En este artículo se explica cómo configurar el inicio de sesión único (SSO) en Personio con un proveedor de identidad externo mediante OpenID Connect/OAuth 2.0.
Al configurar el SSO, los empleados inician sesión en Personio a través del proveedor de identidad escogido. No tienen que iniciar sesión usando credenciales. Recomendamos trabajar con el equipo de IT para completar esta configuración.
Personio también admite otros métodos de inicio de sesión. Para obtener un resumen, consulte este artículo.
Antes de empezar
- Para configurar el SSO, necesita los siguientes permisos:
- Un rol de administrador de Personio.
- Un rol de empleado con permiso de edición en Configuración de la cuenta > Autenticación.
- Comprueba que ya has invitado a los empleados a Personio. Cada uno de ellos tiene que activar la cuenta para poder iniciar sesión.
Configurar la redirección a la URI de devolución de llamada en el proveedor de identidad
- Ve a Ajustes.
- En la sección Seguridad e integraciones, haz clic en Seguridad y autenticación.
- En la lista de métodos de inicio de sesión, vaya a OpenID Connect (OIDC) y haga clic en Configurar.
- En Ajustes del proveedor, copia la URL de devolución de llamada.
- Introduce esta URL en el campo correspondiente en los ajustes del proveedor de identidad.
- También tienes que introducir esta URL en el campo correspondiente en los ajustes del proveedor de identidad:
https://login.personio.com/login/callback
Configurar OpenID Connect/OAuth 2.0 en Personio
- En Personio, ve a Ajustes.
- En la sección Seguridad e integraciones, haz clic en Seguridad y autenticación.
- En la lista de métodos de inicio de sesión, ve a Open ID Connect (OIDC) y haz clic en Configurar.
- En Configuración, rellene los campos que se describen a continuación.
| Campo | Detalles |
| Texto de visualización de botones | Introduce el texto que quieres que aparezca en el botón de inicio de sesión. Por ejemplo, “Continuar con [tu texto]”. Si lo dejas vacío, aparece “Continuar con SSO” de manera predeterminada. El texto personalizado no se traduce. |
| Emisor | Consulte la siguiente sección para obtener más información. |
| URI de autorización | Introduce el URI de autorización. El sistema reenvía a los usuarios a la página URI de autorización cuando hacen clic en Iniciar sesión con OAuth. |
| Token URI | Introduzca la URI del código. Personio llama a este endpoint para obtener un token para verificar que las credenciales ingresadas son correctas. |
| URI de información de usuario |
Seleccione OBTENER en el menú desplegable. Pega el endpoint de información de usuario “https://graph.microsoft.com/oidc/userinfo” en el campo. El sistema selecciona la casilla de verificación Omitir lectura de entidades del token de identificación de manera predeterminada. Esto significa que, al iniciar sesión, el sistema lee la información del usuario, incluido el correo electrónico, desde el URI de información del usuario en lugar del URI del código. Borra la casilla si quieres que lea la información del usuario desde la URI del código. Esto permite utilizar OAuth con Active Directory Federation Services (ADFS). |
| URI de JSON Web Key Sets | Consulte la siguiente sección para obtener más información. |
| Ámbitos | Especifica cómo se transfiere la información del usuario a Personio. Para muchos proveedores de OAuth, el valor correcto es "openid, email". |
| ID de cliente | Introduce el ID de cliente para la autenticación. |
| Secreto de cliente | Introduce la clave del cliente utilizada para la autenticación. |
| Fecha de vencimiento de la clave |
Introduce la fecha de vencimiento de la clave del cliente. Personio envía correos electrónicos de recordatorio a los propietarios de cuenta 30 días, 14 días, 7 días y 1 día antes de la fecha que indiques. Cuando actualices la clave y la fecha de vencimiento, los recordatorios se interrumpirán Te recomendamos que actualices este campo cada vez que rotes la clave para que los recordatorios sigan siendo pertinentes. Si la clave del cliente vence, Personio enviará correos electrónicos al propietario de cuenta con los pasos para recuperar el acceso a Personio. |
| Campo Claim |
Seleccione el campo en su proveedor de identidad con los correos electrónicos de los empleados. Para validar que un empleado existe en Personio, verificamos si el valor de este campo corresponde al correo electrónico utilizada en Personio. Puedes elegir entre “correo electrónico”, “unique_name”, “sub” y “upn”. Si selecciona Usar valor predeterminado, el sistema verifica los campos “correo electrónico”, “unique_name” y “sub” en orden secuencial hasta que encuentre uno que contenga un valor. |
| Referencia de clase del contexto de autenticación | Opcional: Introduce la referencia de clase del contexto de autenticación. Esta referencia es igual al campo acr_values del proveedor de identidad. Puedes utilizar esta referencia para configurar otros procesos en el lado del proveedor de identidad, como la 2FA. |
Configurar los campos Emisor y URI de JWK
- El Emisor es el identificador del emisor del servidor de autorización en la respuesta de autorización. En este campo, introduce el valor del campo de emisor del endpoint .well-known/openid-configuration del proveedor de SSO.
- La URI de JSON Web Key Sets (JWK) es la URI de descubrimiento de un conjunto de claves públicas. Estas claves verifican cualquier JSON Web Token (JWT) emitido por el servidor de autorización. En este campo, ingresa el valor del campo jwks_uri del punto final .well-known/openid-configuration de tu proveedor de SSO.
Puede encontrar los campos de emisor y jwks_uri en el endpoint del documento de descubrimiento del proveedor de SSO. Generalmente puedes acceder a esto a través de una de estas URL:
- https://example-provider.com/well-known/openid-configuration
- https://proveedor-de-ejemplo/oauth2/token/.well-known/configuracion-de-openid
- https://example-provider.com/oauth2/authorize/.well-known/openid-configuration
- https://example-provider.com/v2.0/.well-known/openid-configuration
Revisión y prueba
Consejo:
Si vas a establecer el proveedor de identidad escogido como único método de inicio de sesión habilitado, haz primero una prueba de configuración. Esto evita que se bloquee si la configuración es incorrecta.
- Revisa los datos que ha ingresado en Personio.
- Envía tus cambios.
- Para probar la conexión OIDC, activa la conexión y haz clic en el botón Probar.
- La conexión te redirige para iniciar sesión en el proveedor de identidad. Si hay errores, aparece un mensaje para ayudar con la solución de problemas.
Los Empleados pueden iniciar sesión a través de OAuth solo si el correo electrónico para el atributo "correo electrónico", "unique_name" o "sub" en su proveedor de OAuth coincide con el correo electrónico utilizado en Personio.
Opcional: Ejecutar el SSO con el proveedor de identidad escogido
Después de completar la configuración, puedes ejecutar el SSO con el proveedor de identidad escogido. Para que todos los empleados tengan la obligación de iniciar sesión mediante OpenID Connect (OIDC), defina este método como único inicio de sesión habilitado.
LDAP/Active Directory a través de OAuth 2.0
Si desea integrar su Active Directory con Personio, debe implementar esta opción a través de un proveedor de identidad. El proveedor de identidad actúa como una interfaz OAuth entre Active Directory y Personio.
El servidor de identidad WSO2 es una buena opción de herramienta para la gestión de identidad y acceso. Hay una descarga gratuita disponible.
Si ya utiliza uno de estos proveedores, puede configurar su integración OAuth a través de ellos: