Zum Hauptinhalt gehen

Wie können wir Ihnen helfen?

Als Admin können Sie jetzt einen Blick auf die neue Personio-Erfahrung werfen!

Gehen Sie zur Startseite und aktivieren Sie die neue Erfahrung, um unsere intelligente HR-Plattform mit frischem Design und neuen Funktionen zu erkunden. Testen Sie ohne Einschränkung, — denn die Änderungen sind während dieser frühen Testphase für Ihre Mitarbeitenden nicht sichtbar.

Okta

Dieser Artikel erklärt, wie Sie Okta mit Personio integrieren können. Wenn verbunden, vereinfacht Okta die Prozesse für das On- und Offboarding von Mitarbeitenden und für Änderungen in den Mitarbeitendendaten. Die Integration aktualisiert Okta automatisch mit aktuellen Informationen aus Personio, um unterschiedliche Zugriffsrechte zu verwalten, die Mitarbeitende über Okta erhalten.

Hinweis: Die Synchronisierung funktioniert nur von Personio zu Okta. Wenn Sie Informationen in Okta aktualisieren, werden diese Informationen in Personio nicht automatisch synchronisiert.

Voraussetzungen für eine erfolgreiche Integration

Stellen Sie vor der Integration sicher, dass Folgendes der Fall ist: 

  • Sie haben eine Admin-Rolle oder Bearbeitungsrechte für die Marketplace-Integration und API in Personio über Einstellungen > Personen > Mitarbeitendenrollen> Zugriffsrechte > Konto-Konfiguration > Integration Marketplace und API.
  • Sie haben das Okta-API-Token, der von Ihrem Okta-Administrator generiert wird.
  • Die Checkbox Tray.io, Inc. unter Einstellungen > Support > Abonnement & Rechnung > Informationen zur Datensicherheit ist aktiviert.
  • Um ein Profil in Okta zu erstellen, muss das Mitarbeitendenprofil in Personio die Attribute Vorname, Nachname und E-Mail enthalten.

Okta verbinden und authentifizieren

Richten Sie die Okta-Integration mit dem Konfigurationsassistenten direkt im Personio Marketplace ein. Hierfür benötigen Sie ein Okta-API-Token und eine Domain, die Sie in Personio eingeben. Folgen Sie diesen Schritten: 

  1. Gehen Sie in Personio zum Marketplace, suchen Sie nach der Okta-Integration und wählen Sie diese aus.
  2. Klicken Sie auf Verbinden, um den Konfigurationsassistenten zu öffnen.
  3. Geben Sie Ihr API-Token (der Token-Wert, der im Okta-Administrator generiert wurde) und Ihre Domain ein. Wenn Sie mehrere Domains haben, wählen Sie die aus, die sich auf Personio bezieht. Sie können für diese Integration nur eine Domain verwenden.
  4. Klicken Sie auf Weiter, um zu Schritt zwei des Konfigurationsassistenten zu gelangen und Personio zu authentifizieren.

Authentifizieren Sie Personio

In Schritt zwei des Konfigurationsassistenten müssen Sie der Okta-Integration Zugriff auf die erforderlichen Personio-Daten gewähren. Folgen Sie diesen Schritten: 

  1. Überprüfen Sie die Berechtigungen, die für die Okta-Integration erforderlich sind.
  2. Klicken Sie auf Weiter, um zu Schritt drei des Konfigurationsassistenten zu gelangen und das Log-in-Schema zu definieren.

Personio lässt Okta mindestens die folgenden Systemattribute lesen:

    • Vorname
    • Nachname
    • E-Mail
    • Anstelldatum
    • Ende des Arbeitsverhältnisses
    • Status
    • Erstellt am (dies ist das Datum, an dem das Mitarbeitendenprofil erstellt wurde; dies ist für die erste Synchronisierung erforderlich)

Tipp
Sie können die gewährten Berechtigungen nach dem Setup-Prozess unter Marketplace > Verbundene Integrationen anzeigen überprüfen. Den entsprechenden Button finden Sie auf der Marketplace-Seite oben rechts.

Log-in-Schema definieren

In Schritt drei des Konfigurationsassistenten müssen Sie das Format für das Log-in-Schema auswählen, mit dem neue Anmeldungen erstellt werden sollen. Folgen Sie diesen Schritten: 

  1. Sie haben die Möglichkeit, E-Mail Adressen vorab zuzuweisen oder sie manuell über ein bestehendes Personio-Attribut zu definieren. Alternativ können Sie das Format für automatisch generierte E-Mail-Adressen konfigurieren, indem Sie die folgenden Schritte ausführen.
  2. Wählen Sie den Log-in-Anfang 
  3. Fügen Sie ein Trennzeichen hinzu 
  4. Wählen Sie das Log-in-Ende (Wenn Sie kein Trennzeichen und kein Log-in-Ende hinzufügen möchten, geben Sie für beide Optionen None ein und stellen Sie sicher, dass Sie zusätzlich Entire Field (Ganzes Feld) oder First letter (Anfangsbuchstabe) für das Log-in-Ende ausgewählt haben.)
  5. Geben Sie die bevorzugte Okta-Domain ein
  6. Klicken Sie auf Weiter, um mit Schritt vier des Konfigurationsassistenten und der Zuordnung der Attribute fortzufahren.

Hinweis
Falls eine mitarbeitende Person mit den gleichen Werten für die gewählten Attribute hinzugefügt wird, erstellt Okta ein Profil mit dem Log-in-Schema: "LoginAnfang[Trennzeichen]LoginEnd_MitarbeiterID@Domain" (z. B. maxmustermann_12345@demo.com).

