Zum Hauptinhalt gehen

Wie können wir Ihnen helfen?

Zurück

Azure Active Directory

 

In diesem Artikel erklären wir, wie Sie Azure Active Directory (Azure AD), ein Tool für die Identitäts- und Zugriffsverwaltung, mit Personio integrieren können. Hier finden Sie eine Übersicht über die Installationsvoraussetzungen für die Integration mit der Mitarbeiterdaten-API in Personio sowie Anleitungen zur Einrichtung.

 

Welche Möglichkeiten gibt mir die Integration von Personio mit Azure AD?

Diese Integration erleichtert die On- und Offboarding-Prozesse Ihres Unternehmens, indem alle Änderungen von Mitarbeiterinformationen in Personio (z. B. Wechsel der Rolle oder Abteilung) automatisch mit der entsprechenden Benutzer-ID in Azure AD synchronisiert werden. Die Integration aktualisiert Azure AD automatisch mit aktuellen Informationen aus Personio, um unterschiedliche Zugriffsrechte oder Geräte zu verwalten, die Mitarbeiter erhalten.

Hinweis:
Die Synchronisation funktioniert nur von Personio zu Azure AD. Wenn Sie Informationen in Azure AD aktualisieren, werden diese Informationen nicht automatisch in Personio synchronisiert.

 

Wie kann ich die Integration einrichten?

Um eine Integration einzurichten, führen Sie die unten detailliert beschriebenen Schritte aus: 

1. Voraussetzungen für eine erfolgreiche Integration

  • Sie müssen in Personio Bearbeitungsrechte für den Personio Marketplace haben (Einstellungen > Mitarbeiter > Mitarbeiterrollen > Zugriffsrechte > Konto-Konfiguration > Integration Marketplace) oder Administrator sein.
  • Außerdem benötigen Sie globale Administratorrechte für Ihren Azure-AD-Tenant. 
  •  

2. Neue API-Zugriffsdaten erstellen

Sie müssen in Personio zunächst neue API-Anmeldedaten für diese Integration unter Einstellungen > INTEGRATIONEN > API-Anmeldedaten generieren. Klicken Sie auf Neue API-Anmeldedaten generieren. In den meisten Fällen hinterlegt das System automatisch die Systemattribute, welche die Integration lesen und schreiben muss, sobald Sie eine Integration im Dropdown Menü auswählen. Sie können benötigte Attribute jederzeit manuell hinzufügen oder entfernen. Für weitere Informationen zur Vorgehensweise finden Sie in unserem Helpcenter einen Artikel zum Erstellen und Verwalten von API-Anmeldedaten.

Sie müssen Azure AD Lesezugriff auf wenigstens die folgenden Mitarbeiterattribute geben:

  • Vorname
  • Nachname
  • Email
  • Ende des Arbeitsverhältnisses
  • Status
  • Erstellt am (dies ist das Datum, an dem das Mitarbeiterprofil erstellt wurde; dies ist für die erste Synchronisierung erforderlich)

Hinweis:
Das Attribut Kostenstelle wird derzeit nicht unterstützt.

 

3. Azure AD im Marketplace suchen

Die Integration mit Azure AD kann direkt in Personio vorgenommen werden. Sie finden diese Integration in Personio unter Marketplace > Microsoft Azure AD. Alternativ können Sie die Authentifizierung über Workflow Hub > Optimierung mit Integrationen > Azure AD mit Klick auf den Button Verbinden starten.

Hinweis:
Sollten Sie die Integration im Marketplace nicht finden können, vergewissern Sie sich, dass die Checkbox Tray.io, Inc. unter Einstellungen > Support > Abonnement und Abrechnung > Auftragsverarbeitungsvertrag (AVV) aktiviert ist.

Personio arbeitet für die Einbeziehung bestimmter Integrationen mit Tray.io als Auftragsdatenverarbeiter zusammen. Ohne Nutzung der genannten Integration werden keine Daten an Tray.io übertragen.

 

4. Azure AD authentifizieren

Klicken Sie auf Azure AD autorisieren, fügen Sie die Tenant ID aus Azure AD in das Feld Directory ID ein und klicken Sie auf Erstellen.

Hinweis:
Um Azure AD zu authentifizieren, müssen Sie über globale Adminrechte in Azure AD verfügen und diese Rechte behalten, solange die Integration aktiv ist.

settings-marketplace-azure-create-authentication_en-us.png

 

5. Personio authentifizieren

Authentifizieren Sie Personio, indem Sie die API-Anmeldedaten (Client ID und Client Secret) eingeben, die Sie im 2. Schritt für diese Integration in Einstellungen > Integrationen > API-Anmeldedaten generiert haben. Klicken Sie dann auf Weiter.

 

6. Log-in-Schema definieren

Wählen Sie das Format für den User Principal Name (UPN), mit dem neue Log-ins erstellt werden sollen. Dies ist im Allgemeinen die geschäftliche E-Mail-Adresse, beispielsweise „max.mustermann@demo.com“. 

Hinweis:
Falls ein Mitarbeiter mit den gleichen Werten für die gewählten Attribute hinzugefügt wird, erstellt Azure AD ein Profil mit dem UPN-Schema UPNAnfang[Trennzeichen]UPNEnde_MitarbeiterID@Domain (z. B. maxmustermann_12345@demo.com).

Legen Sie das UPN-Schema an, indem Sie zunächst einen UPN-Anfang aus den verfügbaren Attributen auswählen (z. B. „Vorname“) und definieren, ob Entire field (Ganzes Feld) oder nur First letter (der Anfangsbuchstabe) verwendet werden soll. Fügen Sie dann optional ein Trennzeichen (z. B. „.“) und ein UPN-Ende (z. B. „Nachname“) hinzu und wählen Sie eine Bevorzugte Azure AD-Domain aus (z. B. „demo.com“). Klicken Sie auf Weiter.

Tipp:
Wenn Sie lieber kein Trennzeichen und kein UPN-Ende hinzufügen möchten, geben Sie für beide Optionen None ein und stellen Sie sicher, dass Sie für das UPN-Ende zusätzlich Entire field (Ganzes Feld) oder First letter (Anfangsbuchstabe) ausgewählt haben.

 

7. Attribute abbilden

Wählen Sie die Azure-AD-Attribute aus, die Sie den Personio-Attributen zuordnen möchten.

Hinweis:
Alle Ihre Attribute in Personio können beliebigen Azure-AD-Systemattributen, nicht aber benutzerdefinierten Azure-AD-Attributen zugeordnet werden.

 

8. Konfiguration abschließen

Klicken Sie auf den Button Abschließen, um Ihre Integration von Azure AD zu aktivieren. Im Personio Marketplace können Sie die verknüpften Attribute jederzeit ändern oder die Integration deaktivieren.

 

Workflows für das On- und Offboarding und Änderungen von Rollen mit Azure AD

1. Verknüpfung der Benutzer

Sobald die Integration eingerichtet ist, wird der Workflow zur Verknüpfung der Benutzer aktiviert. Wenn Sie bereits Benutzer in Azure AD erstellt haben, die Ihren Mitarbeitern in Personio entsprechen, versucht die Integration, die entsprechenden Mitarbeiter-IDs aus Personio an die Azure-AD-Benutzerprofile weiterzugeben, indem das UPN-Attribut in Azure AD dem E-Mail-Attribut in Personio zugeordnet wird:

  • Bei einer Übereinstimmung wird die entsprechende Mitarbeiter-ID in Personio in das Attributfeld Mitarbeiter-ID in Azure AD geschrieben. Dieser Benutzer wird nun für die Workflows Aktualisierung von Benutzern und Deaktivierung von Benutzern berücksichtigt.
  • Gibt es keine Übereinstimmung, wird der Workflow zur Erstellen von Benutzern aktiviert.

Dieser Workflow gilt dann auch für Benutzer, die manuell oder über einen Import nach der Einrichtung der Integration erstellt werden.

Hinweis:
Die Integration versucht nur, Azure AD-Profile zu verknüpfen, die nicht inaktiv sind.

 

2. Erstellen von Benutzern

Stimmt das E-Mail-Attribut eines Mitarbeiters in Personio mit keinem UPN-Attribut in Ihrem Azure AD-Account überein, erstellt die Integration automatisch ein neues Benutzerprofil in Azure AD. In diesem Schritt überträgt Personio die Mitarbeiter-ID an das entsprechende Profil, löst den Standardprozess zur Erstellung eines Passworts aus und legt den UPN in Azure AD an.

