Este artículo explica cómo integrar Okta con Personio. Cuando está conectado, Okta facilita el onboarding y offboarding de empleados y los cambios relevantes en la información de los empleados. La integración actualiza automáticamente Okta con información actualizada de Personio para gestionar los diferentes accesos otorgados a los empleados a través de Okta.
Nota
La sincronización solo funciona de Personio a Okta. La información que modifiques en Okta no se actualizará automáticamente en Personio.
Requisitos previos para una integración exitosa
Antes de comenzar el proceso de integración, asegúrate de que exista lo siguiente:
- Tienes un rol de administrador o permisos de edición para la integración de Marketplace y API en Personio a través de Ajustes > Personas > Funciones de empleado> Permisos de acceso > Ajustes de cuenta > Integración de Marketplace y API.
- Tienes el token API de Okta, generado por tu administrador de Okta.
- La casilla de Tray.io, Inc se activa en Ajustes > Asistencia > Suscripción y facturación > Información de protección de datos.
- Para crear un perfil en Okta, el perfil del empleado en Personio debe contener los atributos Nombre, Apellido y Correo electrónico .
Conecta y autentica Okta
Configura la integración de Okta directamente en el Marketplace de Personio con el asistente de configuración. Esto requiere que tengas un token API de Okta y un dominio que ingresas en Personio. Sigue estos pasos:
- Ve a Marketplace en Personio, luego busca y selecciona la integración de Okta.
- Haz clic en Conectar para abrir el Asistente de configuración.
- Ingresa tu token API (el valor del token generado en su consola de administrador de Okta) y dominio. Si tienes varios dominios, escoge el dominio relacionado con Personio. Solo puedes usar un dominio para esta integración.
- Haz clic en Siguiente para ir al paso dos del asistente de configuración para autenticar Personio.
Autenticar Personio
El segundo paso del asistente de configuración requiere que concedas a la integración de Okta acceso a los datos necesarios de Personio. Sigue estos pasos:
- Revisa los permisos que requiere la integración de Okta.
- Haz clic en Siguiente para ir al paso tres del asistente de configuración para definir el esquema de inicio de sesión.
Personio permite a Okta leer al menos los siguientes atributos del sistema:
- Nombre
- Apellidos
- Correo electrónico
- Fecha de contratación
- Fecha de rescisión
- Estado
- Creado el (fecha de creación del perfil del empleado, necesaria para la sincronización inicial)
Consejo
Puedes revisar los permisos otorgados después del proceso de configuración en Marketplace > Ver integraciones conectadas. El botón está en la esquina superior derecha de la página de Marketplace.
Definir esquema de inicio de sesión
El tercer paso del asistente de configuración requiere que escojas el formato para el esquema de inicio de sesión en el que se crearán nuevos inicios de sesión. Sigue estos pasos:
- Escoge Comienzo de Inicio de sesión
- Agregar un separador
- Escoge Fin de inicio de sesión (si prefieres no añadir un Separador y Fin de inicio de sesión, ingresa Ninguno para ambas opciones y asegúrate de haber seleccionado además Todo el campo o Primera letra para Fin de inicio de sesión).
- Ingresa el dominio Okta preferido
- Haz clic en Siguiente para ir al paso cuatro del asistente de configuración y los atributos del mapa.
Nota
En caso de que se agregue un empleado con los mismos valores para los atributos elegidos, Okta crea un perfil con el esquema de inicio de sesión: "LoginBeginning[Separator]LoginEnd_EmployeeID@domain" (por ejemplo: johndoe_12345@demo.com).
Atributos de mapeo
El cuarto paso del asistente de configuración requiere queescojas los atributos de Okta que deseas asignar con los atributos de Personio. En este paso también podrás decidir si quieres automatizar la activación de usuarios en la fecha de contratación. Sigue estos pasos:
- Revisa todos los atributos y asegúrate de que cada atributo de Personio coincida con el atributo de Okta correspondiente .