Attribute zuordnen

In Schritt vier des Konfigurationsassistenten müssen Sie die Okta-Attribute auswählen, die Sie den Personio-Attributen zuordnen möchten. In diesem Schritt können Sie auch entscheiden, ob Sie die Aktivierung der Benutzenden am Anstelldatum automatisieren möchten. Folgen Sie diesen Schritten: 

  1. Überprüfen Sie alle Attribute und stellen Sie sicher, dass jedes Personio-Attribut dem entsprechenden Okta-Attributentspricht.
  2. Klicken Sie auf Attribut hinzufügen, um weitere Attribute hinzuzufügen.
  3. Klicken Sie auf Fertig stellen.

Die Einrichtung der Integration ist abgeschlossen.

Okta-Workflows

Verknüpfung der nutzenden Personen

Sobald die Integration eingerichtet ist, beginnt der Workflow zur Verknüpfung der Nutzenden. Bei diesem wird das primäre E-Mail-Attribut in Okta den E-Mail-Attributen in Personio zugeordnet.

  • Wenn das E-Mail-Attribut in Personio mit dem primären E-Mail-Attribut in Okta übereinstimmt, fügt die Integration die entsprechende Mitarbeitenden-ID aus Personio zum Feld Mitarbeitendennummer in Okta hinzu.
  • Die Mitarbeitenden-ID wird zu dem Konnektor, den die Integration in allen zukünftigen Workflows zur Aktualisierung von Nutzenden und Aufhebung von Bereitstellungen berücksichtigt. 
  • Gibt es keine Übereinstimmung, ist eine manuelle Zuordnung erforderlich. Siehe Profile manuell zuordnen.

Hinweis
Übereinstimmende Okta-Profile mit dem Status „Inaktiv“ werden bei der ersten Verknüpfung der Nutzenden nicht berücksichtigt.

Profile manuell zuordnen

Nicht übereinstimmende Profile erfordern eine manuelle Zuordnung. Folgen Sie diesen Schritten:

  1. Identifizieren Sie das Profil in Okta, das einem Mitarbeitendenprofil in Personio entspricht.
  2. Öffnen Sie das Mitarbeitendenprofil in Personio und suchen Sie die vom System generierte Mitarbeitenden-ID.
    • Gehen Sie zum entsprechenden Mitarbeitendenprofil in Personio.
    • Kopieren Sie die Zahl am Ende der Mitarbeitendenprofil-URL.
    • Fügen Sie die Zahl in das Attributfeld "Employee Number" in Okta ein. 

Erstellen von Nutzenden

  • Personio-Profile, die bei der ersten Synchronisierung nicht abgeglichen wurden, werden in Okta bereitgestellt. 
  • Die Integration überträgt die Mitarbeitenden-ID aus Personio in das Feld "Employee Number" im Okta-Profil und erstellt den Benutzernamen für diese Person gemäß dem von Ihnen festgelegten Log-in-Schema. (Siehe Log-in-Schema definieren). Im Workflow zur Aktualisierung von nutzenden Personen wird das Profil ausgefüllt.

Damit die Bereitstellung erfolgen kann, muss für das Mitarbeitendenprofil in Personio Folgendes zutreffen:

  • Die Felder Vorname, Nachname und E-Mail müssen ausgefüllt sein.
  • Die Person darf nicht im Status "Inaktiv" sein.

Hinweis
Umlaute im Namen werden für den UPN in Microsoft Entra ID gemäß dem Land Ihrer Rechnungsstellung umgewandelt. Für Kunden in der DACH-Region (z. B. Deutschland) werden Umlaute in ihre alternative Schreibweise umgewandelt: ä → ae, ö → oe, ü → ue, ß → ss. Für alle anderen Länder werden Umlaute entfernt, z. B. ä → a.

 

Aktualisierung von Nutzenden

Damit dieser Workflow erfolgreich ausgeführt werden kann, muss die Mitarbeitenden-ID im Okta-Benutzerprofil vorhanden sein.

Alle 30 Minuten führt Okta den Workflow zur Aktualisierung von Nutzenden aus, um zu prüfen, ob sich Attribute, die während des Einrichtungsprozesses zugeordnet wurden, in Personio geändert haben. Wenn ein Attribut geändert wurde, wird das zugeordnete Attribut in Okta automatisch aktualisiert.

Okta kann die Änderungsdaten verwenden, um Zugriffsrechte für bestimmte Tools basierend auf den Änderungen zu gewähren oder zu widerrufen. Die Synchronisierung von Änderungen funktioniert nur von Personio zu Okta. Wenn Sie ein Attribut in Okta manuell ändern, wird dieses in Personio nicht automatisch aktualisiert.

Hinweis
Änderungen werden nur von Personio an Okta übertragen. Wenn Sie ein Attribut in Okta manuell ändern, wird dieses in Personio nicht automatisch aktualisiert.

 

Deaktivierung von Nutzenden

Sobald sich das Statusattribut von Mitarbeitenden in Personio zu Inaktiv ändert, ändert sich auch der Status dieser Nutzenden in Okta von „Aktiv“ zu „Deaktiviert“. Sie können das Statusattribut in Personio manuell ändern, oder es wird automatisch geändert, wenn das Austrittsdatum von Mitarbeitenden überschritten ist. 

Mitarbeitende können sich dann nicht mehr in ihrem Account einloggen, aber sie werden nicht als Nutzende gelöscht. So haben Sie weiterhin Zugriff auf ihre Daten und die mit ihnen verbundenen Dienste, wie E-Mail-Inboxen.

Weitere Informationen über die Automatisierung Ihres Identitäts- und Zugriffsmanagements mithilfe einer Integration mit Personio finden Sie in unserem Helpcenter-Artikel Identitäts- und Zugriffsmanagement

Helfen Sie uns, uns zu verbessern. Ist diese Seite hilfreich?