Zum Hauptinhalt gehen

Wie können wir Ihnen helfen?

Als Admin können Sie jetzt einen Blick auf die neue Personio-Erfahrung werfen!

Gehen Sie zur Startseite und aktivieren Sie die neue Erfahrung, um unsere intelligente HR-Plattform mit frischem Design und neuen Funktionen zu erkunden. Testen Sie ohne Einschränkung, — denn die Änderungen sind während dieser frühen Testphase für Ihre Mitarbeitenden nicht sichtbar.

Einrichtung von Single Sign-On (SSO) in Personio mit Okta

In diesem Artikel erklären wir, wie Sie Single Sign-On (SSO) mit Okta in Personio einrichten. Folgen Sie den Schritten, um die Einrichtung vorzunehmen.

Grundlegendes zu SSO und OAuth

SSO ermöglicht es Ihnen, Personio mit einem Identitätsanbieter wie Okta oder Microsoft Entra ID zu verbinden. Personio unterstützt das Protokoll OAuth 2.0, ein Open-Source-Standard für die Zuteilung von Zugriffsberechtigungen. Ist dies eingerichtet, authentifizieren sich Nutzende über einen Identitätsanbieter. Sie müssen dann nicht ihre Personio-Zugriffsdaten verwenden. Wenn Sie OAuth aktivieren, können sich Mitarbeitende mit einem Personio-Profil ohne eine E-Mail Einladung in ihrem Account einloggen.

Hinweis:
Wenn Sie SSO mit Okta einrichten, werden Personio-Nutzende nicht automatisch mit Okta synchronisiert. Die Integration mit Okta muss hierzu separat eingerichtet werden. Erfahren Sie mehr über unsere Integration mit Okta.

1. Erstellen einer neuen Anwendung in Okta

  1. Optional: Öffnen Sie Personio und Okta in separaten Tabs, um die Einrichtung einfacher zu machen.
  2. Gehen Sie im Okta-Administrator-Dashboard zu ANWENDUNGEN > Anwendungen.
  3. Klicken Sie auf Neue Anwendungsintegration.
  4. Im Dialog Neue Anwendungsintegration wählen Sie OIDC - OpenID Connect als Anmeldemethode. Wählen Sie Web-Anwendung als den Anwendungstyp, der mit Okta integriert wird. Klicken Sie auf Weiter.
  5. Geben Sie unter Neue Web-Integration > Allgemeine Einstellungen den Namen der Integration ein. Geben Sie zum Beispiel im Feld Integrationsname "Personio" ein. Setzen Sie ein Häkchen in der Checkbox Client-Anmeldedaten.

  6. Gehen Sie in Personio zu Einstellungen. Klicken Sie im Bereich Integrationen auf Authentifizierung. Klicken Sie dann auf OAuth 2.0. Kopieren Sie unter Provider-Einstellungen die im Feld Callback URI eingetragene URL.
  7. Gehen Sie in Okta zu Neue Webintegration > Allgemeine Einstellungen.Fügen Sie im Feld unter Weiterleitungs-URI für die Anmeldung die URL ein, die Sie gerade kopiert haben. Legen Sie unter Zuweisungen die gewünschten Zugriffsrechte fest.
  8. Geben Sie außerdem die folgenden Adressen in das Feld unter Weiterleitungs-URI für die Anmeldung ein:
  9. Speichern Sie Ihre Änderungen.

Tipp:
Sofern sich Nutzende mit der mobilen App anmelden müssen, müssen Sie auch die folgende Callback-URL auf die Zulassungsliste setzen: https://auth.personio.de/providers/oauth/callback 

2. Erstellung und Eingabe von URIs in Personio

Führen Sie die folgenden Schritte aus, um alle Uniform Resource Identifiers (URIs) für die Konfiguration von OAuth 2.0 zu erstellen:

  1. Gehen Sie zu Okta-Administrator-Dashboard > ANWENDUNGEN > Anwendungen > Allgemeine Einstellungen. Kopieren Sie die Okta-Domain "https://{yourOktaDomain}/oauth2". Die Okta-Domain muss immer mit "okta.com"enden. Sie müssen die Standarddomain (z. B. "ihrefirma.okta.com") verwenden, um den URI zu erstellen. Verwenden Sie keine individuelle Domain, die nicht "okta.com" enthält und für Ihr Unternehmen zur Erstellung des URI eingerichtet wurde.
  2. Gehen Sie in Personio zu Einstellungen. Klicken Sie im Bereich Integrationen auf Authentifizierung. Klicken Sie dann auf OAuth 2.0.
  3. Klicken Sie unter Konfiguration auf Bearbeiten.

