Saltar al contenido principal

¿En qué podemos ayudarte?

Volver

Configura el inicio de sesión único (SSO) en Personio con Azure Active Directory

 

Este artículo explica cómo configurar el inicio de sesión único (SSO) en Personio con Azure Active Directory (AD).

El inicio de sesión único te permite conectar Personio a un proveedor de identidad como Azure AD u Okta. Personio admite el protocolo OAuth 2.0, un estándar de código abierto para la delegación de acceso. Una vez configurado, los usuarios pueden autenticarse a través de un proveedor de identidad sin tener que usar las credenciales proporcionadas por Personio.

Nota
▶︎ La configuración del SSO con Azure AD no sincroniza automáticamente los usuarios de la aplicación de Personio con Azure.Para ello, es necesario configurar la integración con Azure por separado.Obtén más información sobre nuestra integración con Azure Active Directory.
▶︎ Incluso si el inicio de sesión único está activado, debes enviar un correo electrónico de invitación a tus empleados.De lo contrario, no recibirán correos electrónicos de notificación de Personio.

Para configurar el SSO en Personio con Azure AD, sigue los pasos a continuación.

 

1. Registro y creación de una nueva aplicación en Azure AD

Consejo
A la hora de realizar esta configuración, abre la aplicación de Personio y Azure AD en diferentes pestañas.

azure_ad-register_application-name-authentication_es.png

  1. En el centro de administración de Azure AD, ve a Azure Active Directory > Registros de aplicaciones.
  2. Para registrar una nueva aplicación como Personio, haz clic en Nuevo registro.
  3. En el campo Nombre, introduce un nombre para la aplicación, por ejemplo, "Personio SSO".
  4. En Tipos de cuenta admitidos , elige el tipo de cuenta que puede usar la aplicación o que puede acceder a la API.
  5. En Personio, ve a Ajustes > Integraciones > Autenticación > OAuth 2.0.
  6. En Ajustes del proveedor, copia la URL del campo URI de devolución de llamada
  7. Vuelve a Azure AD.Pega el URI de devolución de llamada que has copiado de Personio en el campo debajo de URI de redirección.
  8. Asegúrate de seleccionar Web como el tipo de redireccionamiento en el menú desplegable. 
  9. Para registrar la aplicación, haz clic en Registrar.

Se mostrará un mensaje para confirmar que la aplicación se ha creado correctamente y se te dirigirá a la nueva aplicación.

Consejo
Si también quieres que los usuarios puedan iniciar sesión a través de la aplicación móvil de Personio, tendrás que incluir la siguiente URL de devolución de llamada en la lista blanca: https://auth.personio.de/providers/oauth/callback

 

2. Copia de los URI en Personio

Después de crear la aplicación de Personio, sigue estos pasos para copiar el URI de autorización, el Token URI y el URI de información de usuario de Azure AD en Personio.

Ten en cuenta que...
El URI de información de usuario lo establece Microsoft: https://graph.microsoft.com/oidc/userinfo. No es específico de tu dominio de Azure AD. Con https://graph.microsoft.com no basta.

  1. En la nueva aplicación que has creado en Azure AD, ve a Información general > Endpoints y haz clic en Endpoints.

    azure_app-overview-endpoints-oauth_authorization_endpoint_es.png
  2. Copia el valor del campo OAuth 2.0 authorization endpoint (v2) .
  3. En Personio, ve a Ajustes > Integraciones > Autenticación > OAuth 2.0.
  4. En Configuración, haz clic en Editar.

    settings-authentication-configuration_es.png
  5. Pega el valor que has copiado anteriormente del campo OAuth 2.0 authorization endpoint (v2) en el campo Authorization URI.
  6. Vuelve a Información general > Endpoints en Azure AD. Copia el valor del campo OAuth 2.0 token endpoint (v2).
  7. Vuelve a Personio. Pega el valor en el campo Token URI.
  8. En URI de información de usuario, selecciona «OBTENER» en el menú desplegable y pega el endpoint de la información de usuario "https://graph.microsoft.com/oidc/userinfo" en el campo.La casilla Omitir la lectura de entidades del token de identificación aparece seleccionada por defecto.Esto significa que, al iniciar sesión, la información del usuario (en concreto su dirección de correo electrónico) se leerá del URI de información de usuario y no del URI del token.

    Nota
    Si quieres que, al iniciar sesión, la información del usuario se lea del URI del token y no del URI de la información de usuario, debes desmarcar la casilla, lo que permite la implementación de OAuth con Active Directory Federation Services (ADFS).

  9. En Ámbitos, escribe «openid, correo electrónico».

 

3. Registro de un nuevo Client Secret

  1. En la aplicación que has creado en Azure AD, ve a Administrar > Certificados y claves.
  2. Selecciona Clave del cliente.
  3. Se abrirá la página Agregar un Client Secret.
  4. En el campo Descripción, introduce un nombre para el Client Secret y elige la fecha de expiración correspondiente en el menú desplegable Expiración.
  5. Haz clic en Añadir.
  6. Se mostrará una página con un resumen de las credenciales de la aplicación. Copia el valor indicado en la columna Valor.

    azure_ad-manage-certificates_and_secrets-client_secrets_es.png
  7. En Personio, ve a Ajustes > Integraciones > Autenticación > OAuth 2.0.
  8. En Configuración, haz clic en Editar.
  9. Pega el valor copiado en el campo Client Secret.
  10. Vuelve a Azure AD > Información general. Copia el valor que se indica en la columna ID de la aplicación (cliente).
  11. Vuelve a Personio. Pega el valor en el campo ID de cliente.

 

4. Selecciona el claim

En el Campo Claimselecciona el campo de Azure AD donde se almacenan las direcciones de correo electrónico de tus empleados.Para validar que un empleado existe en Personio, verificaremos si el valor de este campo corresponde a la dirección de correo electrónico utilizada en Personio.Según los ajustes que tengas configurados en Azure, podrás elegir entre "email", "unique_name", "sub" y "upn".

azure-claimfield_es.png

Ten en cuenta que...
▶︎ Si seleccionas la opción Use default, comprobaremos los campos "email", "unique_name" y "sub" en orden descendente hasta encontrar uno que contenga un valor.
▶ ︎Si las direcciones de correo electrónico de tus empleados están almacenadas en el campo "Nombre principal de usuario (UPN)" de Azure, selecciona la opción "upn".

 

5. Revisión y prueba

  1. Revisa los datos que has introducido en Personio.
  2. Después de asegurarte de que has introducido todo correctamente, haz clic en Enviar.
  3. Para probar la conexión OAuth, haz clic en Realizar una prueba de configuración.

Se te pedirá que inicies sesión en Azure AD. Si hay errores, se mostrará un mensaje para ayudarte con la solución de problemas.

Ten en cuenta que para poder usar el SSO, los empleados deben tener perfiles de usuario en Azure AD y también en Personio. La dirección de correo electrónico introducida en Azure AD en el campo seleccionado en Claim field debe coincidir con la dirección de correo electrónico usada en Personio.

 

Opcional: aplicar el inicio de sesión único con Azure AD

Después de configurar el inicio de sesión único con Azure AD, el inicio de sesión a través de OAuth es opcional. Tus empleados pueden elegir si quieren iniciar sesión en Personio con sus credenciales de Personio o a través de OAuth.

Si quieres que el inicio de sesión a través de OAuth sea obligatorio para todos los empleados, haz clic en el botón Aplicar OAuth.

¿Todavía tienes alguna pregunta?

Preguntar en la Comunidad Ver las Preguntas más frecuentes