Saltar al contenido principal

¿En qué podemos ayudarte?

Volver

Azure Active Directory

 

En este artículo, explicamos cómo integrar la herramienta de gestión de identidades y accesos (IAM) Azure Active Directory (Azure AD) con Personio. Obtendrás una descripción general de los requisitos para la instalación de la integración con la API de datos de empleados de Personio, junto con instrucciones de instalación de la integración.

 

¿Qué beneficios tiene integrar Azure AD en Personio?

Esta integración facilita los procesos de onboarding y offboarding de tu organización sincronizando todos los cambios que se produzcan en los datos de los empleados en Personio (p ej., cambio de puesto o de departamento) con el ID de usuario correspondiente en Azure AD. De esta forma, Azure AD se actualiza automáticamente con la información más reciente de Personio para que puedas gestionar los diferentes permisos de acceso o equipos asignados a los empleados.

Nota
La sincronización solo funciona de Personio a Azure AD. La información que modifiques en Azure AD no se actualizará automáticamente en Personio.

 

¿Cómo configuro la integración?

Para activar la integración sigue la secuencia de pasos que te indicamos a continuación: 

1. Requisitos para una correcta integración

  • Tener un rol de administrador o permisos de edición para el Marketplace (Ajustes > Personal > Roles de empleado > Permisos de acceso > Configuración de la cuenta > Marketplace de integraciones) en Personio.
  • También necesitarás tener permisos de administrador global para tu inquilino de Azure AD. 
  •  

2. Generar nuevas credenciales de API

Tendrás que generar credenciales de API nuevas para esta integración en Personio en Ajustes > INTEGRACIONES > Credenciales de API. En la mayoría de los casos, al seleccionar una integración en el menú desplegable Integración, el sistema preselecciona automáticamente los atributos del sistema que se podrán leer o editar con la integración. Pero siempre podrás añadir o eliminar atributos manualmente si lo necesitas. Encontrarás más información al respecto en nuestro artículo del Centro de ayuda Cómo crear y gestionar credenciales de API.

Debes permitir que Azure AD lea al menos los siguientes atributos de los empleados:

  • Nombre
  • Apellidos
  • Correo electrónico
  • Fecha de rescisión
  • Estado
  • Creado el (fecha de creación del perfil del empleado, necesaria para la sincronización inicial)

Nota
Actualmente no se admite el atributo Centro de costos.

 

3. Localiza la integración de Azure AD en el Marketplace

La integración de Azure AD se puede implementar directamente en Personio. Para acceder a esta integración en Personio, ve a Marketplace > Microsoft Azure AD. También puedes ir a Centro de workflows > Impulsar con integraciones > Azure AD. A continuación, tendrás que hacer clic en el botón Conectar para iniciar el proceso de autenticación.

Nota
Si no puedes encontrar la integración en Marketplace, asegúrate de que la casilla de verificación Tray.io, Inc. esté habilitada en Ajustes > Ayuda > Suscripción y facturación > Acuerdo de procesamiento de datos.

Personio utiliza Tray.io como subprocesador para permitir la inclusión de determinadas integraciones. No se transmitirán datos a Tray.io sin utilizar la integración mencionada.

 

4. Autenticación de Azure AD

Haz clic en Autenticar Azure AD y pega el ID de inquilino de Azure AD en el campo ID de directorio. Por último, haz clic en Crear.

Nota
Para autenticar Azure AD, tendrás que tener permisos de administrador global en Azure AD y mantener estos permisos mientras la integración esté activa.

settings-marketplace-azure-create-authentication_es.png

 

5. Autenticación de Personio

Ahora tendrás que autenticar Personio introduciendo las credenciales de API (ID de cliente y Secreto) que has generado para esta integración en el paso 2 en Ajustes > Integraciones > Credenciales de API, y hacer clic en Siguiente.

 

6. Definición del esquema de inicio de sesión

Elige el formato del nombre principal de usuario (UPN) con el que se crearán las nuevas credenciales de acceso. Por lo general, se utiliza como base la dirección de correo electrónico de empresa, por ejemplo, "nombre.apellido@demo.com". 

Nota
En caso de que se agregue un empleado con los mismos valores para los atributos elegidos, Azure AD creará un perfil con el patrón UPN InicioUPN[separador]FinalUPN_IDEmpleado@dominio (por ejemplo, alejandroiglesias_12345@demo.com).

Crea el patrón UPN seleccionando primero un comienzo de UPN de entre los atributos disponibles (por ejemplo, «Nombre») y define si se utilizará el campo completo o solo la primera letra. A continuación, puedes optar por añadir un separador (por ejemplo, «.») y un fin de UPN (por ejemplo, «Apellidos») y selecciona un dominio de Azure AD preferido (por ejemplo, «demo.com»). Para terminar, haz clic en Siguiente.

Consejo
Si prefieres no añadir un separador ni un final de UPN, introduce Ninguno para ambas opciones y asegúrate de haber seleccionado Campo completo o Primera letra para el Fin de UPN.

 

7. Asociar atributos

Ahora selecciona qué atributos de Azure AD quieres sincronizar con los atributos de Personio.

