Integración de un proveedor de autenticación en Personio

 

En este artículo se explica cómo integrar un sistema de autenticación existente, como Google Single Sign-On (SSO) u OAuth (Open Authorization) 2.0, con una cuenta de Personio.

 

1. Google Single-Sign-On (SSO)

Al activar esta opción, todos los empleados que tengan una dirección de correo electrónico de Google almacenada en su perfil podrán iniciar sesión en sus cuentas de Personio mediante la autenticación de Google. 

Para activar Google SSO, sigue estos pasos:

  1. Ve a Ajustes > Integraciones > Autenticación.
  2. Selecciona la pestaña Google Auth.
  3. Haz clic en Editar y selecciona .
  4. Pulsa en Guardar.

settings-integrations-authentication-google_auth_es.png

Ahora, cuando tus empleados abran Personio, verán la confirmación de que Google SSO está habilitado. Para iniciar sesión en Personio, los empleados solo tienen que hacer clic en Iniciar sesión con Google

login-google-sso_es.jpg

Nota
Dado que tus empleados podrán iniciar sesión en Personio desde el momento en que se active el inicio de sesión único, debes activar Google SSO solo después de haber implementado completamente tu cuenta de Personio. El acceso a las cuentas de Personio de los empleados se controla a través de Google. En cuanto actives Google SSO, los empleados ya no podrán iniciar sesión con su nombre de usuario y su contraseña de Personio.

 

2. OAuth 2.0 

Nota
Se recomienda contactar con un administrador de TI para implementar este tipo de autenticación.

Personio admite el inicio de sesión a través del protocolo OAuth 2.0. Esto permite una gestión segura y estandarizada del acceso a las aplicaciones.

Para configurar los ajustes de OAuth 2.0 directamente en Personio, sigue estos pasos:

  1. Ve a Ajustes > INTEGRACIONES > Autenticación.
  2. Selecciona la pestaña OAuth 2.0.
  3. Haz clic en Editar para editar los ajustes de configuración.
    Ten en cuenta... que los datos que debes introducir en los campos de entrada para configurar los ajustes están en los ajustes de tu proveedor de OAuth.

    settings-authentication-configuration_es.png
  4. En el campo URI de autorización, introduce el URI de autorización. Los usuarios serán redirigidos a la página del URI de autorización cuando hagan clic en "Iniciar sesión con OAuth".
  5. En el campo Token URI, introduce el URI del token. Personio se comunicará con este endpoint para obtener un token que verifique que las credenciales introducidas son correctas. 
  6. En URI de información de usuario, asegúrate de que GET está seleccionado en el menú desplegable.
  7. Pega el endpoint de información de usuario en el campo URI de información de usuario. La casilla Omitir la lectura de entidades del token de identificación aparece seleccionada por defecto. Esto significa que, al iniciar sesión, la información del usuario (en concreto su dirección de correo electrónico) se leerá del URI de información de usuario y no del URI del token. Ten en cuenta... que si quieres que, al iniciar sesión, la información del usuario se lea del endpoint del token, debes desmarcar la casilla Omitir la lectura de entidades desde el token de identificación. De esta forma, la información del usuario se leerá del URI del token y podrás implementar OAuth con Active Directory Federation Services (ADFS). 
  8. En el campo Ámbitos, introduce el alcance deseado. Este campo especifica cómo se transfiere la información del usuario a Personio. Para muchos proveedores de OAuth, el valor correcto para este campo es "openid, email".
  9. En el campo Client ID, introduce el identificador de cliente que se utilizará para la autenticación.
  10. En el campo Client Secret, introduce el secreto de cliente que se utilizará para la autenticación.
  11. En Claim field, selecciona el campo del proveedor de OAuth donde se almacenan las direcciones de correo electrónico de tus empleados. Puedes elegir entre estas opciones: "email", "unique_name", "sub" y "upn". Para validar que un empleado existe en Personio, verificaremos si el valor de este campo corresponde a la dirección de correo electrónico utilizada en Personio.

    Ten en cuenta que si seleccionas la opción Use default, comprobaremos los campos "email", "unique_name" y "sub" en orden descendente hasta encontrar uno que contenga un valor.

  12. Opcional: en el campo Authentication Context Class Reference, introduce los valores de referencia de la clase de contexto de autenticación. Esta referencia es equivalente al campo acr_values de tu proveedor de OAuth. Te permite configurar procesos adicionales para el proveedor de identidad, por ejemplo, la autenticación de dos factores.
  13. Para guardar los ajustes, haz clic en Enviar.

 

Configuración de la redirección al URI de devolución de llamada en tu proveedor de OAuth

Después de guardar los ajustes, deberás configurar la redirección al URI de devolución de llamada en la configuración de tu proveedor de OAuth. El URI de devolución de llamada se encuentra en Ajustes del proveedor en Personio.

 

settings-authentication-oauth_2.0-callback_uri_es.png

 

Introduce el URI de devolución de llamada que aparece en Ajustes del proveedor en Personio en el campo de entrada correspondiente en la configuración de tu proveedor de OAuth.

Si los usuarios iniciarán sesión en tu proveedor de OAuth a través de la aplicación móvil de Personio, también tendrás que incluir la siguiente URL de devolución de llamada en la lista blanca de clientes para tu proveedor de OAuth:

https://auth.personio.de/providers/oauth/callback

Para comprobar que la autenticación se ha configurado correctamente, haz clic en Realiza una prueba de configuración

settings-authentication-oauth-test-configuration_es.jpeg

Se te pedirá que inicies sesión en tu proveedor de OAuth. Para ayudarte a resolver problemas, se mostrará el mensaje exacto que aparecerá si hay errores.

Nota
Los empleados solo podrán iniciar sesión a través de OAuth si la dirección de correo electrónico que se transfiere en los atributos "email", "unique_name" o "sub" de tu proveedor de OAuth es la misma que la guardada en el campo Correo electrónico del empleado en Personio.

 

Aplicación opcional de la autenticación OAuth

Después de configurar OAuth, el inicio de sesión mediante tu proveedor de autenticación es opcional. Tus empleados pueden elegir si desean acceder a la plataforma utilizando sus credenciales de Personio o a través de OAuth. Si quieres que el inicio de sesión a través de OAuth sea obligatorio para todos los empleados, activa este ajuste haciendo clic en el botón Aplicar OAuth.

settings-authentication-oauth-enforcement_es.jpeg

 

3. LDAP / Active Directory mediante OAuth2

Nota
Se recomienda contactar con un administrador de TI para implementar este tipo de autenticación.

Si quieres integrar Active Directory con tu cuenta de Personio, necesitas utilizar un proveedor de identidad. El proveedor de identidad actúa como una interfaz OAuth entre Active Directory y Personio.

El servidor de identidad WSO2 es una buena solución para la gestión de identidades y accesos. Puedes descargarlo de forma gratuita

Si ya usas uno de los siguientes proveedores, también puedes implementar la integración de OAuth a través de ellos:  

 

Más información

 

Comentarios

0 comentarios

El artículo está cerrado para comentarios.

    Temas de este artículo