Hinweis:
Sie können die Microsoft Entra ID auch als SSO Ihres Unternehmens einrichten, indem Sie unsere native Microsoft-Verbindung verwenden. Dies ist ein anderes Setup als das in diesem Artikel beschriebene, und es verwendet kein OIDC. Wenn dies Ihren Anforderungen entspricht, lesen Sie stattdessen, wie Sie SSO über unsere native Microsoft-Verbindung einrichten.

In diesem Artikel wird erläutert, wie Sie Single Sign-On (SSO) in Personio mit Microsoft Entra ID über OpenID Connect (OIDC) einrichten.

SSO verbindet Personio mit einem externen Identitätsanbieter wie Microsoft Entra ID. Personio unterstützt das OpenID Connect / OAuth 2.0 Protokoll. Dies ist ein Open-Source-Standard für die Zugriffsdelegierung. Wenn Sie SSO einrichten, authentifizieren sich Nutzende über einen Identitätsanbieter. Sie müssen ihre Personio-Zugriffsdaten nicht verwenden.

Wir empfehlen, zur Einrichtung einer solchen Authentifizierung mit Ihrem IT-Team zusammenzuarbeiten.

Bevor Sie beginnen

• Durch das Einrichten von SSO mit der Microsoft Entra ID werden Nutzende der Personio-Anwendung nicht automatisch mit der Microsoft Entra ID synchronisiert. Dazu müssen Sie die Integration mit Microsoft Entra ID separat einrichten. Erfahren Sie mehr über unsere Integration mit Microsoft Entra ID.
• Stellen Sie sicher, dass Sie bereits Ihre Mitarbeitenden zu Personio eingeladen haben. Jede Person muss ihren Account erst aktivieren, bevor sie sich einloggen kann.

In Microsoft Entra ID registrieren und eine neue Anwendung erstellen

Um sich in Microsoft Entra ID zu registrieren und eine neue Anwendung zu erstellen:

1. Optional: Öffnen Sie Personio und Microsoft Entra ID für eine einfachere Einrichtung in separaten Reitern.
2. Gehen Sie im Microsoft Entra ID Admin Center zu Microsoft Entra ID > App-Registrierungen.

3. Um eine neue Anwendung, etwa Personio, zu registrieren, klicken Sie auf Neue Registrierung.

   

4. Geben Sie im Feld Name einen Namen für die Anwendung ein, z. B. "Personio SSO".
5. Wählen Sie unter Unterstützte Kontotypen das Konto aus, das die Anwendung verwenden oder auf die API zugreifen kann. Aus Sicherheitsgründen empfehlen wir, Nur Konten in diesem Organisationsverzeichnis (Einzelinstanz)auszuwählen. Mit den anderen Optionen könnten sich Benutzende anderer Mandanten eventuell in Personio-Accounts einloggen.
6. Gehen Sie in Personio zu Einstellungen.
7. Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung.
8. Gehen Sie in der Liste der Login-Methoden zuOpen ID Connect (OIDC) und klicken auf Konfigurieren. 
9. Kopieren Sie unter Anbietereinstellungen den Text neben Callback-URLs/Weiterleitungs-UIRs. 
10. Kehren Sie zu Microsoft Entra-ID zurück. Fügen Sie die Callback-URL, die Sie aus Personio kopiert haben, in das Feld unter Redirect-URI ein.
11. Geben Sie außerdem die folgende Adresse in das Feld unter Weiterleitungs-URI ein:
    • https://login.personio.com/login/callback
12. Stellen Sie sicher, dass Sie im Dropdown-Menü „Web“ als Umleitungstyp auswählen. 
13. Registrieren Sie die Anwendung.

Es erscheint eine Nachricht und das System leitet Sie zur neuen Anwendung weiter.

URIs nach Personio kopieren

Nachdem Sie die Personio-Anwendung erstellt haben, müssen Sie den Autorisierungs-URI und den Token-URI von Microsoft Entra ID nach Personio kopieren. Sie müssen außerdem die Userinfo-URI zu Personio hinzufügen.

Hinweis:
Microsoft legt die Userinfo-URIfest: https://graph.microsoft.com/oidc/userinfo. Sie ist nicht spezifisch für Ihre Microsoft Entra ID-Domain. https://graph.microsoft.com ist nicht ausreichend.

Um URIs nach Personio zu kopieren:

1. Gehen Sie in der neuen Anwendung, die Sie in Microsoft Entra ID erstellt haben, zu Übersicht > Endpunkte, und klicken Sie auf Endpunkte.
   
    

   

2. Kopieren Sie den Wert in das Feld OAuth 2.0-Autorisierungsendpunkt (v2) .
3. Gehen Sie in Personio zu Einstellungen.
4. Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung. 