Mit diesem UPN müssen sich Benutzer bei Azure AD anmelden. Sie können das UPN-Schema Ihren Bedürfnissen entsprechend anlegen; dies ist in Schritt 6. Login-Schema definieren oben beschrieben.

Hinweise:
▶ ︎Damit ein Profil in Azure AD erstellt werden kann, müssen im Personio-Profil des Mitarbeiters die Attribute Vorname, Nachname und E-Mail befüllt sein, dürfen kein Austrittsdatum enthalten, und das Profil darf nicht inaktiv sein.
▶︎▶︎ In diesem ersten Workflow zum Erstellen von Benutzern wird der Benutzer in Azure AD lediglich angelegt, während der Workflow Aktualisierung von Benutzern das Profil ausfüllt.

 

3. Aktualisierung von Benutzern

Der Workflow zur Aktualisierung von Benutzern in Azure AD wird alle 30 Minuten ausgeführt und prüft, ob ein Attribut, das während des Einrichtungsprozesses (Schritt 7) zugeordnet wurde, in der Zwischenzeit in Personio geändert wurde. Wenn ein Attribut in Personio geändert wurde, aktualisiert dies automatisch das zugeordnete Attribut in Azure AD. Azure AD kann dann diese neuen Informationen verwenden, um Zugriffsrechte für bestimmte Tools zu gewähren oder zu widerrufen.

Hinweise:
▶ ︎Für diesen Workflow muss die Mitarbeiter-ID im Benutzerprofil in Azure AD vorhanden sein.
▶ ︎Änderungen werden nur von Personio an Azure AD übertragen. Wenn Sie ein Attribut in Azure AD manuell ändern, wird dies in Personio nicht automatisch aktualisiert.

Beispiel:
Bei der Zuweisung von Attributen zwischen Personio und Azure AD wurde das Systemattribut Abteilung zwischen Personio und Azure AD übergeleitet. Ein Mitarbeiter wechselt von der Kundendienstabteilung in den Verkauf. Der HR-Manager nimmt diese Anpassung der Abteilungen in Personio vor. Azure AD erhält automatisch eine Benachrichtigung über diese Änderung, entzieht dem Mitarbeiter die Zugriffsrechte auf das Kundendienst-Tool des Unternehmens (z. B. Zendesk) und gewährt ihm Zugriff auf das CRM-Tool des Unternehmens (z. B. Salesforce).

 

4. Deaktivierung von Benutzern

Sobald das Datum des Endes des Arbeitsverhältnisses eines Mitarbeiters in Personio überschritten ist, entzieht Azure AD ihm die Zugriffsberechtigung. Der Mitarbeiter kann sich dann bei keinem seiner Konten mehr anmelden.

Hinweis:
Benutzer werden nicht gelöscht. So haben Sie weiterhin Zugriff auf ihre Daten und die mit ihnen verbundenen Dienste wie E-Mail-Inboxen usw.

Beispiel: Ein Mitarbeiter verlässt das Unternehmen am 30. September, und der HR-Manager hat das Ende des Arbeitsverhältnisses in Personio auf diesen Tag gesetzt. Am 1. Oktober werden die Zugriffsrechte dieses Mitarbeiters auf Azure AD gesperrt und er kann sich zu keinen Systemen des Unternehmens mehr anmelden.

 

Derzeitige Grenzen der Integration

  • Hybride / On-Premise-Konfigurationen von AD
    Personio unterstützt die Anwendung nur, wenn sie komplett in der Cloud eingerichtet ist, d. h. hybride Cloud-/On-Premise-Konfigurationen werden nicht unterstützt. Die Integration ermöglicht daher nur die Erstellung, Aktualisierung und Deaktivierung von Benutzern in Azure Active Directories.
  • Zuweisung von Nutzern zu Gruppen
    Die Integration lässt nur das Erstellen von Benutzern zu. Benutzer werden nicht zu Gruppen hinzugefügt.
  • Rücksendung von Attributen
    Alle in der Zuordnungstabelle ausgewählten Attribute werden von Personio an Azure AD gesendet. Die Integration unterstützt derzeit keine Synchronisierung von Azure AD nach Personio.

 

Weitere Informationen

Weitere Informationen über die Automatisierung Ihres Identitäts- und Zugriffsmanagements mithilfe einer Integration mit Personio finden Sie in unserem Helpcenter-Artikel Identitäts- und Zugriffsmanagement.