En este artículo se explica cómo configurar la integración de Microsoft Entra ID con Personio. Cuando está conectado, la integración de Microsoft Entra ID facilita los procesos internos y externos de su empresa. Sincroniza automáticamente los cambios en la información de los empleados en Personio (por ejemplo, cambios de rol o departamento) con el ID de usuario correspondiente en Microsoft Entra ID. Actualiza Microsoft Entra ID con la información más reciente de Personio. Con esta integración, puede administrar los permisos de los empleados o el equipo.
Ten en cuenta que:
La sincronización automática solo funciona de Personio a Microsoft Entra ID. La actualización de la información en Microsoft Entra ID no activa la sincronización automática en Personio.
Antes de empezar
Antes de comenzar el proceso de integración, asegúrate de que exista lo siguiente:
- Tienes un rol administrador o permisos de edición para la integración Marketplace de Personio.
- Tienes permisos de rol de administrador con privilegios para Microsoft Entra ID. No es necesario tener permisos de administrador global. A partir de octubre de 2024, la integración requiere permisos reducidos. Para obtener más información, consultaRevisar permisos de integración.
Conectar y autenticar Microsoft Entra ID
Configure la integración de Microsoft Entra ID en el Marketplace. Sigue estos pasos:
- Ve a Marketplace en Personio.
- Busca y selecciona la integración de Microsoft Entra ID.
- Haz clic en Conectar para abrir el asistente de configuración.
- Introduce el ID de inquilino de Microsoft Entra ID.
- Continúa con el siguiente paso y autentica Microsoft Entra ID.
Autentica Microsoft Entra ID
Tienes que autenticar Microsoft Entra ID desde la cuenta Microsoft vinculada a ella.
- Sigue los pasos descritos en el asistente de configuración.
- Autentica Microsoft Entra ID.
- Continúa con el siguiente paso y autentica Personio.
Autenticar Personio
Tienes que otorgar a la integración permiso de acceso a los datos necesarios de Personio. Sigue estos pasos:
- Revisa los permisos que requiere la integración de Microsoft Entra ID.
- Continúa con el siguiente paso y define el esquema UPN.
Transmisión de datos
Al configurar la integración, otorgas a Personio los siguientes permisos para la transmisión de datos:
- User.ReadWrite.All
- user.read
- Group.Read.All
- offline_access
Para saber más sobre cada permiso, consulta la referencia de permisos de Microsoft Graph.
Definir esquema del UPN
Elige el formato del nombre principal de usuario (UPN) para crear nuevos inicios de sesión. Este suele ser el correo electrónico de empresa. Por ejemplo, "john.doe@demo.com".
- Tiene la opción de preasignar direcciones de correo electrónico o definirlas manualmente a través de un atributo Personio existente. Alternativamente, puedes configurar el formato de las direcciones de correo electrónico generadas automáticamente siguiendo los pasos a continuación.
- Crea el esquema de UPN seleccionando un comienzo de UPN entre los atributos disponibles, como “Nombre”. Luego, define si deseas usar el campo completo o la primera letra.
- Opcional: Añadir un separador (por ejemplo, ".")
- Añade un extremo UPN (p ej. “Apellidos”)
- Seleccione un dominio Microsoft Entra ID preferido (por ejemplo, "demo.com").
- Continúa con el siguiente paso y asigna atributos.
Si prefieres no agregar un separador ni un extremo UPN, ingresa Ninguno para ambas opciones. Asegúrate de seleccionar también Todo el campo o Primera letra para el extremo UPN.
Ten en cuenta que:
En caso de añadir un empleado con los mismos valores para los atributos escogidos, Microsoft Entra ID crea un perfil con el esquema UPN: UPNBeginning[Separator]UPNEnd_EmployeeID@domain (e.g. johndoe_12345@demo.com).
Atributos de mapeo
Selecciona qué atributos de Microsoft Entra ID se van a sincronizar con Personio. Sigue estos pasos:
- Revisa todos los atributos. Asegúrate de que cada atributo de Personio coincida con el atributo de Microsoft Entra ID correspondiente.
- Añade más atributos si es necesario.
- Haz clic en Finalizar para completar la configuración de la integración.
No puede asignar todos los atributos de Personio a atributos personalizados de Microsoft Entra ID. Puedes asignar tus atributos de Personio a estos atributos del sistema Microsoft Entra ID:
- Teléfonos de empresa
- Ciudad
- Nombre de la empresa
- País, departamento
- Nombre para mostrar
- Tipo de empleado
- Nombre otorgado
- Fecha de contratación
- Título del empleo
- Correo
- Superior
- Teléfono móvil
- Ubicación del centro de trabajo
- Código postal
- Calle
- Apellidos
Onboarding, offboarding y workflows de cambio de rol
Enlace de usuario
Una vez configurada la integración, comienza el flujo de vinculación de usuarios. Asigna el atributo UPN en Microsoft Entra ID al atributo Correo electrónico en Personio. La integración no vincula ningún perfil inactivo de Microsoft Entra ID.
- Si el atributo UPN en Microsoft Entra ID coincide con el atributo Correo electrónico en Personio, la integración agrega el correspondiente Personio "ID del empleado" al campo de atributo ID del empleado en Microsoft Entra ID.
