In diesem Artikel erklären wir, wie Sie Single Sign-On (SSO) mit Microsoft Entra ID in Personio einrichten. Folgen Sie den Schritten, um die Einrichtung vorzunehmen.
Grundlegendes zu SSO und OAuth
Mit SSO können Sie Personio mit einem Identitätsanbieter wie Microsoft Entra ID oder Okta verbinden. Personio unterstützt das Protokoll OAuth 2.0, ein Open-Source-Standard für die Zuteilung von Zugriffsberechtigungen. Ist dies eingerichtet, authentifizieren sich Nutzende über einen Identitätsanbieter. Sie müssen dann nicht ihre Personio-Zugriffsdaten verwenden. Wenn Sie OAuth aktivieren, können sich Mitarbeitende mit einem Personio-Profil ohne eine E-Mail Einladung in ihrem Account einloggen.
Hinweis:
Wenn Sie SSO mit Microsoft Entra ID einrichten, werden Benutzende in Personio nicht automatisch mit Microsoft Entra ID synchronisiert. Die Integration mit Microsoft Entra ID muss hierzu separat eingerichtet werden. Erfahren Sie mehr über unsere Integration mit Microsoft Entra ID.
1. Registrieren Sie sich und erstellen Sie eine neue Anwendung in Microsoft Entra ID
- Optional: Öffnen Sie Personio und Microsoft Entra ID in separaten Tabs, um die Einrichtung einfacher zu machen.
- Gehen Sie im Admin-Center für Microsoft Entra ID zu Microsoft Entra ID > App-Registrierungen.
- Um eine neue Anwendung wie Personio zu registrieren, klicken Sie auf Neue Anwendung.
- Geben Sie im Feld Name einen Namen für die Anwendung ein, z. B. "Personio SSO".
- Unter Unterstützte Kontoarten wählen Sie die Kontoart, die die Anwendung verwenden oder auf die API zugreifen darf.
Aus Sicherheitsgründen empfehlen wir,nur Accounts in diesem Organisationsverzeichnis (ein Mandant) auszuwählen. Mit den anderen Optionen könnten sich Benutzende anderer Mandanten eventuell in Personio-Accounts einloggen. - Gehen Sie in Personio zu Einstellungen. Klicken Sie im Bereich Integrationen auf Authentifizierung. Klicken Sie dann auf OAuth 2.0.
- Kopieren Sie unter Provider-Einstellungen den Text neben Callback-URI.
- Gehen Sie zurück zu Microsoft Entra ID. Fügen Sie dort den Callback URI, den Sie aus Personio kopiert haben, im Feld Weiterleitungs-URI ein.
- Geben Sie außerdem die folgende Adresse in das Feld unter Weiterleitungs-URI ein:
- Stellen Sie sicher, dass im Drop-down-Menü Web als Art der Weiterleitung ausgewählt ist.
- Registrieren Sie die Anwendung.
Es erscheint eine Bestätigungsmeldung, und das System leitet Sie zur neuen Anwendung weiter.
Tipp:
Um SSO in der mobilen App nutzen zu können, fügen Sie diesen Callback-URI zu den Weiterleitungs-URIs in Entra ID hinzu: https://auth.personio.de/providers/oauth/callback
2. Kopieren der URIs nach Personio
Nachdem Sie die Personio-Anwendung erstellt haben, müssen Sie den Autorisierungs-URI und den Token-URI von Microsoft Entra ID nach Personio kopieren. Außerdem müssen Sie den Benutzendeninfo-URI in Personio hinzufügen.
Hinweis:
Microsoft legt den Benutzendeninfo-URI fest: https://graph.microsoft.com/oidc/userinfo. Er ist nicht spezifisch für Ihre Microsoft Entra ID Domain. https://graph.microsoft.com reicht nicht aus.
- Gehen Sie in der neuen Anwendung, die Sie in Microsoft Entra ID angelegt haben, zu Übersicht > Endpunkte und klicken Sie auf Endpunkte.
- Kopieren Sie den Wert im Feld OAuth 2.0 Autorisierungsendpunkt (v2).
- Gehen Sie in Personio zu Einstellungen. Klicken Sie im Bereich Integrationen auf Authentifizierung. Klicken Sie dann auf OAuth 2.0.
- Klicken Sie unter Konfiguration auf Bearbeiten.
- Fügen Sie den Wert, den Sie zuvor aus dem Feld OAuth 2.0 Autorisierungsendpunkt (v2) kopiert haben, in das Feld Autorisierungs-URI ein.
- Gehen Sie zurück zu Übersicht > Endpunkte in Microsoft Entra ID. Kopieren Sie den Wert im Feld OAuth 2.0 Token-Endpunkt (v2).
- Gehen Sie zurück zu Personio. Fügen Sie den Wert in das Feld Token URI ein.
