Este artículo explica cómo configurar la integración de Microsoft Entra ID con Personio. Cuando está conectada, la integración de Microsoft Entra ID facilita los procesos de onboarding y offboarding de tu empresa. Sincroniza automáticamente los cambios en la información de los empleados en Personio (por ejemplo, cambios de rol o departamento) con el ID de usuario correspondiente en Microsoft Entra ID. Actualiza Microsoft Entra ID con la información más reciente de Personio. Con esta integración, puedes administrar los permisos de acceso de los empleados o el equipo.

Nota:
la sincronización automática solo funciona de Personio a Microsoft Entra ID. La actualización de la información en Microsoft Entra ID no desencadena la sincronización automática en Personio.

Requisitos previos para una integración exitosa

Antes de comenzar el proceso de integración, asegúrate de que exista lo siguiente:

• Tienes un rol de administrador o permisos de edición para el Marketplace en Personio. Establece esto en Ajustes > Personas > Roles de empleado> Permisos de acceso > Configuración de la cuenta > Integración de Marketplace.
• Tienes permisos de administrador con privilegios para Microsoft Entra ID. No es necesario tener permisos de administrador global . A partir de octubre de 2024, la integración requiere permisos reducidos. Para obtener más información, consulta revisar los permisos de integración.
• Tienes que seleccionar la casilla Tray.io, Inc. Puedes encontrarla en Ajustes > Atención al cliente > Suscripción y facturación > Información de protección de datos.

Conecta y autentica Microsoft Entra ID

Configura la integración de Microsoft Entra ID en el Marketplace. Sigue estos pasos:

1. Ve a Marketplace en Personio.
2. Busca y selecciona la integración de Microsoft Entra ID.
3. Haz clic en Conectar para abrir el asistente de configuración.
4. Ingresa tu tu ID de inquilino de Microsoft Entra ID.
5. Continúa con el siguiente paso y autentica Microsoft Entra ID.

Autentica Microsoft Entra ID

Debes autenticar Microsoft Entra ID desde la cuenta de Microsoft vinculada a él.

1. Sigue los pasos descritos en el Asistente de configuración.
2. Autentica Microsoft Entra ID.
3. Continúa con el siguiente paso y autentica Personio.

Autenticar Personio

Debes otorgar a la integración acceso a los datos necesarios de Personio. Sigue estos pasos:

1. Revisa los permisos que requiere la integración de Microsoft Entra ID.
2. Continúa con el siguiente paso y define el esquema UPN.

Definir esquema del UPN

Elige el formato del nombre principal de usuario (UPN) para crear nuevos inicios de sesión. Este suele ser el correo electrónico de empresa. Por ejemplo, "john.doe@demo.com". 

1. Tienes la opción de preasignar direcciones de correo electrónico o definirlas manualmente a través de un atributo existente de Personio. Alternativamente, puedes configurar el formato de las direcciones de correo electrónico generadas automáticamente siguiendo los pasos a continuación.
2. Crea el esquema de UPN seleccionando un comienzo de UPN entre los atributos disponibles, como “Nombre”. Luego, define si deseas usar el campo completo o la primera letra.
3. Opcional: añade un separador (p.ej. “.”)
4. Añade un extremo UPN (p.ej. “Apellido”)
5. Selecciona un dominio de Microsoft Entra ID preferido (p.ej. “demo.com”).
6. Continúa con el siguiente paso y asigna atributos.

Si prefieres no agregar un separador ni un extremo UPN, ingresa Ninguno para ambas opciones. Asegúrate de seleccionar también Todo el campo o Primera letra para el extremo UPN.

Nota:
En caso de que añadas un empleado con los mismos valores para los atributos elegidos, Microsoft Entra ID crea un perfil con el esquema UPN: UPNBeginning[Separador]UPNEnd_EmployeeID@domain (p. ej. johndoe_12345@demo.com).

Atributos de mapeo

Selecciona qué atributos de Microsoft Entra ID sincronizar con Personio. Sigue estos pasos:

1. Revisa todos los atributos. Asegúrate de que cada atributo de Personio coincida con el atributo de Microsoft Entra ID correspondiente.
2. Añade más atributos si es necesario.
3.  Haz clic en Finalizar para completar la configuración de la integración.

No puedes asignar todos tus atributos en Personio a los atributos personalizados de Microsoft Entra ID. Puedes asignar tus atributos de Personio a estos atributos del sistema Microsoft Entra ID:

• Teléfonos de empresa
• Ciudad
• Nombre de la empresa
• País, Departamento
• Nombre para mostrar
• Tipo de empleado
• Nombre
• Fecha de contratación
• Título del trabajo
• Correo electrónico
• Gerente
• Teléfono móvil
• Ubicación de la oficina
• Código postal
• Dirección
• Apellido

Workflows de onboarding, offboarding y cambio de roles

Vinculación de usuarios

Una vez configurada la integración, comienza el flujo de vinculación de usuarios. Asigna el atributo UPN en Microsoft Entra ID al atributo Correo electrónico en Personio. La integración no vincula ningún perfil inactivo de Microsoft Entra ID.

