Dieser Artikel erklärt, wie man Okta in Personio integriert. Bei entsprechender Verbindung erleichtert Okta das Onboarding und Offboarding von Mitarbeitenden sowie relevante Änderungen an Mitarbeitendeninformationen. Die Integration bringt Okta automatisch mit aktuellen Informationen von Personio auf den neuesten Stand, um die unterschiedlichen Zugriffe der Mitarbeitenden über Okta zu verwalten.
Hinweis:
Die Synchronisation funktioniert nur von Personio auf Okta. Wenn Sie Informationen in Okta aktualisieren, werden diese Informationen nicht automatisch in Personio synchronisiert.
Voraussetzungen für eine erfolgreiche Integration
Stellen Sie vor der Integration sicher, dass Folgendes der Fall ist:
- Sie verfügen über eine Admin-Rolle oder Bearbeitungsberechtigungen über Ihre Mitarbeitendenrolle für die Marketplace Integration und API.
- Sie haben das Okta-API-Token, der von Ihrem Okta-Administrator generiert wird.
- Um ein Profil in Okta zu erstellen, muss das Mitarbeitendenprofil in Personio die Attribute Vorname, Nachname und E-Mail enthalten.
Okta verbinden und authentifizieren
Richten Sie die Okta-Integration mit dem Konfigurationsassistenten direkt im Personio Marketplace ein. Dazu benötigen Sie ein Okta API-Token und eine Domain, die Sie in Personio eingeben. Befolgen Sie diese Schritte:
- Gehen Sie in Personio zum Marketplace, suchen Sie die Okta-Integration und wählen Sie sie aus.
- Klicken Sie auf Verbinden, um den Konfigurationsassistenten zu öffnen.
- Geben Sie Ihren API-Token (den Tokenwert, der in Ihrer Okta Admin Console generiert wird) und Ihre Domain ein. Wenn Sie mehrere Domains haben, wählen Sie die aus, die sich auf Personio bezieht. Sie können nur eine Domain für diese Integration verwenden.
- Klicken Sie auf Weiter, um zu Schritt zwei des Konfigurationsassistenten zur Authentifizierung von Personio zu gelangen.
Authentifizieren Sie Personio
In Schritt zwei des Konfigurationsassistenten müssen Sie der Okta-Integration Zugriff auf die erforderlichen Personio-Daten gewähren. Befolgen Sie diese Schritte:
- Überprüfen Sie die Berechtigungen, die für die Okta-Integration erforderlich sind.
- Klicken Sie auf Weiter, um zum dritten Schritt des Konfigurationsassistenten zu gelangen, um das Anmeldeschema zu definieren.
Personio erlaubt Okta, mindestens die folgenden Systemattribute zu lesen:
- Vorname
- Nachname
- Anstelldatum
- Arbeitsverhältnis endet zum
- Status
- Erstellt zu (dies ist das Datum, an dem das Mitarbeitendenprofil erstellt wurde und wird für die Erstsynchronisation benötigt)
Tipp:
Sie können die erteilten Berechtigungen nach dem Einrichtungsvorgang überprüfen, indem Sie auf Marketplace > Verknüpfte Integrationen anzeigen gehen. Der Button befindet sich in der oberen rechten Ecke der Marktplatz-Seite.
Login-Schema definieren
Schritt drei des Konfigurationsassistenten erfordert die Auswahl des Formats für das Anmeldeschema, in dem neue Anmeldungen erstellt werden sollen. Befolgen Sie diese Schritte:
- Sie haben die Möglichkeit, E-Mail-Adressen vorab zuzuweisen oder manuell über ein vorhandenes Personio-Attribut zu definieren. Alternativ können Sie das Format für automatisch generierte E-Mail-Adressen konfigurieren, indem Sie die folgenden Schritte ausführen.
- Login-Anfang wählen
- Trennzeichen hinzufügen
- Wählen Sie Anmeldeende (Wenn Sie lieber kein Trennzeichen und Anmeldeende hinzufügen möchten, geben Sie für beide Optionen Keine ein und stellen Sie sicher, dass Sie zusätzlich Gesamtes Feld oder Anfangsbuchstabe für das Anmeldeende ausgewählt haben.)
- Geben Sie bevorzugte Okta-Domain ein
- Klicken Sie auf Weiter, um mit Schritt vier des Konfigurationsassistenten und der Zuordnung der Attribute fortzufahren.
Hinweis:
Falls ein Mitarbeiter mit den gleichen Werten für die gewählten Attribute hinzugefügt wird, erstellt Okta ein Profil mit dem Login-Schema: "LoginAnfang[Trennzeichen]LoginEnd_MitarbeiterID@Domain" (z. B. maxmustermann_12345@demo.com).
Attribute zuordnen
Im vierten Schritt des Konfigurationsassistenten müssen Sie die Okta-Attribute auswählen, die Sie den Personio Attributen zuordnen möchten. In diesem Schritt können Sie auch entscheiden, ob Sie die Aktivierung der Nutzenden am Anstelldatum automatisieren möchten. Befolgen Sie diese Schritte:
- Überprüfen Sie alle Attribute, und stellen Sie sicher, dass jedes Personio Attribut dem entsprechenden Okta-Attribut entspricht.