  4. Fügen Sie in das Feld Autorisierungs-URI die Okta-Domain ein, die Sie zuvor kopiert haben. Erstellen Sie auf dieser Grundlage den URI (z. B. „https://{yourOktaDomain}/oauth2/v1/authorize“).
  5. Geben Sie im Feld Token-URI ein: "https://{yourOktaDomain}/oauth2/v1/token".
  6. Wählen Sie aus dem Dropdown-Menü unter Userinfo URI die Option GET aus. Fügen Sie den Userinfo-Endpunkt "https://{yourOktaDomain}/oauth2/v1/userinfo" in das Feld ein. Das System aktiviert standardmäßig die Checkbox Lesen von Entitäten aus ID-Token überspringen. Das bedeutet, dass das System beim Login die Benutzendeninformationen, einschließlich der E-Mail-Adresse, vom Userinfo-URI und nicht vom Token-URI liest. Wenn Sie OAuth mit Okta einrichten, müssen Sie diese Checkbox aktivieren.
  7. Geben Sie im Feld Scopes ein: "openid, email". Das Feld "E-Mail" wird mit der E-Mail-Adresse der nutzenden Person gespeichert.
  8. Gehen Sie zu Okta-Administrator-Dashboard > ANWENDUNGEN > Anwendungen > Allgemeine Einstellungen. Kopieren Sie unter Client-Anmeldeinformationen die Client ID.
  9. Gehen Sie zurück zu Personio. Fügen Sie die Client-ID, die Sie aus Okta kopiert haben, in das Feld Client-ID ein.
  10. Gehen Sie zurück zu Okta. Kopieren Sie dort unter Client-Anmeldeinformationen das Client Secret.
  11. Gehen Sie zurück zu Personio. Fügen Sie das Client Secret, den Sie aus Okta kopiert haben, in das Feld Client Secret ein.
  12. Wählen Sie unter Claim-Feld die Option Standard nutzen aus.

URI-Felder für den Aussteller und die JWK konfigurieren

  • Der Issuer ist die Aussteller-Identifikationsnummer des Autorisierungsservers in der Antwort. Geben Sie in diesem Feld den Wert des Felds Issuer aus dem Endpunkt .well-known/openid-configuration Ihres SSO-Anbieters ein.
  • Der JSON Web Key Set (JWKs) URI ist der Erkennungs-URI für eine Reihe öffentlicher Schlüssel. Diese Schlüssel überprüfen alle vom Autorisierungsserver ausgegebenen JSON Web Token (JWT). Geben Sie in diesem Feld den Wert des Feldes jwks_uri aus dem Endpunkt der .well-known/openid-configuration Ihres SSO-Anbieters ein.

Sie finden die Felder Issuer und jwks_URI im Erkennungs-Dokument-Endpunkt Ihres SSO-Anbieters. In der Regel ist dies über eine der folgenden URLs möglich:

Tipp:
Weitere Informationen zum Erstellen von URIs finden Sie im Okta-Referenzdokument OpenID Connect & OAuth 2.0 API.

4. Prüfung und Test

  1. Prüfen Sie die Daten, die Sie in Personio eingegeben haben.
  2. Speichern Sie Ihre Änderungen.
  3. Um die OAuth-Verbindung zu testen, klicken Sie auf Testen.
  4. Sie müssen sich bei Okta anmelden. Wenn Fehler auftreten, erscheint eine Meldung, die Ihnen bei der Fehlerbehebung weiterhilft.

Um SSO nutzen zu können, müssen Ihre Mitarbeitenden Nutzerprofile sowohl in Okta als auch in Personio haben. Die E-Mail-Adresse, die in Okta unter Adressbuch > Nutzer > Primäre E-Mail-Adresse hinterlegt ist, muss der E-Mail-Adresse in Personio entsprechen.

Optional: SSO mit Okta verpflichtend einrichten

Nachdem die SSO-Einrichtung mit Okta erfolgt ist, ist das Einloggen über OAuth optional. Ihre Mitarbeitenden können also wählen, ob sie über ihre Personio-Zugriffsdaten oder über OAuth in Personio einloggen möchten. Um den Login für alle Mitarbeitenden ausschließlich über OAuth zu zulassen, klicken Sie auf Ausschließlich OAuth erlauben

Helfen Sie uns, uns zu verbessern. Ist diese Seite hilfreich?