• Si el atributo UPN en Microsoft Entra ID coincide con el atributo Correo electrónico en Personio, la integración agrega el “ID de empleado” de Personio correspondiente al campo del atributo ID de empleado en Microsoft Entra ID.  
• El ID de empleado se convierte en el conector para todas las futuras actualizaciones de usuarios y workflows de desaprovisionamiento de usuarios.
• El sistema aprovisiona perfiles que no tienen un correo electrónico de Personio que coincida, y que no están inactivos en Microsoft Entra ID. 

Revisar los permisos de integración

A partir de octubre de 2024, la integración ha reducido los permisos necesarios. Si ya usas la integración y deseas usar estos permisos reducidos, vuelve a autenticarte y configura los permisos apropiados en Microsoft Entra ID. Consulta los requisitos previos para una integración correcta.

Nota:
Si la integración no actualiza un usuario porque tiene un rol con más privilegios, asígnale un rol más alto a la aplicación. Para obtener más información sobre los permisos de administrador, visita la documentación de Microsoft sobre roles y privilegios.

Aprovisionamiento de usuarios

Si el atributo de correo electrónico de un empleado en Personio no coincide con un atributo UPN en tu cuenta de Microsoft Entra ID:

• La integración crea un nuevo perfil de usuario en Microsoft Entra ID.
• Personio transfiere el “ID de empleado” al perfil correspondiente.
• La integración desencadena el proceso de creación de contraseña. También crea el UPN en Microsoft Entra ID.

Debes usar el UPN creado como inicio de sesión de usuario en Microsoft Entra ID. Puedes crear el esquema UPN según tus necesidades.

Para crear un perfil en Microsoft Entra ID, el perfil de empleado en Personio debe:

• Tener campos completos de Nombre, Apellido y Correo electrónico .
• No tener un estado Inactivo. 

Nota:
Las diéresis en los nombres cambian para el UPN en Microsoft Entra ID según tu país de facturación. Para los clientes de la región DACH (por ejemplo, Alemania), las diéresis cambian a su ortografía alternativa: ä → ae, ö → oe, ü → ue, ß → ss. Para todos los demás países, el sistema retira las diéresis: por ejemplo, ä → a.

Actualización de usuario

Para que este workflow tenga éxito, debes ingresar el ID de empleado en el perfil de Microsoft Entra ID.

Cada 30 minutos, Microsoft Entra ID ejecuta el workflow de actualización de usuarios. Comprueba si algún atributo asignado durante el proceso de configuración ha cambiado en Personio. Si un atributo cambia, el sistema actualiza el atributo asignado en Microsoft Entra ID.

Microsoft Entra ID puede utilizar esta información para otorgar o revocar permisos de acceso a herramientas específicas. Los cambios solo se transfieren de Personio a Microsoft Entra ID. Si cambias manualmente un atributo en Microsoft Entra ID, esto no se actualiza automáticamente en Personio.

Ejemplo
Una empresa asignó el atributo del sistema “Departamento” entre Personio y Microsoft Entra ID. Un empleado cambia de departamento, y pasa de trabajar en el equipo de Atención al cliente a trabajar en el de Ventas. El superior de recursos humanos lleva a cabo este cambio en Personio. Microsoft Entra ID recibe automáticamente una notificación del cambio. Revoca los permisos de acceso del empleado a su herramienta de atención al cliente (por ejemplo, Zendesk). También les otorga acceso a su herramienta CRM (por ejemplo, Salesforce). 

Revocación de usuario

Microsoft Entra ID revoca el permiso de acceso de un empleado una vez que su atributo Estado cambia a Inactivo en Personio. Puedes cambiar manualmente el atributo Estado . También cambia automáticamente cuando un empleado pasa su fecha de rescisión en Personio.

El empleado ya no puede iniciar sesión en sus cuentas, pero el sistema no elimina al usuario. Esto te ayuda a mantener el acceso a sus detalles y servicios conectados, como bandejas de entrada de correo electrónico. 

Limitaciones

• Configuraciones híbridas de Microsoft Entra ID / AD local
  Personio solo admite configuraciones completas en la nube. No admite configuraciones híbridas en la nube/en las instalaciones. Esto significa que la integración solo permite la creación, actualización y desactivación de usuarios en Microsoft Entra ID.
• Asignar usuarios a grupos
  La integración solo permite la creación de usuarios. No añade usuarios a los grupos.
• Reescritura de atributos
  El sistema envía todos los atributos seleccionados en la tabla de asignación de Personio a Microsoft Entra ID. La integración no admite la sincronización de Microsoft Entra ID con Personio. 

Obtén más información sobre cómo automatizar la gestión de identidades y accesos integrándola con Personio.