Konfiguration von Single Sign-On (SSO) in Personio mit Azure Active Directory (AD)

 

In diesem Artikel erklären wir, wie Sie Single Sign-On (SSO) mit Azure Active Directory (AD) in Personio konfigurieren.

 

Single Sign-On

Mit SSO können Sie Personio mit einem Identitätsanbieter wie Azure AD oder Okta verbinden. Somit geben Sie Mitarbeitern eine alternative Möglichkeit, sich in Personio einzuloggen.

Personio unterstützt das Protokoll OAuth 2.0, ein Open-Source-Standard für die Zuteilung von Zugriffsberechtigungen. Bei korrekter Einrichtung können Benutzer eine Authentifizierung über einen Identitätsanbieter durchführen, ohne die von Personio bereitgestellten Anmeldeinformationen verwenden zu müssen. Weitere Informationen finden Sie in unserem Helpcenter-Artikel zur Integration eines Authentifizierungsproviders in Personio.

Hinweis:
Wenn Sie SSO mit Azure AD einrichten, werden die Personio-Benutzer nicht automatisch mit Azure synchronisiert. Die Integration mit Azure muss hierzu separat eingerichtet werden. Weitere Informationen zum Einrichten von Integrationen finden Sie in unserem Helpcenter-Artikel Identitäts- und Zugriffsverwaltung.

 

Konfiguration von Single Sign-On mit Azure AD

Tipp:
Öffnen Sie Personio und Azure AD bei der Durchführung dieser Konfiguration getrennt in zwei Registern.

Um SSO mit Azure AD in Personio zu konfigurieren, führen Sie die folgenden Schritte aus: 

 

1. Registrieren und Erstellen einer neuen Anwendung in Azure AD

azure_ad-register_application-name-authentication_de.png

  1. Navigieren Sie im Azure AD Admin Center zu Azure Active Directory > Anwendungsregistrierung.
  2. Um eine neue Anwendung wie Personio in Azure AD zu registrieren, klicken Sie auf Neue Anwendung.
  3. Im Feld Name, geben Sie einen Namen für die Anwendung ein, z. B. Personio SSO.
  4. Unter Unterstützte Kontoarten, wählen Sie die Kontoart, die die Anwendung verwenden oder auf die API zugreifen darf, über den entsprechenden Schaltknopf. 
  5. Navigieren Sie zu Personio > Einstellungen > INTEGRATIONEN > Authentifizierung > OAuth 2.0.
  6. Kopieren Sie unter Provider Einstellungen die im Feld Callback URI eingetragene URL. 
  7. Gehen Sie zurück zu Azure AD. Fügen Sie dort den Callback URI, den Sie aus Personio kopiert haben, im Feld Weiterleitungs-URI ein.
  8. Vergewissern Sie sich, dass im Drop-down-Menü Web i als Art der Weiterleitung gewählt ist. 
  9. Überprüfen Sie Ihre Einstellungen auf Korrektheit.
  10. Um die Anwendung zu registrieren, klicken Sie auf Registrieren.

Eine Meldung erscheint, die bestätigt, dass die Anwendung erfolgreich hinzugefügt worden ist, und Sie werden zur neuen Anwendung weitergeleitet.

 

2. Kopieren der URIs nach Personio

Nachdem Sie die Personio-Anwendung erstellt haben, führen Sie die folgenden Schritte aus, um den Autorisierungs-URI und den Token-URI von Azure AD nach Personio zu kopieren und den Nutzerinfo-URI in Personio hinzuzufügen.

Hinweis:
Der Nutzerinfo-URI wurde von Microsoft festgelegt: https://graph.microsoft.com/oidc/userinfo. Er ist nicht spezifisch für Ihre Azure AD Domain. https://graph.microsoft.com reicht nicht aus.

  1. Gehen Sie in der neuen Anwendung, die Sie in Azure AD angelegt haben, zu Übersicht > Endpunkte und klicken Sie auf Endpunkte.

    azure_app-overview-endpoints-oauth_authorization_endpoint_de.png
  2. Kopieren Sie den Wert im Feld OAuth 2.0 Autorisierungsendpunkt (v2).
  3. Navigieren Sie zu Personio > Einstellungen > INTEGRATIONEN > Authentifizierung > OAuth 2.0.
  4. Klicken Sie unter Konfiguration auf Bearbeiten.