Nota
Todos tus atributos en Personio pueden asignarse a cualquiera de los atributos del sistema de Azure AD, pero no a atributos personalizados de Azure AD.

 

8. Completar la configuración

Al hacer clic en el botón Finalizar, se activa la integración de Azure AD. Desde el Marketplace de Personio, podrás modificar los ajustes realizados en cualquier momento o desactivar la integración.

 

Flujos de trabajo de onboarding, offboarding y cambio de puesto con Azure AD

1. Vinculación de usuarios

Tan pronto como se configure la integración, se activará el workflow de vinculación de usuarios. Si ya has creado los usuarios de Azure AD correspondientes a tus empleados en Personio, la integración intentará transferir los respectivos ID de empleado de Personio a los perfiles de usuario de Azure AD mediante la asignación del atributo UPN de Azure AD al atributo de correo electrónico de Personio:

  • Si hay alguna coincidencia, el ID de empleado de Personio correspondiente se escribirá en el campo «ID de empleado» de Azure AD. A partir de ese momento, el usuario participará de la actualización de usuarios, así como de los workflows de revocación de accesos.
  • Si no hay coincidencia, se activará el workflow de concesión de accesos.

Este workflow también se aplica a los usuarios que se crean, ya sea manualmente o mediante una importación, después de la fecha de configuración de la integración.

Nota
La integración solo trata de vincular los perfiles de Azure AD que no estén inactivos.

 

2. Concesión de accesos

Si el atributo «Correo electrónico» de un empleado en Personio no coincide con un atributo UPN de tu cuenta de Azure AD, la integración creará automáticamente un nuevo perfil de usuario en Azure AD. Durante este paso, Personio transfiere el ID del empleado a su perfil, activa el proceso de creación de contraseña predeterminado y crea el UPN en Azure AD.

Este UPN servirá para iniciar sesión en Azure AD. Puedes definir el esquema de ese UPN según tus necesidades, tal como se describe en el paso 6. Definición del patrón de inicio de sesión.

Notas
▶︎ Para crear un perfil en Azure AD, el empleado debe tener los atributos Nombre, Apellidos y Correo electrónico completados en Personio y no puede tener una fecha de rescisión ni estar inactivo.
▶ ︎ Este primer workflow para la concesión de accesos creará el usuario en Azure AD, pero será el workflow para la actualización de usuarios el que rellenará el perfil.

 

3. Actualización de usuarios

El workflow de actualización de usuarios de Azure AD se ejecuta cada 30 minutos y comprueba si se ha modificado en Personio algún atributo asignado durante el proceso de configuración (paso 7). Si se ha modificado algún atributo en Personio, el atributo asignado en Azure AD se actualizará automáticamente. Azure AD puede utilizar este cambio en la información para conceder o revocar los permisos de acceso a determinadas herramientas.

Notas
▶ ︎Este workflow requiere que el ID del empleado se encuentre en el perfil de usuario de Azure AD.
▶ Las modificaciones solo se transfieren de Personio a Azure AD. Si cambias manualmente un atributo en Azure AD, este no se actualizará automáticamente en Personio.

Ejemplo
Supongamos que durante el proceso de integración hemos sincronizado el atributo de sistema Departamento entre Personio y Azure AD y un empleado cambia de departamento y pasa de trabajar en el departamento de Atención al Cliente a incorporarse al de Ventas. En cuanto el responsable de RR. HH. realice los cambios pertinentes en Personio, Azure AD recibirá automáticamente una notificación del cambio y, a continuación, revocará los permisos de acceso del empleado a la herramienta de atención al cliente de la empresa (p. ej., Zendesk) y le concederá acceso al CRM (p. ej., Salesforce).

 

4. Revocación de accesos

Una vez que un empleado supera la fecha de finalización de su contrato en Personio, Azure AD revoca su permiso de acceso, de manera que ya no podrá iniciar sesión en ninguna de sus cuentas.

Nota
No se eliminarán los usuarios. Esto te permite mantener el acceso a sus datos y a sus servicios conectados, como sus bandejas de entrada de correo electrónico, etc.

Ejemplo
Supongamos que un empleado se va de la empresa el 30 de septiembre y el responsable de RR. HH. fija la fecha de rescisión en Personio para ese día. En este caso, el 1 de octubre se bloquearían los permisos de acceso del empleado en Azure AD y el usuario ya no podría iniciar sesión en ninguno de los sistemas de la empresa.

 

Limitaciones actuales de la integración

  • Configuración de Azure AD híbrido / local
    Personio solo admite configuraciones de nube completas (sin configuraciones híbridas en la nube/en las instalaciones), lo que significa que la integración solo permite la creación, actualización y desactivación de usuarios en Azure Active Directories.
  • Asignación de usuarios a los grupos
    La integración solo permite crear usuarios, pero no agregarlos a ningún grupo.
  • Reescritura de atributos
    Todos los atributos que hayas seleccionado durante la integración se transmitirán de Personio a Azure AD, pero por el momento la integración no admite la sincronización de Azure AD a Personio.

 

Más información

Para obtener más información sobre cómo automatizar tu gestión de identidad y acceso integrándola con Personio, lee el artículo de nuestro Centro de ayuda Gestión de identidad y acceso.