- El ID del empleado se convierte en el conector para todas las actualizaciones futuras del usuario y los workflows de desaprovisionamiento del usuario.
- El sistema aprovisiona perfiles que no tienen un correo electrónico de Personio coincidente y no están inactivos en Microsoft Entra ID.
Revisar los permisos de integración
A partir de octubre de 2024, la integración ha reducido los permisos requeridos. Si ya utiliza la integración y desea utilizar estos permisos reducidos, vuelva a autenticar y establezca los permisos apropiados en Microsoft Entra ID. Consulte la sección requisitos previos para una integración exitosa.
Ten en cuenta que:
Si la integración no actualiza un usuario porque tiene un rol con más privilegios, asígnale un rol más alto a la aplicación. Para obtener más información sobre los permisos de administrador, visite la documentación de Microsoft sobre funciones y privilegios.
Aprovisionamiento de usuarios
Si el atributo de correo electrónico de un empleado en Personio no coincide con un atributo UPN en tu cuenta de Microsoft Entra ID:
- La integración crea un nuevo perfil de usuario en Microsoft Entra ID.
- Personio transfiere el "ID del empleado" al perfil respectivo.
- La integración desencadena el proceso de creación de contraseña. También crea el UPN en Microsoft Entra ID.
Debe utilizar el UPN creado como inicio de sesión de usuario en Microsoft Entra ID. Puede crear el esquema UPN según sus necesidades.
Para crear un perfil en Microsoft Entra ID, el perfil de empleado en Personio debe:
- Tener completos los campos Nombre, Apellidos y Correo electrónico.
- No tener un estado Inactivo.
Ten en cuenta que:
La diéresis de los nombres cambian para el UPN en Microsoft Entra ID según el país de facturación. Para los clientes de la región DACH (por ejemplo, Alemania), las diéresis cambian a su ortografía alternativa: ä → ae, ö → oe, ü → ue, ß → ss. Para todos los demás países, el sistema retira las diéresis: por ejemplo, ä → a.
Conectar empleados recontratados
Cuando contratas un ex empleado, tienes dos perfiles de Personio para ellos: uno inactivo y otro activo. Entra ID crea direcciones de correo electrónico basadas en el nombre y apellido del empleado, por lo que intenta crear el mismo correo electrónico que ya existe para el perfil inactivo. Dado que la dirección de correo electrónico ya existe, Entra ID no puede completar el proceso de creación del usuario. Esto bloquea el acceso del empleado y le impide iniciar sesión en cualquier sistema.
Para solucionarlo, actualice el ID del empleado en Entra ID para que coincida con el nuevo ID del perfil de Personio. Puedes encontrar este ID en la URL cuando hagas clic en el perfil del empleado. De esta manera, Entra ID reconoce al usuario existente y no intenta crear un nuevo perfil.
Actualización de usuario
Para que este workflow tenga éxito, debe ingresar el ID del empleado en el perfil de Microsoft Entra ID.
Cada 30 minutos, Microsoft Entra ID ejecuta el workflow de actualización del usuario. Comprueba si algún atributo asignado durante el proceso de configuración ha cambiado en Personio. Si un atributo cambia, el sistema actualiza el atributo asignado en Microsoft Entra ID.
Microsoft Entra ID puede utilizar esta información para conceder o revocar permisos a herramientas específicas. Los cambios solo se transfieren de Personio a Microsoft Entra ID. Si cambia manualmente un atributo en Microsoft Entra ID, esto no se actualiza automáticamente en Personio.
Ejemplo
Una empresa asignó el atributo del sistema "Departamento" entre Personio y Microsoft Entra ID. Un empleado cambia de departamento, y pasa de trabajar en el equipo de Atención al cliente a trabajar en el de Ventas. El gerente de Recursos Humanos realiza este cambio en Personio. Microsoft Entra ID recibe automáticamente una notificación del cambio. Revoca los permisos del empleado a su herramienta de atención al cliente (por ejemplo, Zendesk). También les otorga acceso a su herramienta CRM (por ejemplo, Salesforce).
Desaprovisionamiento de usuarios
Microsoft Entra ID revoca el permiso de acceso de un empleado una vez que el atributo Estado pasa a Inactivo en Personio. Puede cambiar manualmente el atributo Estado. También cambia automáticamente cuando un empleado pasa su fecha de rescisión en Personio.
El empleado ya no puede iniciar sesión en sus cuentas, pero el sistema no elimina al usuario. Esto te ayuda a mantener el acceso a sus datos y a servicios conectados, como buzones de correo electrónico.
Limitaciones
-
Configuraciones híbridas de Microsoft Entra ID/dominio local AD
Personio solo admite configuraciones de nube completa. No admite configuraciones híbridas en la nube/local. Esto significa que la integración solo permite la creación, actualización y desactivación de usuarios en Microsoft Entra ID. -
Asignación de usuarios a los grupos
La integración solo permite la creación de usuarios. No añade usuarios a los grupos. -
Reescritura de atributos
El sistema envía todos los atributos seleccionados en la tabla de asignación de Personio a Microsoft Entra ID. La integración no admite la sincronización de Microsoft Entra ID a Personio.
Pasos siguientes
Obtén más información sobre cómo automatizar la gestión de identidades y accesos integrándola con Personio.