Azure Active Directory

 

In diesem Artikel erklären wir, wie Sie Azure Active Directory (Azure AD), ein Tool für die Identitäts- und Zugriffsverwaltung, mit Personio integrieren können. Hier finden Sie eine Übersicht über die Installationsvoraussetzungen für die Integration mit der Mitarbeiterdaten-API in Personio sowie Anweisungen, wie Sie die Integration einrichten können.

 

Welche Möglichkeiten gibt mir die Integration von Personio mit Azure AD?

Diese Integration erleichtert die On- und Offboarding-Prozesse Ihres Unternehmens, indem alle Änderungen von Mitarbeiterinformationen in Personio (z. B. Wechsel der Rolle oder Abteilung) automatisch mit der entsprechenden Benutzer-ID in Azure AD synchronisiert werden. Die Integration aktualisiert Azure AD automatisch mit aktuellen Informationen aus Personio, um unterschiedliche Zugriffsrechte oder Geräte zu verwalten, die Mitarbeiter erhalten.

Hinweis:
Die Synchronisation funktioniert nur von Personio zu Azure AD. Wenn Sie Informationen in Azure AD aktualisieren, werden diese Informationen nicht automatisch in Personio synchronisiert.

 

Wie kann ich die Integration einrichten?

Um eine Integration einzurichten, führen Sie die unten detailliert beschriebenen Schritte aus: 

1. Voraussetzungen für eine erfolgreiche Integration

  • Sie müssen in Personio Bearbeitungsrechte für den Personio Marketplace haben (Einstellungen > Mitarbeiter > Mitarbeiterrollen > Zugriffsrechte > Konto-Konfiguration > Integration Marketplace) oder Administrator sein.
  • Außerdem benötigen Sie globale Administratorrechte für Ihren Azure-AD-Tenant
  •  

2. Neue API-Zugriffsdaten erstellen

Sie müssen in Personio zunächst neue API-Zugriffsdaten für diese Integration unter Einstellungen > INTEGRATIONEN > API-Zugriffsdaten generieren. Klicken Sie auf Neue API-Zugriffsdaten generieren. In den meisten Fällen hinterlegt das System automatisch die Systemattribute, welche die Integration lesen und schreiben muss, sobald Sie eine Integration im Dropdown Menü auswählen. Sie können benötigte Attribute jederzeit manuell hinzufügen oder entfernen. Für weitere Informationen zur Vorgehensweise finden Sie in unserem Helpcenter einen Artikel zum Erstellen und Verwalten von API-Zugriffsdaten.

Sie müssen Azure AD Lesezugriff auf wenigstens die folgenden Mitarbeiterattribute geben:

  • Vorname
  • Nachname
  • Email
  • Ende des Arbeitsverhältnisses
  • Status
  • Erstellt am (dies ist das Datum, an dem das Mitarbeiterprofil erstellt wurde; dies ist für die erste Synchronisierung erforderlich)

Hinweis:
Die folgenden Attribute werden derzeit nicht unterstützt: Kostenstelle, Bürotelefon.

 

3. Azure AD im Marketplace suchen

Die Integration mit Azure AD kann direkt in Personio vorgenommen werden. Sie finden diese Integration in Personio unter Marketplace > Microsoft Azure AD. Alternativ können Sie die Authentifizierung über Workflow Hub > Optimierung mit Integrationen > Azure AD mit Klick auf den Button Verbinden starten.

Hinweis:
Wenn Sie die Integration im Marketplace nicht finden können, stellen Sie sicher, dass die Checkbox Tray.io, Inc. unter Einstellungen > Support > Paket & Rechnung > Auftragsverarbeitungsvertrag (AVV) aktiviert ist.

Personio arbeitet mit Tray.io als Auftragsdatenverarbeiter, um die Einbeziehung bestimmter Integrationen zu ermöglichen.Ohne Nutzung der genannten Integration werden keine Daten an Tray.io übertragen.

 

4. Azure AD authentifizieren

Klicken Sie auf Azure AD autorisieren, fügen Sie die Tenant ID aus Azure AD in das Feld Directory ID ein und klicken Sie auf Erstellen.

Hinweis:
Um Azure AD zu authentifizieren, müssen Sie über globale Adminrechte in Azure AD verfügen und diese Rechte behalten, solange die Integration aktiv ist.

settings-marketplace-azure-create-authentication_en-us.png

 

5. Personio authentifizieren

Authentifizieren Sie Personio, indem Sie die API-Zugriffsdaten (Client ID und Client Secret) eingeben, die Sie im 2. Schritt für diese Integration in Einstellungen > Integrationen > API-Zugriffsdaten generiert haben. Klicken Sie dann auf Weiter.