- Haz clic en Agregar nuevo atributo para incluir más atributos.
- Haz clic en Finalizar.
La configuración de integración está completa.
Workflows de Okta
Vinculación de usuarios
Una vez configurada la integración, comienza el flujo de vinculación de usuarios. Asigna el atributo de correo electrónico principal en Okta a los atributos de correo electrónico en Personio.
- Si el atributo de correo electrónico en Personio coincide con el atributo de correo electrónico principal en Okta, la integración agrega el ID de empleado de Personio correspondiente al campo Número de empleado en Okta.
- La ID del empleado se convierte en el conector que la integración considera en todos los workflows futuros de actualización y baja de usuarios.
- Si no hay ninguna coincidencia, se requiere mapeo manual. Consulta Mapear perfiles manualmente.
Nota
Los perfiles coincidentes de Okta con un estado “Inactivo” no se consideran en el proceso inicial de vinculación de usuarios.
Mapear perfiles manualmente
Los perfiles no coincidentes requieren mapeo manual. Sigue estos pasos:
- Identifica el perfil en Okta que corresponde a un perfil de empleado en Personio.
- Abre el perfil del empleado en Personio y localiza la ID del empleado generada por el sistema.
- Ve al perfil de empleado correspondiente en Personio.
- Copia el número al final de la URL del perfil del empleado.
- Pega el número en el campo de atributo Número de empleado en Okta.
Aprovisionamiento de usuarios
- Los perfiles de Personio que no coincidieron en la sincronización inicial se aprovisionan en Okta.
- La integración transfiere la ID de empleado de Personio al campo Número de empleado en el perfil de Okta y crea el nombre de usuario para el usuario, de acuerdo con el esquema de inicio de sesión que establezcas. (Consulta Definir esquema de inicio de sesión). El workflow de actualización del usuario completa el perfil.
Para que se produzca el aprovisionamiento, el perfil del empleado en Personio debe:
- tener completos los campos Nombre, Apellido y Correo electrónico.
- no tener un estado “Inactivo”.
Nota
Las diéresis en los nombres se transforman para UPN en Microsoft Entra ID según su país de facturación. Para los clientes de la región DACH (por ejemplo, Alemania), las diéresis se transforman a su ortografía alternativa: ä → ae, ö → oe, ü → ue, ß → ss. Para todos los demás países, se eliminan las diéresis: por ejemplo, ä → a.
Actualización de usuario
Para que este workflow se ejecute correctamente, la ID del empleado debe estar en el perfil de usuario de Okta.
Cada 30 minutos, Okta ejecuta el workflow de actualización del usuario para comprobar si algún atributo asignado durante el proceso de configuración ha cambiado en Personio. Si un atributo cambia, actualiza automáticamente el atributo asignado en Okta.
Okta puede utilizar esta información de cambio para otorgar o revocar permisos de acceso a herramientas específicas en función de los cambios. Los cambios sólo se transfieren de Personio a Okta. Si cambias manualmente un atributo en Okta, no se actualiza automáticamente en Personio.
Nota
Los cambios sólo se transfieren de Personio a Okta. Si cambias manualmente un atributo en Okta, este no se actualiza automáticamente en Personio.
Revocación de usuario
Una vez que el atributo de estado de un empleado en Personio cambia aInactivo, el estado del usuario en Okta cambia de “Activo” a “Desactivado”. Puedes cambiar manualmente el atributo Estado en Personio, o cambiará automáticamente cuando un empleado pase su fecha de rescisión.
El empleado ya no puede iniciar sesión en sus cuentas, pero el usuario no se eliminarina. Esto te ayuda a mantener el acceso a tus detalles y servicios conectados, como las bandejas de entrada de correo electrónico.
Para obtener más información sobre cómo automatizar tu gestión de identidad y acceso integrándola con Personio, lee el artículo de nuestro Centro de ayuda Gestión de identidad y acceso.