- Klicken Sie auf Neues Attribut hinzufügen, um weitere Attribute aufzunehmen.
- Klicken Sie auf Fertigstellen.
Die Einrichtung der Integration ist abgeschlossen.
Okta-Workflows
Verknüpfung der nutzenden Personen
Sobald die Integration eingerichtet ist, beginnt der Workflow zur Verknüpfung der Nutzenden. Es weist das primäre E-Mail-Attribut in Okta E-Mail-Attributen in Personio zu.
- Wenn das E-Mail-Attribut in Personio mit dem primären E-Mail-Attribut in Okta übereinstimmt, fügt die Integration dem Feld Mitarbeiternummer in Okta die entsprechende Personio Mitarbeitenden-ID hinzu.
- Die Mitarbeitenden-ID wird zum Connector, den die Integration in allen zukünftigen Benutzeraktualisierungs- und Benutzerdeprovisionierungs-Workflows berücksichtigt.
- Wenn es keine Übereinstimmung gibt, ist eine manuelle Zuordnung erforderlich. Siehe Profile manuell zuordnen.
Hinweis:
Passende Okta-Profile mit dem Status „Inaktiv“ werden bei der ersten Nutzendenverknüpfung nicht berücksichtigt.
Profile manuell zuordnen
Nicht übereinstimmende Profile müssen manuell zugeordnet werden. Befolgen Sie diese Schritte:
- Identifizieren Sie das Profil in Okta, das einem Mitarbeitendenprofil in Personio entspricht.
- Öffnen Sie das Mitarbeitendenprofil in Personio und suchen Sie die vom System generierte Mitarbeitenden-ID.
- Gehen Sie zum entsprechenden Mitarbeitendenprofil in Personio.
- Kopieren Sie die Zahl am Ende der Mitarbeitendenprofil-URL.
- Fügen Sie die Zahl in das Attributfeld Mitarbeiternummer in Okta ein.
Benutzerbereitstellung
- Personio-Profile, die bei der Erstsynchronisierung nicht übereinstimmen, werden in Okta bereitgestellt.
- Die Integration überträgt die Personio Mitarbeitenden-ID in das Feld Mitarbeitendennummer im Okta-Profil und erstellt den Nutzendennamen für den Nutzenden gemäß dem von Ihnen festgelegten Login-Schema. (Siehe Login-Schema definieren). Durch den Workflow zur Benutzeraktualisierung wird das Profil ausgefüllt.
Damit die Bereitstellung erfolgen kann, muss das Mitarbeitendenprofil in Personio folgende Voraussetzungen erfüllen:
- Die Felder Vorname, Nachname und E-Mail sind ausgefüllt.
- Der Status ist nicht Inaktiv.
Hinweis:
Umlaute im Namen werden für den UPN in Microsoft Entra ID gemäß dem Land Ihrer Rechnungsstellung umgewandelt. Für Kunden in der DACH-Region (z. B. Deutschland) werden Umlaute in ihre alternative Schreibweise umgewandelt: ä → ae, ö → oe, ü → ue, ß → ss. Für alle anderen Länder werden Umlaute entfernt: zum Beispiel ä → a.
Nutzendenaktualisierung
Damit dieser Workflow erfolgreich ausgeführt werden kann, muss sich die Mitarbeitenden-ID im Okta-Nutzendenprofil befinden.
Alle 30 Minuten führt Okta den Workflow zur Aktualisierung von Nutzenden aus, um zu prüfen, ob sich Attribute, die während des Einrichtungsprozesses zugeordnet wurden, in Personio geändert haben. Ändert sich ein Attribut, wird das zugeordnete Attribut in Okta automatisch aktualisiert.
Okta kann die Änderungsdaten verwenden, um Berechtigungen für bestimmte Tools basierend auf den Änderungen zu gewähren oder zu widerrufen. Änderungen werden nur von Personio an Okta übertragen. Wenn Sie ein Attribut in Okta manuell ändern, wird es in Personio nicht automatisch aktualisiert.
Hinweis:
Änderungen werden nur von Personio an Okta übertragen. Wenn Sie ein Attribut in Okta manuell ändern, wird es in Personio nicht automatisch aktualisiert.
Deaktivierung von Nutzenden
Sobald das Statusattribut eines Mitarbeiters in Personio auf Inaktiv umgestellt wird, ändert sich der Status des Nutzenden in Okta von „Aktiv“ in „Deaktiviert“. Sie können das Statusattribut in Personio manuell ändern. Es ändert sich automatisch, wenn ein Mitarbeiter sein Austrittsdatum überschreitet.
Der Mitarbeitende kann sich dann bei keinem seiner Accounts mehr anmelden; der Nutzer wird jedoch nicht gelöscht. Dies hilft Ihnen, den Zugriff auf ihre Details und verbundenen Dienste wie E-Mail-Inboxes zu erhalten.
Weitere Informationen über die Automatisierung Ihres Identitäts- und Zugriffsmanagements mithilfe einer Integration mit Personio finden Sie in unserem Helpcenter-Artikel Identitäts- und Zugriffsmanagement.