 

6. Log-in-Schema definieren

Wählen Sie das Format für den User Principal Name (UPN), mit dem neue Log-ins erstellt werden sollen. Dies ist im Allgemeinen die geschäftliche E-Mail-Adresse, beispielsweise „max.mustermann@demo.com“. 

Hinweis:
Falls ein Mitarbeiter mit den gleichen Werten für die gewählten Attribute hinzugefügt wird, erstellt Azure AD ein Profil mit dem UPN-Schema UPNAnfang[Trennzeichen]UPNEnde_MitarbeiterID@Domain (z. B. maxmustermann_12345@demo.com).

Legen Sie das UPN-Schema an, indem Sie zunächst einen UPN-Anfang aus den verfügbaren Attributen auswählen (z. B. „Vorname“) und definieren, ob Entire field (Ganzes Feld) oder nur First letter (der Anfangsbuchstabe) verwendet werden soll. Fügen Sie dann optional ein Trennzeichen (z. B. „.“) und ein UPN-Ende (z. B. „Nachname“) hinzu und wählen Sie eine Bevorzugte Azure AD-Domain aus (z. B. „demo.com“). Klicken Sie auf Weiter.

Tipp:
Wenn Sie lieber kein Trennzeichen und kein UPN-Ende hinzufügen möchten, geben Sie für beide Optionen None ein und stellen Sie sicher, dass Sie für das UPN-Ende zusätzlich Entire field (Ganzes Feld) oder First letter (Anfangsbuchstabe) ausgewählt haben.

 

7. Attribute abbilden

Wählen Sie die Azure-AD-Attribute aus, die Sie den Personio-Attributen zuordnen möchten.

Hinweis:
Alle Ihre Attribute in Personio können beliebigen Azure-AD-Systemattributen, nicht aber benutzerdefinierten Azure-AD-Attributen zugeordnet werden.

 

8. Konfiguration abschließen

Klicken Sie auf den Button Abschließen, um Ihre Integration von Azure AD zu aktivieren. Im Personio Marketplace können Sie die verknüpften Attribute jederzeit ändern oder die Integration deaktivieren.

 

Workflows für das On- und Offboarding und Änderungen von Rollen mit Azure AD

1. Erstsynchronisierung

Sobald die Integration eingerichtet ist, wird der Workflow Erstsynchronisierung aktiviert. Wenn Sie bereits Benutzer in Azure AD erstellt haben, die Ihren Mitarbeitern in Personio entsprechen, versucht die Integration, die entsprechenden Mitarbeiter-IDs aus Personio an die Azure-AD-Benutzerprofile weiterzugeben, indem das UPN-Attribut in Azure AD dem E-Mail-Attribut in Personio zugeordnet wird:

  • Bei einer Übereinstimmung wird die entsprechende Mitarbeiter-ID in Personio in das Attributfeld Mitarbeiter-ID in Azure AD geschrieben. Dieser Benutzer wird nun für die Workflows Aktualisierung von Benutzern und Deaktivierung von Benutzern berücksichtigt.
  • Wenn es keine Übereinstimmung gibt, müssen Sie den passenden Mitarbeiter manuell in Personio identifizieren, seine vom System erstellte Mitarbeiter-ID (= die Zahl am Ende der URL des Personio-Mitarbeiterprofils) ermitteln und diese in das Attributfeld für die Mitarbeiter-ID in Azure AD einfügen.

Wenn einer Ihrer Mitarbeiter in Personio kein Profil in Azure AD hat, müssen Sie diese Profile manuell erstellen und die Personio-Mitarbeiter-ID zum Attributfeld Mitarbeiter-ID in Azure AD hinzufügen.

Hinweis:
Der Workflow für die Erstsynchronisierung gilt nur für Mitarbeiter, die bereits in Ihrem Personio-Konto vorhanden sind. Neu erstellte Mitarbeiter, die entweder massenweise importiert oder manuell hinzugefügt wurden, werden automatisch über den Workflow Benutzerbereitstellung zu Azure AD hinzugefügt, unabhängig davon, ob sie bereits über ein Azure-AD-Benutzerprofil verfügen.

