Este artículo explica cómo integrar Okta con Personio. Cuando está conectado, Okta facilita el onboarding y el offboarding de los empleados y los cambios relevantes en la información de los empleados. La integración actualiza automáticamente Okta con información actualizada de Personio para gestionar los diferentes accesos otorgados a los empleados a través de Okta.
Nota
La sincronización solo funciona de Personio a Okta. La información que modifiques en Okta no se actualizará automáticamente en Personio.
Requisitos previos para una integración correcta
Antes de comenzar el proceso de integración, asegúrate de que exista lo siguiente:
- Tienes un rol de administrador o permisos de edición a través de tu rol de empleado para la integración con Marketplace y la API.
- Tienes el token API de Okta, generado por tu administrador de Okta.
- Para crear un perfil en Okta, el perfil del empleado en Personio debe contener los atributos Nombre, Apellido y Correo electrónico .
Conecta y autentica Okta
Configura la integración de Okta directamente en el Marketplace de Personio con el asistente de configuración. Esto requiere que tengas un código y dominio de Okta API, que introducirás en Personio. Sigue estos pasos:
- Vaya a Marketplace en Personio, luego busque y seleccione la integración Okta.
- Haz clic en Conectar para abrir el asistente de configuración.
- Ingresa tu código de la API (el valor del código generado en su consola de administrador de Okta) y dominio. Si tienes varios dominios, escoge el dominio relacionado con Personio. Solo puedes usar un dominio para esta integración.
- Haz clic en Siguiente para ir al paso dos del asistente de configuración para autenticar Personio.
Autenticar Personio
El segundo paso del asistente de configuración requiere que concedas a la integración de Okta acceso a los datos necesarios de Personio. Sigue estos pasos:
- Revisa los permisos que requiere la integración de Okta.
- Haz clic en Siguiente para ir al paso tres del asistente de configuración para definir el esquema de inicio de sesión.
Personio permite a Okta leer al menos los siguientes atributos del sistema:
- Nombre
- Apellido
- Correo electrónico
- Fecha de contratación
- Fecha de rescisión
- Estado
- Creado el (fecha de creación del perfil del empleado, necesaria para la sincronización inicial)
Consejo:
Puedes revisar los permisos otorgados después del proceso de configuración en Marketplace > Ver integraciones conectadas. El botón se encuentra en la esquina superior derecha de la página del Marketplace.
Definir esquema de inicio de sesión
El tercer paso del asistente de configuración requiere que escojas el formato para el esquema de inicio de sesión en el que se crearán nuevos inicios de sesión. Sigue estos pasos:
- Tiene la opción de preasignar direcciones de correo electrónico o definirlas manualmente a través de un atributo Personio existente. Alternativamente, puedes configurar el formato de las direcciones de correo electrónico generadas automáticamente siguiendo los pasos a continuación.
- Elegir inicio de sesión Comienzo
- Añadir un separador
- Escoge Fin de inicio de sesión (si prefieres no añadir un Separador y Fin de inicio de sesión, ingresa Ninguno para ambas opciones y asegúrate de haber seleccionado además Todo el campo o Primera letra para Fin de inicio de sesión).
- Introduzca Dominio de Okta preferido
- Haz clic en Siguiente para ir al paso cuatro del asistente de configuración y los atributos del mapa.
Nota
En caso de que se añada un empleado con los mismos valores para los atributos escogidos, Okta crea un perfil con el esquema de inicio de sesión: “LoginBeginning[Separator]LoginEnd_EmployeeID@domain” (por ejemplo: johndoe_12345@demo.com).
Atributos de mapeo
El paso cuatro del Asistente de configuración requiere que escoja los atributos Okta que desea asignar con los atributos Personio. En este paso también puedes decidir si quieres automatizar la activación de usuarios en la fecha de contratación. Sigue estos pasos:
- Revisa todos los atributos y asegúrate de que cada atributo de Personio coincida con el atributo de Okta correspondiente.
