Este artículo explica los diferentes métodos de autenticación que ofrece Personio. Los métodos disponibles dependen de tu plan Personio.
Autenticación de dos factores
Todos los clientes de Personio pueden activar la autenticación de dos factores para cualquier rol de empleado con el fin de proteger mejor los datos que han almacenado en Personio.
Si se activa la autenticación de dos factores para un rol de empleado, todos los empleados asignados a ese rol deben introducir, además de su dirección de correo electrónico y contraseña (primer factor: conocimiento), el token generado en su dispositivo móvil (segundo factor: posesión) cuando se conectan.
Para activar la autenticación de dos factores y descubrir cómo pueden configurarla tus empleados en sus dispositivos, sigue las instrucciones de nuestro artículo Configurar la autenticación de dos factores para roles de empleado.
Inicio de sesión único (SSO) de Google
notas
▶︎ Esta opción solo funciona si usas Google Workspace en tu empresa.
▶︎ Si habilitas el inicio de sesión único de Google, este método de autenticación se aplicará a todos tus empleados y no se podrá iniciar sesión con las credenciales de Personio (correo electrónico y contraseña).
Si el inicio de sesión único de Google está activado, tus empleados pueden iniciar sesión en Personio a través de sus cuentas de Google relacionadas con el trabajo.
Esto tiene los siguientes beneficios:
- El acceso se gestiona completamente dentro de Google Workspace. Cuando un empleado deja tu empresa y se desactiva como usuario en Google, su acceso a Personio se revoca automáticamente.
- Los empleados no necesitan crear una contraseña adicional para Personio.
Para activar el SSO de Google, sigue las instrucciones de nuestro artículo Inicio de sesión único de Google.
Consejo
Te recomendamos que actives el inicio de sesión único de Google una vez completada la configuración de tu cuenta, ya que tus empleados podrán iniciar sesión en Personio tan pronto como se active el SSO.El acceso a la cuenta se realizará entonces exclusivamente a través de Google.
OAuth 2.0
Notas
▶︎ Se recomienda que trabajes con un administrador de TI para implementar este tipo de autenticación.
Personio admite el inicio de sesión a través del protocolo OAuth 2.0. Esto permite una gestión segura y estandarizada del acceso a las aplicaciones.
Puedes integrar Personio con varios proveedores de OAuth, como Microsoft Entra ID u Okta. Lee el artículo correspondiente a continuación para aprender cómo configurar la autenticación OAuth con uno de estos proveedores:
- Configurar el inicio de sesión único (SSO) en Personio con Microsoft Entra ID
- Configura el inicio de sesión único (SSO) en Personio con Okta.
Si estás utilizando otro proveedor de OAuth, sigue las instrucciones a continuación.
Configura la redirección al URI de devolución de llamada en tu proveedor de OAuth
- Ir a Configuración
- En la sección Integraciones, haz clic en Autenticación.
- En OAuth 2.0, en Ajustes del proveedor, copia la URL del campo URI de devolución de llamada.
- Introduce esta URL en el campo correspondiente en los ajustes de tu proveedor de OAuth.
- También debes introducir la siguiente URL en el campo correspondiente en la configuración de tu proveedor de OAuth: https://login.personio.de/login/callback
https://login.personio.com/login/callback
Consejo
Si también quieres que los usuarios puedan iniciar sesión a través de la aplicación móvil de Personio, tendrás que incluir la siguiente URL de devolución de llamada en la lista blanca: https://auth.personio.de/providers/oauth/callback
Configurar los ajustes de OAuth 2.0 en Personio
- Vuelve a Ajustes > Integraciones > Autenticación > OAuth 2.0 en Personio.
- En Configuración, haz clic en Editar.
Nota
Todos los datos que necesitas ingresar en los campos deben tomarse de los ajustes de tu proveedor de OAuth.
- En el campo URI de autorización, introduce el URI de autorización. Los usuarios serán redirigidos a la página del URI de autorización cuando hagan clic en “Iniciar sesión con OAuth”.
- En el campo Token URI, introduce el URI del token. Personio se comunicará con este endpoint para obtener un token que verifique que las credenciales introducidas son correctas.
- En URI de información de usuario, selecciona «OBTENER» en el menú desplegable y pega el endpoint de la información de usuario "https://graph.microsoft.com/oidc/userinfo" en el campo.La casilla Omitir la lectura de entidades del token de identificación aparece seleccionada por defecto.Esto significa que, al iniciar sesión, la información del usuario (en concreto su dirección de correo electrónico) se leerá del URI de información de usuario y no del URI del token.
Nota
Si quieres que, al iniciar sesión, la información del usuario se lea del URI del token y no del URI de la información de usuario, debes desmarcar la casilla, lo que permite la implementación de OAuth con Active Directory Federation Services (ADFS). - En el campo Alcances , ingresa el alcance deseado. Este campo especifica cómo se transfiere la información del usuario a Personio. Para muchos proveedores de OAuth, el valor correcto es “openid, email”.
- En el campo ID de cliente, introduce el ID de cliente que se utilizará para la autenticación.
- En el campo Clave del cliente, introduce la clave del cliente que se utilizará para la autenticación
- En Campo de reclamo, selecciona el campo en tu proveedor de OAuth donde se almacenan las direcciones de correo electrónico de tus empleados. Para validar que un empleado existe en Personio, comprobaremos si el valor de este campo corresponde a la dirección de correo electrónico utilizada en Personio. Puedes elegir entre “correo electrónico”, “unique_name”, “sub” y “upn”.
Consejo
Si seleccionas Usar valor predeterminado, comprobaremos los campos “correo electrónico”, “unique_name” y “sub” en orden secuencial hasta que encontremos uno que contenga un valor. - Opcional: en el campo Referencia de clase de contexto de autenticación, ingresa la referencia de clase de contexto de autenticación. Esta referencia es igual al campo acr_values dentro de tu proveedor de OAuth. Esta referencia se puede utilizar para configurar procesos adicionales por parte de tu proveedor de identidad, como la autenticación de dos factores.
Revisar y probar
- Revisa los datos que has introducido en Personio.
- Después de asegurarte de que has introducido todo correctamente, haz clic en Enviar para guardar los datos.
- Para probar la conexión OAuth, haz clic en Realizar una prueba de configuración.
Se te pedirá que inicies sesión en tu proveedor de OAuth. Si hay errores, se mostrará un mensaje para ayudarte con la solución de problemas.
Nota
Los empleados solo podrán iniciar sesión a través de OAuth si la dirección de correo electrónico almacenada para el atributo "email", "unique_name" o "sub" en tu proveedor de OAuth coincide con la dirección de correo electrónico utilizada en Personio.
Opcional: aplicar la autenticación OAuth
Después de configurar la autenticación, tus empleados pueden elegir si desean iniciar sesión en Personio a través de OAuth o usando sus credenciales de Personio. Si quieres que el inicio de sesión a través de OAuth sea obligatorio para todos los empleados, haz clic en el botón Aplicar OAuth.
Nota
Si se aplica OAuth y se ha creado el perfil del empleado, el empleado puede iniciar sesión en la cuenta sin una invitación ni activar su cuenta.
LDAP/Active Directory mediante OAuth 2.0
Si quieres integrar Active Directory con tu cuenta de Personio, necesitas utilizar un proveedor de identidad. El proveedor de identidad actúa como una interfaz OAuth entre Active Directory y Personio.
El servidor de identidad WSO2 es una buena solución para la gestión de identidades y accesos. Puedes descargarlo de forma gratuita.
Si ya usas uno de los siguientes proveedores, también puedes implementar la integración de OAuth a través de ellos: