In diesem Artikel erfahren Sie, wie Sie Single Sign-On (SSO) in Personio mit Okta einrichten. Befolgen Sie die Schritte, um die Einrichtung abzuschließen.
Personio unterstützt das OpenID Connect / OAuth 2.0 Protokoll. Dies ist ein Open-Source-Standard für die Zugriffsdelegierung. Wenn Sie SSO einrichten, authentifizieren sich Mitarbeitende über einen Identitätsanbieter – in diesem Fall Okta. Sie müssen sich nicht mit ihren Personio Zugriffsdaten einloggen.
Wir empfehlen, zur Einrichtung einer solchen Authentifizierung mit Ihrem IT-Team zusammenzuarbeiten.
Bevor Sie beginnen
- Um SSO mit Okta einzurichten, benötigen Sie die folgenden Berechtigungen:
- Admin-Rolle in Personio oder
- Mitarbeitendenrolle mit Rechten zum Bearbeiten von Account-Konfiguration > Authentifizierung.
- Durch die Einrichtung von SSO mit Okta werden die Nutzenden der Personio Anwendung nicht automatisch mit Okta synchronisiert. Dazu müssen Sie die Integration mit Okta separat einrichten. Erfahren Sie mehr über unsere Integration mit Okta.
- Stellen Sie sicher, dass Sie bereits Ihre Mitarbeitenden zu Personio eingeladen haben. Jede Person muss ihren Account erst aktivieren, bevor sie sich einloggen kann.
Erstellen einer neuen Anwendung in Okta
Um eine neue Anwendung in Okta zu erstellen, gehen Sie wie folgt vor:
- Optional: Öffnen Sie Personio und Okta in separaten Reitern, um die Einrichtung zu vereinfachen.
- Gehen Sie im Okta-Administrator-Dashboard zu ANWENDUNGEN > Anwendungen.
- Klicken Sie auf App-Integration erstellen.
- Im Dialog Neue Anwendungsintegration wählen Sie OIDC - OpenID Connect als Anmeldemethode. Wählen Sie Webanwendung als Anwendungstyp, der in Okta integriert ist. Klicken Sie auf Weiter.
- Geben Sie unter Neue Web-Integration > Allgemeine Einstellungen den Namen der Integration ein. Geben Sie z.B. "Personio" in das Feld Name der App-Integration ein.
-
Optional: Setzen Sie ein Häkchen in der Checkbox Client-Zugriffsdaten.
- Gehen Sie in Personio zu Einstellungen.
- Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung.
- Gehen Sie in der Liste der Login-Methoden zuOpen ID Connect (OIDC) und klicken auf Konfigurieren.
- Kopieren Sie unter Provider-Einstellungen die im Feld Callback URI eingetragene URL.
- Gehen Sie in Okta zu New Web Integration > Allgemeine Einstellungen. Fügen Sie die URL, die Sie zuvor kopiert haben, in das Feld unter Sign-in redirect URIs ein. Legen Sie unter Zuweisungen die gewünschten Zugriffsrechte fest.
- Außerdem müssen Sie die folgende Adresse in das Feld unter Sign-in redirect URIs eingeben:
- https://login.personio.com/login/callback
- Speichern Sie Ihre Änderungen.
Erstellen und geben Sie URIs in Personio ein
Führen Sie die folgenden Schritte aus, um alle Uniform Resource Identifiers (URIs) für die Konfiguration von OAuth 2.0 zu erstellen:
- Gehen Sie im Okta-Admin-Dashboard zu ANWENDUNGEN > Anwendungen.
- Gehen Sie zu Allgemeine Einstellungen. Kopieren Sie die Okta domain "https://{yourOktaDomain}/oauth2". Die Okta-Domain muss immer mit "okta.com" enden. Sie müssen die Standarddomain (z. B. „yourcompany.okta.com“) verwenden, um den URI zu erstellen. Verwenden Sie keine individuelle Domain, wenn diese nicht „okta.com“ enthält.
- Gehen Sie in Personio zu Einstellungen.
- Klicken Sie im Abschnitt Sicherheit & Integrationen auf Sicherheit & Authentifizierung.
- Gehen Sie in der Liste der Login-Methoden zuOpen ID Connect (OIDC) und klicken auf Konfigurieren.
- Füllen Sie unter Konfiguration die unten beschriebenen Felder aus.
