Saltar al contenido principal

¿En qué podemos ayudarte?

Volver

Elige el método de autenticación adecuado para tu empresa

 

Este artículo explica los diferentes métodos de autenticación que ofrece Personio. Los métodos disponibles dependen de tu plan Personio.

 

Autenticación de dos factores

Todos los clientes de Personio pueden activar la autenticación de dos factores para cualquier rol de empleado con el fin de proteger mejor los datos que han almacenado en Personio.

Si se activa la autenticación de dos factores para un rol de empleado, todos los empleados asignados a ese rol deben introducir, además de su dirección de correo electrónico y contraseña (primer factor: conocimiento), el token generado en su dispositivo móvil (segundo factor: posesión) cuando se conectan.

Para activar la autenticación de dos factores y descubrir cómo pueden configurarla tus empleados en sus dispositivos, sigue las instrucciones de nuestro artículo Configurar la autenticación de dos factores para roles de empleado.

 

Inicio de sesión único (SSO) de Google

Notas
▶︎ Este método de autenticación solo está disponible si tienes al menos el plan Profesional.
▶︎ Esta opción solo funciona si utilizas Google Workspace en tu empresa.
▶︎ Si habilitas el inicio de sesión único de Google, este método de autenticación se aplicará a todos tus empleados y no se podrá iniciar sesión con las credenciales de Personio (correo electrónico y contraseña).

Si el inicio de sesión único de Google está activado, tus empleados pueden iniciar sesión en Personio a través de sus cuentas de Google relacionadas con el trabajo.

Esto tiene los siguientes beneficios:

  • El acceso se gestiona completamente dentro de Google Workspace. Cuando un empleado deja tu empresa y se desactiva como usuario en Google, su acceso a Personio se revoca automáticamente.
  • Los empleados no necesitan crear una contraseña adicional para Personio.

Para activar el SSO de Google, sigue las instrucciones de nuestro artículo Inicio de sesión único de Google.

Consejo
Te recomendamos que actives el inicio de sesión único de Google una vez completada la configuración de tu cuenta, ya que tus empleados podrán iniciar sesión en Personio tan pronto como se active el SSO.El acceso a la cuenta se realizará entonces exclusivamente a través de Google.

 

OAuth 2.0 

Nota
▶︎ Este método de autenticación solo está disponible si tienes el plan Empresa
▶︎ Se recomienda contactar con un administrador de TI para implementar este tipo de autenticación.

Personio admite el inicio de sesión a través del protocolo OAuth 2.0. Esto permite una gestión segura y estandarizada del acceso a las aplicaciones.

Puedes integrar Personio con varios proveedores de OAuth como Azure AD u Okta. Lee el artículo correspondiente a continuación para saber cómo configurar la autenticación OAuth con uno de estos proveedores:

Si estás utilizando otro proveedor de OAuth, sigue las instrucciones a continuación.

 

1. Configura la redirección al URI de devolución de llamada en tu proveedor de OAuth

  1. En Personio, ve a Ajustes > Integraciones > Autenticación > OAuth 2.0.
  2. En Ajustes del proveedor, copia la URL del campo URI de devolución de llamada.

    settings-authentication-oauth_2.0-callback_uri_es.png

  3. Introduce el URI de devolución de llamada en el campo correspondiente en los ajustes de tu proveedor de OAuth.

Consejo
Si también quieres que los usuarios puedan iniciar sesión a través de la aplicación móvil de Personio, tendrás que incluir la siguiente URL de devolución de llamada en la lista blanca: https://auth.personio.de/providers/oauth/callback

 

2. Configura los ajustes de OAuth 2.0 en Personio

  1. Vuelve a Ajustes > Integraciones > Autenticación > OAuth 2.0 en Personio.
  2. En Configuración, haz clic en Editar.

    Nota
    Todos los datos que necesitas introducir en los campos debes tomarlos de la configuración de tu proveedor de OAuth.


