding und Offboarding sowie Workflows zu Rollenänderungen mit Okta

1. Erstsynchronisierung

Sobald die Integration eingerichtet ist, wird der Workflow Erstsynchronisierung aktiviert. Wenn Sie bereits Benutzer in Okta erstellt haben, die Ihren Mitarbeitern in Personio entsprechen, versucht die Integration, die entsprechenden Mitarbeiter-IDs aus Personio an die Okta-Benutzerprofile weiterzugeben, indem das UPN-Attribut in Okta dem E-Mail-Attribut in Personio zugeordnet wird:

  • Bei einer Übereinstimmung wird die entsprechende Mitarbeiter-ID in Personio in das Attributfeld Personalnummer geschrieben. Diese benutzende Person wird nun für die Workflows Aktualisierung von Benutzern und Deaktivierung von Benutzern berücksichtigt.
  • Wenn es keine Übereinstimmung gibt, müssen Sie den passenden Mitarbeiter manuell in Personio identifizieren, seine vom System erstellte Mitarbeiter-ID (= die Zahl am Ende der URL des Personio-Mitarbeiterprofils) ermitteln und diese in das Attributfeld für die Mitarbeiter-ID in Azure AD einfügen.

Wenn einer Ihrer Mitarbeiter in Personio kein Profil in Okta hat, müssen Sie diese Profile manuell erstellen und die Personio-Mitarbeiter-ID zum Attributfeld Mitarbeiternummer in Okta hinzufügen.

Hinweis:
Der Workflow für die Erstsynchronisierung gilt nur für Mitarbeiter, die bereits in Ihrem Personio-Konto vorhanden sind.Neu erstellte Mitarbeiter, die entweder massenweise importiert oder manuell hinzugefügt wurden, werden automatisch über den Workflow Benutzerbereitstellung zu Okta hinzugefügt, unabhängig davon, ob sie bereits über ein Okta-Benutzerprofil verfügen.

 

2. Erstellen von Benutzern

Sobald ein Mitarbeitender in Personio angelegt ist, erstellt die Integration in Okta eine neue benutzende Person mit dem Status Staged. Das bedeutet, dass die benutzende Person zwar angelegt ist, sich aber nicht anmelden kann, bis der Status auf Aktiv geändert wurde. Sie können diese Aktivierung automatisieren und dafür wie oben in Schritt 6. Attribute abbilden beschrieben das Anstelldatum festlegen.

Hinweise
▶ ︎Um ein Profil in Okta zu erstellen, müssen die Attribute Vorname, Nachname und E-Mail im Mitarbeiterprofil in Personio befüllt sein.
▶ ︎Dieser erste Workflow für die Erstellung von benutzenden Personen legt die benutzende Person in Okta an, aber es ist der Workflow zur Aktualisierung von Benutzenden, der das Profil füllt.

Im Workflow zum Erstellen von Benutzern wird die Mitarbeiter-ID in Personio in das Feld Personalnummer im Okta-Profil übertragen und der Name der benutzenden Person für diese Person erstellt. Dies geschieht gemäß dem Login-Schema, das Sie wie in Schritt 5. Login-Schema definieren oben Ihren Anforderungen entsprechend konfiguriert haben.

 

3. Aktualisierung von Benutzern

Der Workflow zur Aktualisierung von Benutzern in Okta wird alle 30 Minuten ausgeführt und prüft, ob ein Attribut, das während des Setup-Prozesses (Schritt 6) zugeordnet wurde, in der Zwischenzeit in Personio geändert wurde. Wenn ein Attribut in Personio geändert wurde, aktualisiert dies automatisch das zugeordnete Attribut in Okta. Okta kann dann diese neuen Informationen verwenden, um Zugriffsrechte für bestimmte Tools zu gewähren oder zu widerrufen.

Hinweise:
▶ ︎Für diesen Workflow muss die Mitarbeiter-ID im Benutzerprofil in Okta vorhanden sein.
▶ ︎Änderungen werden nur von Personio an Okta übertragen. Wenn Sie ein Attribut in Okta manuell ändern, wird dies in Personio nicht automatisch aktualisiert.

 

4. Deaktivierung von Benutzern

Sobald das Kündigungsdatum in Personio überschritten ist, wird der Status des Benutzers in Okta von Aktiv auf Deaktiviert geändert. Der Mitarbeiter kann sich dann nicht mehr über SSO bei seinen Systemen anmelden (Slack-Konto, E-Mail-Konto usw.).

Hinweis: Benutzer werden nicht gelöscht. So haben Sie weiterhin Zugriff auf ihre Daten und die mit ihnen verbundenen Dienste wie E-Mail-Inboxen usw.

 

Derzeitige Grenzen der Integration

Zurückschreiben von Attributen

Alle in der Überleitungstabelle ausgewählten Attribute werden von Personio an Okta gesendet. Die Integration unterstützt derzeit keine Synchronisierung von Okta zu Personio.

 

Weitere Informationen

Weitere Informationen über die Automatisierung Ihres Identitäts- und Zugriffsmanagements mithilfe einer Integration mit Personio finden Sie in unserem Help-Center-Artikel Identitäts- und Zugriffsmanagement.