| Feld | Details |
| Button-Anzeigetext | Geben Sie den Text ein, der auf dem Login-Button angezeigt werden soll (z. B. „Mit [Ihr Text] fortfahren“). Wenn Sie das Feld leer lassen, wird standardmäßig "Mit SSO fortfahren" angezeigt. Beachten Sie, dass individuelle Texte nicht übersetzt werden. |
| Aussteller | Im Abschnitt unten finden Sie weitere Informationen. |
| Autorisierungs-URI | Fügen Sie die zuvor kopierte Okta-Domain ein. Verwenden Sie dies als Grundlage, um den URI zu erstellen (z. B. „https://{yourOktaDomain}/oauth2/v1/authorize“). |
| Token-URI | Geben Sie „https://{yourOktaDomain}/oauth2/v1/token“ ein. |
| UserInfo-URI |
Wählen Sie GET aus dem Dropdown-Menü aus. Fügen Sie den Userinfo-Endpunkt "https://{yourOktaDomain}/oauth2/v1/userinfo" in das Feld ein. Die Checkbox Lesen von Entitäten aus ID-Token überspringen ist standardmäßig gesetzt. Beim Login liest das System die Nutzendeninformationen, einschließlich der E-Mail-Adresse, vom Userinfo-URI und nicht vom Token-URI. Wenn Sie OAuth mit Okta einrichten, müssen Sie dieses Kontrollkästchen aktivieren. |
| JSON Web Key Sets URI | Im Abschnitt unten finden Sie weitere Informationen. |
| Scopes | Geben Sie „openid, email“ ein. Das Feld „email“ speichert die E-Mail-Adresse der nutzenden Person. |
| Client-ID | Um die Client-ID zu finden, rufen Sie das Okta-Admin-Dashboard auf, und navigieren Sie dann zu ANWENDUNGEN > Anwendungen. Kopieren Sie in Allgemeine Einstellungen unter Client-Zugriffsdaten die Client-ID. Kehren Sie zu Personio zurück, und fügen Sie die Client-ID in das entsprechende Feld ein. |
| Client Secret | Um den Clientschlüssel zu finden, rufen Sie das Okta-Admin-Dashboard auf, und navigieren Sie dann zu ANWENDUNGEN > Anwendungen. Kopieren Sie in Allgemeine Einstellungen unter Client-Zugriffsdaten den Clientschlüssel. Kehren Sie zu Personio zurück, und fügen Sie die Client-ID in das entsprechende Feld ein. |
| Ablaufdatum des Schlüssels |
Geben Sie das Ablaufdatum Ihres Clientschlüssels ein. Personio versendet 30, 14, 7 Tage sowie 1 Tag vor dem eingegebenen Datum jeweils eine Erinnerungs-E-Mail an Kontoinhabende. Wenn Sie den Schlüssel und das Ablaufdatum aktualisieren, werden keine Erinnerungen mehr versendet. Wir empfehlen Ihnen, dieses Feld jedes Mal zu aktualisieren, wenn Sie den Schlüssel ändern, damit die Erinnerungen korrekt versendet werden. Wenn Ihr Clientschlüssel abläuft, sendet Personio der kontoinhabenden Person eine E-Mail mit Schritten zur Wiederherstellung des Zugriffs auf Personio. |
| Claim-Feld | Wählen Sie Standard nutzen. |
Aussteller- und JWKs-URI-Felder konfigurieren
- Der Aussteller (Issuer) ist die Kennnummer des ausgebenden Autorisierungsservers in der Autorisierungsantwort. Geben Sie in diesem Feld den Wert des Ausstellers aus dem Endpunkt .well-known/openid-configuration Ihres SSO-Anbieters ein.
- Die JSON Web Key Sets (JWKs) URI ist die Discovery-URI für einen Satz öffentlicher Schlüssel. Diese Schlüssel verifizieren jedes JSON Web Token (JWT), das vom Autorisierungsserver ausgestellt wurde. Geben Sie in diesem Feld den Wert des Feldes jwks_uri aus dem Endpunkt .well-known/openid-configuration Ihres SSO-Anbieters ein.
Die Felder Aussteller und jwks_uri finden Sie im Discovery-Document-Endpunkt Ihres SSO-Anbieters. Sie können diese normalerweise über eine dieser URLs aufrufen:
- https://example-provider.com/well-known/openid-configuration
- https://example-provider/oauth2/token/.well-known/openid-configuration
- https://example-provider.com/oauth2/authorize/.well-known/openid-configuration
- https://example-provider.com/v2.0/.well-known/openid-configuration
Weitere Informationen zum Erstellen von URIs finden Sie im Okta-Referenzdokument OpenID Connect & OAuth 2.0 API.
5. Prüfung und Test
Tipp:
Wenn Sie Okta als einzige aktivierte Login-Methode festlegen möchten, führen Sie zuerst einen Konfigurationstest durch. Dadurch wird verhindert, dass Sie sich durch eine falsche Konfiguration selbst aussperren.
- Überprüfen Sie die Daten, die Sie in Personio eingegeben haben.
- Speichern Sie Ihre Änderungen.
- Um die OIDC-Verbindung zu testen, aktivieren Sie die Verbindung, und klicken Sie auf den Button Testen.
- Die Verbindung leitet Sie weiter, sodass Sie sich bei Okta einloggen können. Bei Fehlern hilft eine Meldung bei der Fehlerbehebung.
Um SSO nutzen zu können, müssen Mitarbeitende über Nutzendenprofile sowohl in Okta als auch in Personio verfügen. Die E-Mail-Adresse, die in Okta unter Directory > People > Primary eingegeben wurde, muss mit der in Personio verwendeten E-Mail-Adresse übereinstimmen.
Optional: SSO bei Okta durchsetzen
Nachdem Sie die Konfiguration abgeschlossen haben, können Sie SSO bei Okta aktivieren. Um den Login über OpenID Connect (OIDC) für alle Mitarbeitenden verpflichtend zu machen, legen Sie ihn als einzige aktivierte Login-Methode fest.