Azure Active Directory

 

En este artículo te mostramos cómo integrar Azure Active Directory (Azure AD), la herramienta de gestión de identidades y accesos, en Personio. A continuación, encontrarás todos los requisitos e instrucciones necesarios para llevar a cabo la integración con la API de empleados de Personio.

 

¿Qué beneficios tiene integrar Azure AD en Personio?

Esta integración facilita los procesos de onboarding y offboarding de tu organización sincronizando todos los cambios que se produzcan en los datos de los empleados en Personio (p ej., cambio de puesto o de departamento) con el ID de usuario correspondiente en Azure AD. De esta forma, Azure AD se actualiza automáticamente con la información más reciente de Personio para que puedas gestionar los diferentes permisos de acceso o equipos asignados a los empleados.

Ten en cuenta que esta sincronización es unidireccional, es decir, solo se transfiere información de Personio a Azure AD. De modo que la información que modifiques en Azure AD no se actualizará automáticamente en Personio.

 

¿Cómo configuro la integración?

Para activar la integración sigue la secuencia de pasos que te indicamos a continuación: 

1. Requisitos para una correcta integración

  • Tener un rol de administrador o permisos de edición para el Marketplace (Ajustes > Personal > Roles de empleado > Permisos de acceso > Configuración de la cuenta > Marketplace de integraciones) en Personio.
  • También necesitarás tener permisos de administrador global para tu inquilino de Azure AD
  •  

2. Generar nuevas credenciales de API

Tendrás que generar credenciales de API nuevas para esta integración en Personio en Ajustes > INTEGRACIONES > Credenciales de API. En la mayoría de los casos, al seleccionar una integración en el menú desplegable Integración, el sistema preselecciona automáticamente los atributos del sistema que se podrán leer o editar con la integración. Pero siempre podrás añadir o eliminar atributos manualmente si lo necesitas. Encontrarás más información al respecto en nuestro artículo del Centro de ayuda Cómo crear y gestionar credenciales de API.

Debes permitir que Azure AD lea al menos los siguientes atributos de los empleados:

  • Nombre
  • Apellidos
  • Correo electrónico
  • Fecha de rescisión
  • Estado
  • Creado el (fecha de creación del perfil del empleado, necesaria para la sincronización inicial)

Ten en cuenta que por el momento no podrás sincronizar los siguientes atributos: Centro de costes y Teléfono de oficina.

 

3. Localiza la integración de Azure AD en el Marketplace

La integración de Azure AD se puede implementar directamente en Personio. Para acceder a esta integración en Personio, ve a Marketplace > Microsoft Azure AD. También puedes ir a Centro de workflows > Impulsar con integraciones > Azure AD. A continuación, tendrás que hacer clic en el botón Conectar para iniciar el proceso de autenticación.

 

4. Autenticación de Azure AD

Haz clic en Autenticar Azure AD y pega el ID de inquilino de Azure AD en el campo ID de directorio. Por último, haz clic en Crear.

Ten en cuenta que, para autenticar Azure AD, tendrás que tener permisos de administrador global en Azure AD y mantener estos permisos mientras la integración esté activa.

settings-marketplace-azure-create-authentication_es.png

 

5. Autenticación de Personio

Ahora tendrás que autenticar Personio introduciendo las credenciales de API (ID de cliente y Secreto) que has generado para esta integración en el paso 2 en Ajustes > Integraciones > Credenciales de API, y hacer clic en Siguiente.

 

6. Definición del esquema de inicio de sesión

Elige el formato del nombre principal de usuario (UPN) con el que se crearán las nuevas credenciales de acceso. Por lo general, se utiliza como base la dirección de correo electrónico de empresa, por ejemplo, "nombre.apellido@demo.com". 

Ten en cuenta que en caso de que se añada un empleado con los mismos valores para los atributos elegidos, Azure AD creará un perfil con la siguiente sintaxis: ComienzoDeUPN[Separador]TerminaciónDeUPN_IDEmpleado@dominio (por ejemplo, alejandroiglesias_12345@demo.com).

Define la sintaxis del UPN eligiendo primero el atributo que se utilizará para el Comienzo del UPN (por ejemplo, "nombre") y determina si se utilizará el Campo entero o solo la Primera letra. A continuación, añade opcionalmente un Separador (por ejemplo, ".") y una Terminación (por ejemplo, "apellido") y selecciona un dominio preferido de Azure AD (por ejemplo, "@demo.com"). Luego haz clic en Siguiente.

Consejo: si prefieres no añadir un Separador y una Terminación del UPN, selecciona Ninguno para ambas opciones y asegúrate de haber seleccionado también Campo completo o Primera letra para la Terminación del UPN.

 

7. Asociar atributos

Ahora selecciona qué atributos de Azure AD quieres sincronizar con los atributos de Personio.