- Wählen Sie aus dem Dropdown-Menü unter Userinfo URI die Option GET aus. Fügen Sie den Userinfo-Endpunkt "https://graph.microsoft.com/oidc/userinfo" in das Feld ein. Das System aktiviert standardmäßig die Checkbox Lesen von Entitäten aus ID-Token überspringen. Das bedeutet, dass das System beim Login die Benutzendeninformationen, einschließlich der E-Mail-Adresse, vom Userinfo-URI und nicht vom Token-URI liest. Deaktivieren Sie die Checkbox, wenn Sie Benutzerinformationen beim Login aus den Token-URI und nicht aus dem Userinfo-URI lesen möchten. Dies ermöglicht die Nutzung von OAuth mit Active Directory Federation Services (ADFS).
- Geben Sie unter Scopes „openid, email“ ein.
URI-Felder für den Aussteller und die JWK konfigurieren
- Der Issuer ist die Aussteller-Identifikationsnummer des Autorisierungsservers in der Antwort. Geben Sie in diesem Feld den Wert des Felds Issuer aus dem Endpunkt .well-known/openid-configuration Ihres SSO-Anbieters ein.
- Der JSON Web Key Set (JWKs) URI ist der Erkennungs-URI für eine Reihe öffentlicher Schlüssel. Diese Schlüssel überprüfen alle vom Autorisierungsserver ausgegebenen JSON Web Token (JWT). Geben Sie in diesem Feld den Wert des Feldes jwks_uri aus dem Endpunkt der .well-known/openid-configuration Ihres SSO-Anbieters ein.
Sie finden die Felder Issuer und jwks_URI im Erkennungs-Dokument-Endpunkt Ihres SSO-Anbieters. In der Regel ist dies über eine der folgenden URLs möglich:
- https://example-provider.com/well-known/openid-configuration
- https://example-provider/oauth2/token/.well-known/openid-configuration
- https://example-provider.com/oauth2/authorize/.well-known/openid-configuration
- https://example-provider.com/v2.0/.well-known/openid-configuration
Registrierung eines neuen Client Secrets
- Gehen Sie in der Anwendung, die Sie in Microsoft Entra ID angelegt haben, zu Verwalten > Zertifikate & Geheimnisse.
- Wählen Sie dort Geheimnisse.
- Add a client secret drawer wird angezeigt.
- Geben Sie im Feld Beschreibung eine Bezeichnung für das Client Secret ein. Wählen Sie dann das Ablaufdatum aus dem entsprechenden Dropdown-Menü aus.
- Klicken Sie auf Hinzufügen.
- Es wird eine Seite mit einer Übersicht der Anmeldedaten angezeigt. Kopieren Sie den Wert, der in der Spalte Wert eingetragen ist.
- Gehen Sie in Personio zu Einstellungen. Klicken Sie im Bereich Integrationen auf Authentifizierung. Klicken Sie dann auf OAuth 2.0.
- Klicken Sie neben Client-Konfiguration auf Bearbeiten.
- Fügen Sie den soeben kopierten Wert im Feld Client Secret ein.
- Gehen Sie zurück zu Microsoft Entra ID > Übersicht. Kopieren Sie den Wert der Anwendungs-(Client-)ID.
- Gehen Sie zurück zu Personio. Fügen Sie den Wert in das Feld Client-ID ein.
4. Claim wählen
Wählen Sie unter Claim-Feld das Feld in Microsoft Entra ID mit den E-Mail-Adressen Ihrer Mitarbeitenden aus. Um zu bestätigen, dass eine mitarbeitende Person in Personio vorhanden sind, prüfen wir, ob der Wert in diesem Feld der in Personio verwendeten E-Mail-Adresse entspricht. Je nachdem, wie Sie Microsoft Entra ID eingerichtet haben, können Sie zwischen "email", "unique_name", "sub" und "upn" wählen.
Tipp:
Wenn Sie Standard nutzen wählen, überprüft Personio die Felder "email", "unique_name", und "sub" sequenziell, bis eines gefunden wird, das einen Wert enthält. Wenn die E-Mail Adressen Ihrer Mitarbeitenden im Feld User Principal Name (UPN) in Microsoft Entra ID eingetragen sind, wählen Sie hier "upn" aus.
5. Prüfung und Test
- Überprüfen Sie die Daten, die Sie in Personio eingegeben haben.
- Speichern Sie Ihre Änderungen.
- Um die OAuth-Verbindung zu testen, klicken Sie auf Testen.
- Sie müssen sich bei Microsoft Entra ID anmelden. Wenn Fehler auftreten, erscheint eine Meldung, die Ihnen bei der Fehlerbehebung weiterhilft.
Um SSO nutzen zu können, müssen Ihre Mitarbeitenden sowohl in Microsoft Entra ID als auch in Personio Benutzendenprofile besitzen. Die E-Mail-Adresse, die in Microsoft Entra ID im Feld eingegeben ist, das Sie unter Claim-Feld ausgewählt haben, muss der in Personio verwendeten E-Mail-Adresse entsprechen.
Optional: SSO mit Microsoft Entra ID verpflichtend einrichten
Nachdem die SSO-Einrichtung mit Microsoft Entra ID erfolgt ist, ist das Einloggen über OAuth optional. Ihre Mitarbeitenden können also wählen, ob sie über ihre Personio-Zugriffsdaten oder über OAuth in Personio einloggen möchten. Um den Login für alle Mitarbeitenden ausschließlich über OAuth zuzulassen, klicken Sie auf Ausschließlich OAuth erlauben.