5. Gehen Sie in der Liste der Login-Methoden zuOpen ID Connect (OIDC) und klicken auf Konfigurieren.
    

   

6. Geben Sie im Feld Button-Anzeigetext den Text ein, der auf dem Login-Button angezeigt werden soll (z. B. "Mit [Ihr Text] fortfahren"). Wenn Sie das Feld leer lassen, wird standardmäßig "Mit SSO fortfahren" angezeigt. Wenn sie individuellen Text hinzufügen, wird er nicht übersetzt.
7. Fügen Sie den Wert, den Sie zuvor aus dem Feld OAuth 2.0-Autorisierungsendpunkt (v2) kopiert haben, in das Feld „Autorisierungs-URI“ ein.
8. Gehen Sie in Microsoft Entra ID zurück zu Übersicht > Endpunkte. Kopieren Sie den Wert in das Feld OAuth 2.0-Token-Endpunkt (v2) .
9. Kehren Sie zu Personio zurück. Fügen Sie den Wert in das Feld Token-URI ein.
10. Wählen Sie aus dem Dropdown-Menü unter Userinfo-URI GET. Fügen Sie den Userinfo-Endpunkt "https://graph.microsoft.com/oidc/userinfo" in das Feld ein. Die Checkbox Lesen von Entitäten aus ID-Token überspringen ist standardmäßig gesetzt. Das bedeutet, dass das System beim Login die Nutzendeninformationen, einschließlich der E-Mail-Adresse, vom Userinfo-URI und nicht vom Token-URI liest. Deaktivieren Sie die Checkbox, wenn Sie Benutzendeninformationen beim Login aus dem Token-URI und nicht aus dem Userinfo-URI lesen möchten. Dies ermöglicht die Verwendung von OAuth mit Active Directory Federation Services (ADFS).
11. Geben Sie unter Bereiche „openid, email“ ein.

Aussteller- und JWKs-URI-Felder konfigurieren

• Der Aussteller (Issuer) ist die Kennnummer des ausgebenden Autorisierungsservers in der Autorisierungsantwort. Geben Sie in diesem Feld den Wert des Ausstellers aus dem Endpunkt .well-known/openid-configuration Ihres SSO-Anbieters ein. 
• Die JSON Web Key Sets (JWKs) URI ist die Discovery-URI für einen Satz öffentlicher Schlüssel. Diese Schlüssel verifizieren jedes JSON Web Token (JWT), das vom Autorisierungsserver ausgestellt wurde. Geben Sie in diesem Feld den Wert des Feldes jwks_uri aus dem Endpunkt .well-known/openid-configuration Ihres SSO-Anbieters ein.

Sie finden die Felder Aussteller und jwks_uri im Discovery-Dokument-Endpunkt (der bekannten Konfigurationsseite) Ihres SSO-Anbieters, hauptsächlich über Ihre „Directory (tenant) ID“.

Folgende Informationen benötigen Sie aus der Einrichtung Ihres SSO-Anbieters:

• Die richtigen Endpunkte für Sicherheitstokendienste (STS) für Azure Active Directory (Azure AD), die Ihr Mandant verwendet. Dies ist entweder sts.windows.net oder login.microsoftonline.com.
• Die korrekte „Directory (tenant) ID“.

Verwenden Sie diese Informationen, um den richtigen bekannten Konfigurationsendpunkt in Abhängigkeit von Ihrer Mandanteneinrichtung zu finden. Zum Beispiel:

• https://sts.windows.net/{insert_your_tenant_id_here}/.well-known/openid-configuration
• https://login.microsoftonline.com/{insert_your_tenant_id_here}/v2.0/.well-known/openid-configuration

Weitere Varianten könnten sein:

• https://.../.well-known/openid-configuration
• https://.../oauth2/token/.well-known/openid-configuration
• https://...//oauth2/authorize/.well-known/openid-configuration
• https://.../v2.0/.well-known/openid-configuration

Bei Microsoft Entra ID Version 2 endet dieser Wert auf /v2.0.

Auf der bekannten Konfigurationsseite finden Sie die wichtigsten Felder, die Sie auf der Seite Authentifizierungseinstellungen in Personio hinzufügen müssen:

• Aussteller
• Autorisierungs-URI
• Token-URI
• UserInfo-URI
• JSON Web Key Sets URI

Wenn Ihre Entra ID-Anwendung individuelle Signierschlüssel verwendet:

• Sie müssen auch Ihre JSON Web Key Sets URI um einen Abfrageparameter namens „appid“ erweitern.
• Anstelle von https://login.microsoftonline.com/{insert_your_tenant_id_here}/discovery/keys sollte Ihre JSON Web Key Sets URI https://login.microsoftonline.com/{insert_your_tenant_id_here}/discovery/keys?appid={insert_your_client_id_here} lauten.

Sie müssen diesen Parameter hinzufügen, wenn Sie beim Testanmelden einen Fehler sehen, z. B. „kein gültiger Schlüssel im jwks_uri des Ausstellers für Schlüsselparameter gefunden“.

Registrierung eines neuen Clientschlüssels

Um einen neuen Clientschlüssel zu registrieren:

1. Gehen Sie in der Anwendung, die Sie in Microsoft Entra ID erstellt haben, zu Verwalten > Zertifikate und Schlüssel.
2. Wählen Sie dort Geheimnisse.
3. Die Schublade Clientschlüssel hinzufügen wird angezeigt.
4. Geben Sie im Feld Beschreibung einen Namen für das Clientschlüssel ein. Wählen Sie dann das entsprechende Ablaufdatum aus dem Dropdown-Menü Läuft ab.
5. Klicken Sie auf Hinzufügen.

6. Es wird eine Seite mit einer Übersicht der Anmeldedaten angezeigt. Kopieren Sie den Wert, der in der Spalte Wert eingetragen ist.

   

7. Gehen Sie in Personio zu Einstellungen.
8. Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung. 
9. Gehen Sie in der Liste der Login-Methoden zuOpen ID Connect (OIDC) und klicken auf Konfigurieren.
10. Fügen Sie den soeben kopierten Wert im Feld Client Secret ein. Notieren Sie sich das Auslaufdatum Ihres Client-Clientschlüssels und legen Sie eine persönliche Erinnerung fest, um ihn vor Ablauf zu erneuern. Dadurch ist ein unterbrechungsfreier Zugriff für Ihre Mitarbeitenden gewährleistet.
11. Gehen Sie zurück zu Microsoft Entra ID > Übersicht. Kopieren Sie den Anwendungs-ID-Wert (Client-ID) .
12. Kehren Sie zu Personio zurück. Fügen Sie den Wert in das Feld Client-ID ein.

Claim auswählen

Wählen Sie unter Claim-Feld das Feld in Microsoft Entra ID mit den E-Mail-Adressen Ihrer Mitarbeitenden aus. Um zu überprüfen, ob ein Mitarbeiter in Personio existiert, prüfen wir, ob der Wert in diesem Feld der in Personio verwendeten E-Mail-Adresse entspricht. Abhängig von Ihrer Einrichtung in Microsoft Entra ID können Sie zwischen "email", "unique_name", "sub" und "upn" wählen.

Tipp:
Wenn Sie Standard nutzen wählen, überprüfen wir die Felder "email", "unique_name", und "sub" sequenziell, bis eines gefunden wird, das einen Wert enthält. Wenn die E-Mail -Adressen Ihrer Mitarbeitenden im Feld „User Principal Name (UPN)“ in Microsoft Entra ID stehen, wählen Sie hier „upn“ aus.

5. Prüfung und Test

Tipp:
Wenn Sie Microsoft Entra ID als einzige aktivierte Login-Methode festlegen möchten, führen Sie zuerst einen Konfigurationstest durch. Dadurch wird verhindert, dass Sie sich durch eine falsche Konfiguration selbst aussperren.

Für Prüfung und Test:

1. Überprüfen Sie die Daten, die Sie in Personio eingegeben haben.
2. Speichern Sie Ihre Änderungen.
3. Um die OIDC-Verbindung zu testen, aktivieren Sie die Verbindung, und klicken Sie auf den Button Testen.
4. Die Verbindung leitet Sie weiter, sodass Sie sich bei Ihrem Identitätsanbieter einloggen können. Bei Fehlern hilft eine Meldung bei der Fehlerbehebung.

Um SSO zu verwenden, müssen Mitarbeitende sowohl in Microsoft Entra ID als auch in Personio über Nutzendenprofile verfügen. Die in Microsoft Entra ID eingegebene E-Mail -Adresse in dem von Ihnen unter Claim-Feld ausgewählten Feld muss mit der in Personio verwendeten E-Mail-Adresse übereinstimmen.

Fehler: AADSTS50146

Wenn der Fehler angezeigt wird: "AADSTS50146: This application is required to be configured with an application ID URI“ (Diese Anwendung muss mit einer URI der Anwendungs-ID konfiguriert werden).

1. Öffnen Sie den Abschnitt „Manifest“ der betroffenen App-Registrierung in Microsoft Entra ID.
2. Aktualisieren Sie die Einstellung „acceptMappedClaims“ auf „True“.

SSO mit Microsoft Entra ID verpflichtend einrichten

Wenn Sie SSO mit Microsoft Entra ID eingerichtet haben, ist das Login über OAuth optional. Ihre Mitarbeitenden können sich wahlweise mit ihren Personio Zugriffsdaten oder über OAuth bei Personio einloggen. Klicken Sie auf OAuth erzwingen, um das Login aller Mitarbeitenden über OAuth obligatorisch zu machen.

Nächster Schritt

• Häufig gestellte Fragen zu SSO
• Problembehebung: Probleme beim Login mit SSO