 

2. Erstellen von Benutzern

Sobald ein Mitarbeiter in Personio angelegt wurde, erstellt die Integration automatisch ein passendes neues Benutzerprofil in Azure AD. In diesem Schritt überträgt Personio die Mitarbeiter-ID an das betreffende Profil, löst den Standardprozess für die Erstellung von Passwörtern aus und legt den UPN (Benutzernamen) in Azure AD an. Mit diesem UPN müssen sich Benutzer bei Azure AD anmelden. Sie können das UPN-Schema Ihren Bedürfnissen entsprechend anlegen; dies ist in Schritt 6. Login-Schema definieren oben beschrieben.

Hinweise
▶ ︎Um ein Profil in Azure AD zu erstellen, müssen die Attribute Vorname, Nachname und E-Mail im Mitarbeiterprofil in Personio befüllt sein.
▶︎ In diesem ersten Workflow für das Erstellen von Benutzern wird der Benutzer in Azure AD lediglich angelegt, während der Workflow Aktualisierung von Benutzern das Profil auffüllt.

 

3. Aktualisierung von Benutzern

Der Workflow zur Aktualisierung von Benutzern in Azure AD wird alle 30 Minuten ausgeführt und prüft, ob ein Attribut, das während des Einrichtungsprozesses (Schritt 7) zugeordnet wurde, in der Zwischenzeit in Personio geändert wurde. Wenn ein Attribut in Personio geändert wurde, aktualisiert dies automatisch das zugeordnete Attribut in Azure AD. Azure AD kann dann diese neuen Informationen verwenden, um Zugriffsrechte für bestimmte Tools zu gewähren oder zu widerrufen.

Hinweise:
▶ ︎Für diesen Workflow muss die Mitarbeiter-ID im Benutzerprofil in Azure AD vorhanden sein.
▶ ︎Änderungen werden nur von Personio an Azure AD übertragen. Wenn Sie ein Attribut in Azure AD manuell ändern, wird dies in Personio nicht automatisch aktualisiert.

Beispiel:
Bei der Zuweisung von Attributen zwischen Personio und Azure AD wurde das Systemattribut Abteilung zwischen Personio und Azure AD übergeleitet. Ein Mitarbeiter wechselt von der Kundendienstabteilung in den Verkauf. Der HR-Manager nimmt diese Anpassung der Abteilungen in Personio vor. Azure AD erhält automatisch eine Benachrichtigung über diese Änderung, entzieht dem Mitarbeiter die Zugriffsrechte auf das Kundendienst-Tool des Unternehmens (z. B. Zendesk) und gewährt ihm Zugriff auf das CRM-Tool des Unternehmens (z. B. Salesforce).

 

4. Deaktivierung von Benutzern

Sobald das Datum des Endes des Arbeitsverhältnisses eines Mitarbeiters in Personio überschritten ist, entzieht Azure AD ihm die Zugriffsberechtigung. Der Mitarbeiter kann sich dann bei keinem seiner Konten mehr anmelden.

Hinweis:
Benutzer werden nicht gelöscht. So haben Sie weiterhin Zugriff auf ihre Daten und die mit ihnen verbundenen Dienste wie E-Mail-Inboxen usw.

Beispiel: Ein Mitarbeiter verlässt das Unternehmen am 30. September, und der HR-Manager hat das Ende des Arbeitsverhältnisses in Personio auf diesen Tag gesetzt. Am 1. Oktober werden die Zugriffsrechte dieses Mitarbeiters auf Azure AD gesperrt und er kann sich zu keinen Systemen des Unternehmens mehr anmelden.

 

Derzeitige Grenzen der Integration

  • Hybride / On-Premise-Konfigurationen von AD
    Personio unterstützt die Anwendung nur, wenn sie komplett in der Cloud eingerichtet ist, d. h. hybride Cloud-/On-Premise-Konfigurationen werden nicht unterstützt. Die Integration ermöglicht daher nur die Erstellung, Aktualisierung und Deaktivierung von Benutzern in Azure Active Directories.
  • Zuweisung von Nutzern zu Gruppen
    Die Integration lässt nur das Erstellen von Benutzern zu. Benutzer werden nicht zu Gruppen hinzugefügt.
  • Rücksendung von Attributen
    Alle in der Zuordnungstabelle ausgewählten Attribute werden von Personio an Azure AD gesendet. Die Integration unterstützt derzeit keine Synchronisierung von Azure AD nach Personio.

 

Weitere Informationen

Weitere Informationen über die Automatisierung Ihres Identitäts- und Zugriffsmanagements mithilfe einer Integration mit Personio finden Sie in unserem Helpcenter-Artikel Identitäts- und Zugriffsmanagement.

 

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.

    Themen dieses Artikels