    settings-authentication-configuration_es.png
  3. En el campo URI de autorización, introduce el URI de autorización.Los usuarios serán redirigidos a la página del URI de autorización cuando hagan clic en "Iniciar sesión con OAuth".
  4. En el campo Token URI, introduce el URI del token.Personio se comunicará con este endpoint para obtener un token que verifique que las credenciales introducidas son correctas. 
  5. En URI de información de usuario, selecciona «OBTENER» en el menú desplegable y pega el endpoint de la información de usuario "https://graph.microsoft.com/oidc/userinfo" en el campo.La casilla Omitir la lectura de entidades del token de identificación aparece seleccionada por defecto.Esto significa que, al iniciar sesión, la información del usuario (en concreto su dirección de correo electrónico) se leerá del URI de información de usuario y no del URI del token.

    Nota
    Si quieres que, al iniciar sesión, la información del usuario se lea del URI del token y no del URI de la información de usuario, debes desmarcar la casilla, lo que permite la implementación de OAuth con Active Directory Federation Services (ADFS).

  6. En el campo Ámbitos , introduce el alcance deseado.Este campo especifica cómo se transfiere la información del usuario a Personio.Para muchos proveedores de OAuth, el valor correcto para este campo es "openid, email".
  7. En el campo ID de cliente, introduce el ID de cliente que se utilizará para la autenticación.
  8. En el campo Clave del cliente , introduce la clave del cliente que se utilizará para la autenticación
  9. En el Campo Claimselecciona el campo del proveedor de OAuth donde se almacenan las direcciones de correo electrónico de tus empleados.Para validar que un empleado existe en Personio, verificaremos si el valor de este campo corresponde a la dirección de correo electrónico utilizada en Personio.Puedes elegir entre "email", "unique_name", "sub" y "upn".

    Consejo
     Si seleccionas la opción Usar valor predeterminado, comprobaremos los campos "email", "unique_name" y "sub" en orden descendente hasta encontrar uno que contenga un valor.

  10. Opcional: en el campo Authentication Context Class Reference , introduce los valores de referencia de la clase de contexto de autenticación.Esta referencia es equivalente al campo acr_values de tu proveedor de OAuth.Te permite configurar procesos adicionales para el proveedor de identidad, por ejemplo, la autenticación de dos factores.

3. Revisión y prueba

  1. Revisa los datos que has introducido en Personio.
  2. Después de asegurarte de que has introducido todo correctamente, haz clic en Enviar para guardar los datos.
  3. Para probar la conexión OAuth, haz clic en Realizar una prueba de configuración.

Se te pedirá que inicies sesión en tu proveedor de OAuth. Si hay errores, se mostrará un mensaje para ayudarte con la solución de problemas.

Nota
Los empleados solo podrán iniciar sesión a través de OAuth si la dirección de correo electrónico almacenada para el atributo "email", "unique_name" o "sub" en tu proveedor de OAuth coincide con la dirección de correo electrónico utilizada en Personio.

 

Opcional: aplicar la autenticación OAuth

Después de configurar la autenticación, tus empleados pueden elegir si desean iniciar sesión en Personio a través de OAuth o usando sus credenciales de Personio. Si quieres que el inicio de sesión a través de OAuth sea obligatorio para todos los empleados, haz clic en el botón Aplicar OAuth.

settings-authentication-oauth-enforcement_es.jpeg

 

LDAP/Active Directory mediante OAuth 2.0

Si quieres integrar Active Directory con tu cuenta de Personio, necesitas utilizar un proveedor de identidad. El proveedor de identidad actúa como una interfaz OAuth entre Active Directory y Personio.

El servidor de identidad WSO2 es una buena solución para la gestión de identidades y accesos. Puedes descargarlo de forma gratuita

Si ya usas uno de los siguientes proveedores, también puedes implementar la integración de OAuth a través de ellos:  

 

¿Todavía tienes alguna pregunta?

Preguntar en la Comunidad Ver las Preguntas más frecuentes