Ten en cuenta que todos tus atributos en Personio pueden asignarse a cualquiera de los atributos del sistema de Azure AD, pero no a atributos personalizados de Azure AD.

 

8. Completar la configuración

Al hacer clic en el botón Finalizar, se activa la integración de Azure AD. Desde el Marketplace de Personio, podrás modificar los ajustes realizados en cualquier momento o desactivar la integración.

 

Flujos de trabajo de onboarding, offboarding y cambio de puesto con Azure AD

1. Concesión de accesos
Cada vez que se crea un empleado en Personio, la integración creará automáticamente un nuevo perfil de usuario en Azure AD.Durante este paso, Personio activa el proceso de creación de contraseñas por defecto y crea el nombre principal del usuario (UPN) en Azure AD.Este UPN lo necesitarás para iniciar sesión en Azure AD.Puedes definir el esquema de ese UPN según tus necesidades, tal como se describe en el paso 6. Definición del schema de inicio de sesión.

Ten en cuenta que este primer flujo de trabajo de Concesión de accesos creará el usuario en Azure AD, pero para completar el perfil del usuario tendrás que iniciar el flujo de trabajo Actualización de usuarios.

 

2. Actualización de usuarios
Este flujo de trabajo de Azure AD se ejecuta cada 30 minutos y comprueba si alguno de los atributos sincronizados durante la integración (paso 7) se ha modificado en Personio. Los atributos que hayan sufrido cambios en Personio se actualizarán automáticamente en Azure AD y la solución utilizará esta información para conceder o revocar los permisos de acceso correspondientes a herramientas específicas.

Ejemplo: supongamos que durante el proceso de integración hemos sincronizado el atributo de sistema Departamento entre Personio y Azure AD, y un empleado cambia de departamento y pasa de trabajar en el departamento de Atención al Cliente a incorporarse al de Ventas. En cuanto el responsable de RR. HH. realice los cambios pertinentes en Personio, Azure AD recibirá automáticamente una notificación del cambio y, a continuación, revocará los permisos de acceso del empleado a la herramienta de atención al cliente de la empresa (p. ej., Zendesk) y le concederá acceso al CRM (p. ej., Salesforce).

 

3. Revocación de accesos
En cuanto venza la fecha de rescisión de un empleado en Personio, Azure AD revocará sus permisos de acceso y el empleado ya no podrá iniciar sesión en ninguna de sus cuentas.

No obstante, el usuario no se elimina para poder seguir accediendo a sus datos y a sus servicios conectados, como su buzón de correo electrónico, etc.

Ejemplo: supongamos que un empleado se va de la empresa el 30 de septiembre y el responsable de RR. HH. fija la fecha de rescisión en Personio para ese día. En este caso, el 1 de octubre se bloquearían los permisos de acceso del empleado en Azure AD y el usuario ya no podría iniciar sesión en ninguno de los sistemas de la empresa.

 

4. Sincronización inicial

Si ya utilizabas Azure AD antes de integrar la solución en Personio, probablemente ya hayas creado usuarios en Azure AD para los empleados registrados en Personio. En este caso la sincronización no será automática. Para poder asociar el ID de empleado de Personio con los usuarios de Azure AD ya existentes, la integración intentará asociar el atributo "UPN" en Azure AD con el atributo "Correo electrónico" en Personio:

  • Si se halla una coincidencia, el campo "ID de empleado" se completará con el ID de empleado de Personio y el usuario se tendrá en cuenta para los flujos de trabajo Actualización de usuarios y Revocación de accesos.
  • Si no se halla ninguna coincidencia, el cliente tendrá que identificar manualmente al empleado correspondiente en Personio, obtener su ID de empleado (es decir, el número que aparece al final de la URL del perfil del empleado) y pegarlo en el campo "Número de empleado" en Azure AD.

 

Limitaciones actuales de la integración

  • Configuración de Azure AD híbrido / local
    Personio solo admite configuraciones de nube completas (sin configuraciones híbridas en la nube/en las instalaciones), lo que significa que la integración solo permite la creación, actualización y desactivación de usuarios en Azure Active Directories.
  • Asignación de usuarios a los grupos
    La integración solo permite crear usuarios, pero no agregarlos a ningún grupo.
  • Reescritura de atributos
    Todos los atributos que hayas seleccionado durante la integración se transmitirán de Personio a Azure AD, pero por el momento la integración no admite la sincronización de Azure AD a Personio.

 

Más información

Descubre cómo automatizar la gestión de identidades y accesos integrando tu solución en Personio en el artículo del Centro de ayuda Gestión de identidades y accesos.

 

Comentarios

0 comentarios

El artículo está cerrado para comentarios.

    Temas de este artículo