    settings-authentication-configuration_de.png
  5. Fügen Sie den Wert, den Sie zuvor aus dem Feld OAuth 2.0 Autorisierungsendpunkt (v2) kopiert haben, in das Feld Autorisierungs-URI ein.
  6. Gehen Sie zurück zu Azure AD > Übersicht > Endpunkte. Kopieren Sie den Wert im Feld OAuth 2.0 Token-Endpunkt (v2).
  7. Gehen Sie zurück zu Personio. Fügen Sie den Wert, den Sie gerade aus dem Feld OAuth 2.0 Token-Endpunkt (v2) kopiert haben, in das Feld Token-URI ein.
  8. Wählen Sie unter Userinfo URI im Drop-down-Menü „GET“ aus und fügen Sie den Userinfo-Endpunkt (https://graph.microsoft.com/oidc/userinfo) in das Feld ein. Die Checkbox Lesen von Entitäten aus ID-Token überspringen ist standardmäßig gesetzt. Dies bedeutet, dass Benutzerinformationen, insbesondere die E-Mail-Adresse des Benutzers, beim Login über den Nutzerinfo-URI und nicht den Token-URI eingelesen werden.

    Hinweis: Wenn Sie möchten, dass Benutzerinformationen beim Login vom Token-URI und nicht vom Userinfo-URI gelesen werden, deaktivieren Sie die Checkbox Lesen von Entitäten aus ID-Token überspringen, um OAuth mit Active Directory Federation Services (ADFS) implementieren zu können. 

  9. Geben Sie unter Scopes „openid, email“ ein.

 

Registrierung eines neuen Client Secrets

  1. Gehen Sie in der neuen Anwendung, die Sie in Azure AD angelegt haben, zu Verwalten > Zertifikate & Geheimnisse.
  2. Klicken Sie auf Geheimnisse.
  3. Add a client secret drawer wird angezeigt.
  4. Geben Sie im Feld Beschreibung eine Bezeichnung für das Client Secret ein und stellen Sie unter Ablaufdatum ein Ablaufdatum ein.
  5. Klicken Sie auf Hinzufügen.
  6. Es wird eine Seite mit einer Übersicht der Anmeldedaten angezeigt. Kopieren Sie den Wert, der unter Wert eingetragen ist.

    azure_ad-manage-certificates_and_secrets-client_secrets_de.png
  7. Navigieren Sie zu Personio > Einstellungen > INTEGRATIONEN > Authentifizierung > OAuth 2.0.
  8. Klicken Sie unter Client-Konfiguration auf Bearbeiten.
  9. Fügen Sie den soeben kopierten Wert im Feld Client Secret ein.
  10. Kehren Sie zurück zu Azure AD > Übersicht. Kopieren Sie den Wert, der als Anwendungs-(Client-) ID aufgeführt ist.
  11. Gehen Sie zurück zu Personio. Fügen Sie den soeben kopierten Wert im Feld Client ID ein.

 

4. Wählen Sie den Claim

Wählen Sie unter Claim-Feld das Feld in Azure AD aus, in dem die E-Mail-Adressen Ihrer Mitarbeiter gespeichert sind. Um zu überprüfen, ob ein Mitarbeiter in Personio vorhanden ist, prüft Personio, ob der Wert in diesem Feld der in Personio verwendeten E-Mail-Adresse entspricht. Je nachdem, wie Sie Azure eingerichtet haben, können Sie zwischen „email“, „unique_name“, „sub“ und „upn“ wählen.

azure-claimfield_de.png

Tipps:
▶ ︎Wenn Sie Standard nutzen wählen, überprüft Personio die Felder „email“, „unique_name“ und „sub“ sequenziell, bis eines gefunden wird, das einen Wert enthält.
▶ ︎Wenn die E-Mail-Adressen Ihrer Mitarbeiter im Feld User Principal Name (UPN) in Azure gespeichert sind, wählen Sie hier „upn“ aus.

 

5. Prüfung und Test

  1. Überprüfen Sie die Daten, die Sie in Personio eingegeben haben.
  2. Wenn Sie sich vergewissert haben, dass alle Daten korrekt sind, klicken Sie auf Speichern.
  3. Um die OAuth-Verbindung zu testen, klicken Sie auf die Schaltfläche Testen.

Hinweis:
Um SSO nutzen zu können, müssen Ihre Mitarbeiter sowohl in Azure AD als auch in Personio Nutzerprofile besitzen. Die E-Mail-Adresse, die in Azure AD im Feld eingegeben ist, das Sie unter Claim-Feld ausgewählt haben, muss der in Personio verwendeten E-Mail-Adresse entsprechen.

Tipp:
Wenn Sie möchten, dass sich Benutzer über die mobile Personio-App anmelden können, müssen Sie auch die folgende Callback-URL auf die Whitelist setzen: https://auth.personio.de/providers/oauth/callback

 

Weitere Informationen

Weitere Informationen zur Konfiguration der Weiterleitung auf den Callback-URI in Ihrem OAuth-Anbieter finden Sie in unserem Helpcenter-Artikel Integration eines Authentifizierungsproviders in Personio.

 

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.

    Themen dieses Artikels