- Haz clic en Añadir atributo para incluir más atributos.
- Haz clic en Finalizar.
La configuración de integración está completa.
Workflows de Okta
Enlace de usuario
Una vez configurada la integración, comienza el flujo de vinculación de usuarios. Asigna el atributo de correo electrónico principal en Okta a los atributos de correo electrónico en Personio.
- Si el atributo de correo electrónico en Personio coincide con el atributo de correo electrónico primario en Okta, la integración agrega el ID del empleado de Personio correspondiente al campo Número de empleado en Okta.
- El ID del empleado se convierte en el conector que la integración considera en todos los workflows futuros de actualización y desaprovisionamiento de usuarios.
- Si no hay coincidencia, se requiere mapeo manual. Consulta Mapear perfiles manualmente.
Nota
Los perfiles coincidentes de Okta con un estado “Inactivo” no se consideran en el proceso inicial de vinculación de usuarios.
Mapear perfiles manualmente
Los perfiles inigualables requieren mapeo manual. Sigue estos pasos:
- Identifica el perfil en Okta que corresponde a un perfil de empleado en Personio.
- Abre el perfil del empleado en Personio y localiza la ID del empleado generada por el sistema.
- Ve al perfil de empleado correspondiente en Personio.
- Copia el número al final de la URL del perfil del empleado.
- Pega el número en el campo de atributo Número de empleado en Okta.
Aprovisionamiento de usuarios
- Los perfiles de Personio que no coincidieron en la sincronización inicial se aprovisionan en Okta.
- La integración mueve el ID de empleado de Personio al campo Número de empleado en el perfil de Okta y crea el nombre de usuario para el usuario, de acuerdo con el esquema de inicio de sesión que establezca. (Ver Definir esquema de inicio de sesión). El workflow de actualización de usuario rellena el perfil.
Para que se produzca el aprovisionamiento, el perfil del empleado en Personio debe:
- Haber rellenado los campos Nombre, Apellidos y Correo electrónico.
- No tener un estado Inactivo.
Nota
La diéresis de los nombres se transforman para el UPN en Microsoft Entra ID según el país de facturación. Para los clientes de la región DACH (por ejemplo, Alemania), las diéresis se transforman a su ortografía alternativa: ä → ae, ö → oe, ü → ue, ß → ss. Para todos los demás países, se eliminan las diéresis: por ejemplo, ä → a.
Actualización de usuario
Para que este workflow se ejecute correctamente, el ID de empleado debe estar en el perfil de usuario de Okta.
Cada 30 minutos, Okta ejecuta el workflow de actualización del usuario para comprobar si algún atributo asignado durante el proceso de configuración ha cambiado en Personio. Si un atributo cambia, actualiza automáticamente el atributo asignado en Okta.
Okta puede utilizar esta información de cambio para conceder o revocar permisos de acceso a herramientas específicas en función de los cambios. Los cambios sólo se transfieren de Personio a Okta. Si cambias manualmente un atributo en Okta, no se actualiza automáticamente en Personio.
Nota
Los cambios sólo se transfieren de Personio a Okta. Si cambias manualmente un atributo en Okta, este no se actualiza automáticamente en Personio.
Desaprovisionamiento de usuarios
Una vez que el atributo Estado de un empleado en Personio cambia a Inactivo, el estado del usuario en Okta cambia de “Activo” a “Desactivado”. Puede cambiar manualmente el atributo Estado en Personio, o cambiará automáticamente cuando un empleado pase su fecha de rescisión.
El empleado ya no puede iniciar sesión en sus cuentas, pero el usuario no se elimina. Esto te ayuda a mantener el acceso a sus datos, y servicios conectados, como buzones de correo electrónico.
Para obtener más información sobre cómo automatizar tu gestión de identidad y acceso integrándola con Personio, lee el artículo de nuestro Centro de ayuda Gestión de identidad y acceso.