Este artículo explica cómo configurar el inicio de sesión único (SSO) en Personio con Microsoft Entra ID.
SSO te permite conectar Personio a un proveedor de identidad como Microsoft Entra ID u Okta. Personio admite el protocolo OAuth 2.0, un estándar de código abierto para la delegación de acceso. Cuando se configura correctamente, los usuarios pueden realizar una autenticación a través de un proveedor de identidad sin tener que utilizar las credenciales proporcionadas por Personio.
Notas
▶︎ La configuración de SSO con Microsoft Entra ID no sincroniza automáticamente a los usuarios de la aplicación Personio con Microsoft Entra ID.Para hacer esto, debes configurar la integración con Microsoft Entra ID por separado.Obtén más información sobre nuestra integración con Microsoft Entra ID.
▶︎ Si OAuth está habilitado, el empleado con un perfil de Personio podrá iniciar sesión en su cuenta incluso sin un correo electrónico de invitación.
Para configurar SSO en Personio con Microsoft Entra ID, sigue los pasos a continuación.
1. Regístrate y crea una nueva aplicación en Microsoft Entra ID
Consejo
Al realizar esta configuración, abre la aplicación Personio y Microsoft Entra ID en pestañas separadas.
- En el centro de administración de Microsoft Entra ID, ve a Microsoft Entra ID > Registros de aplicaciones.
- Para registrar una nueva aplicación como Personio, haz clic en Nuevo registro.
- En el campo Nombre, introduce un nombre para la aplicación, por ejemplo, "Personio SSO".
- En Tipos de cuenta admitidos, selecciona el tipo de cuenta que puede usar la aplicación o acceder a la API.
Nota
Por razones de seguridad, recomendamos encarecidamente seleccionar la opción “Cuentas solo en este directorio organizacional (inquilino único)”. Con las otras opciones, los usuarios de otros inquilinos podrían iniciar sesión en cuentas de Personio. - En Personio, ve a Ajustes > Integraciones > Autenticación > OAuth 2.0.
- En Ajustes del proveedor, copia el texto junto a URI de devolución de llamada.
- Volver a Microsoft Entra ID. Pega el URI de devolución de llamada que copiaste de Personio en el campo bajo URI de redireccionamiento.
- También debes introducir la siguiente URL en el campo que se encuentra bajo URI de redireccionamiento: https://login.personio.de/login/callback
https://login.personio.com/login/callback - Asegúrate de seleccionar Web como el tipo de redireccionamiento en el menú desplegable.
- Para registrar la aplicación, haz clic en Registrar.
Se mostrará un mensaje para confirmar que la aplicación se ha creado correctamente y se te dirigirá a la nueva aplicación.
Consejo
Para usar SSO en la aplicación móvil de Personio, debes agregar el siguiente URI de devolución de llamada a los URI de redireccionamiento en Entra ID: https://auth.personio.de/providers/oauth/callback
2. Copia de los URI en Personio
Una vez que hayas creado la aplicación Personio, sigue estos pasos para copiar el URI de autorización y el URI del token de Microsoft Entra ID a Personio y para agregar el URI de información de usuario a Personio.
Nota
El URI de información de usuario ha sido configurado por Microsoft: https://graph.microsoft.com/oidc/userinfo. No es específico de tu dominio Microsoft Entra ID. https://graph.microsoft.com no es suficiente.
- En la nueva candidatura que has creado en Microsoft Entra ID, ve a Descripción general > Endpoints y haz clic en Endpoints.
- Copia el valor del campo OAuth 2.0 authorization endpoint (v2) .
- En Personio, ve a Ajustes > Integraciones > Autenticación > OAuth 2.0.
- En Configuración, haz clic en Editar.
- Pega el valor que has copiado anteriormente del campo OAuth 2.0 authorization endpoint (v2) en el campo Authorization URI.
- Vuelve a Descripción general > Endpoints en Microsoft Entra ID. Copia el valor en el campo Endpoint del token de OAuth 2.0 (v2).
- Vuelve a Personio. Pega el valor en el campo Token URI.
- En URI de información de usuario, selecciona «OBTENER» en el menú desplegable y pega el endpoint de la información de usuario "https://graph.microsoft.com/oidc/userinfo" en el campo.La casilla Omitir la lectura de entidades del token de identificación aparece seleccionada por defecto.Esto significa que, al iniciar sesión, la información del usuario (en concreto su dirección de correo electrónico) se leerá del URI de información de usuario y no del URI del token.
Nota
Si quieres que, al iniciar sesión, la información del usuario se lea del URI del token y no del URI de la información de usuario, debes desmarcar la casilla, lo que permite la implementación de OAuth con Active Directory Federation Services (ADFS). - En Ámbitos, escribe «openid, correo electrónico».
3. Registro de un nuevo Client Secret
- En la aplicación que has creado en Microsoft Entra ID, ve a Gestionar > Certificados y secretos.
- Selecciona Clave del cliente.
- Se abrirá la página añadir un Client Secret.
- En el campo Descripción, introduce un nombre para el Client Secret y elige la fecha de expiración correspondiente en el menú desplegable Expiración.
- Haz clic en Añadir.
- A continuación, aparecerá una página con un resumen de las credenciales de la candidatura. Copia el valor que aparece en la columna Valor.
- En Personio, ve a Ajustes > Integraciones > Autenticación > OAuth 2.0.
- En Configuración, haz clic en Editar.
- Pega el valor copiado en el campo Client Secret.
- Regresa a Microsoft Entra ID > Descripción general. Copia el valor que aparece para el ID de aplicación (cliente).
- Vuelve a Personio. Pega el valor en el campo ID de cliente.
4. Selecciona el claim
En Campo Reclamo, selecciona el campo en Microsoft Entra ID donde se almacenan las direcciones de correo electrónico de tus empleados. Para validar que un empleadoeado existe en Personio, comprobaremos si el valor de este campo corresponde a la dirección de correo electrónico utilizada en Personio. Dependiendo de tu configuración en Microsoft Entra ID, puedes elegir entre “correo electrónico”, “unique_name”, “sub” y “upn”.
Consejos
▶︎ Si seleccionas Usar predeterminado, verificaremos los campos “correo electrónico”, “unique_name” y “sub” en orden secuencial hasta que encontremos uno que contenga un valor.
▶︎ Si las direcciones de correo electrónico de tus empleados están almacenadas en el campo Nombre principal de usuario (UPN) en Microsoft Entra ID, selecciona “upn” aquí.
5. Revisión y prueba
- Revisa los datos que has introducido en Personio.
- Después de asegurarte de que has introducido todo correctamente, haz clic en Enviar.
- Para probar la conexión OAuth, haz clic en Realizar una prueba de configuración.
Se te pedirá que inicies sesión en Microsoft Entra ID. Si hay errores, se mostrará un mensaje para ayudarte a solucionar el problema.
Nota
Para poder utilizar SSO, los empleados deben tener perfiles de usuario tanto en Microsoft Entra ID como en Personio. La dirección de correo electrónico que se ingresa en Microsoft Entra ID en el campo que seleccionaste en el campo Reclamo debe coincidir con la dirección de correo electrónico utilizada en Personio.
Opcional: imponer el inicio de sesión único con Microsoft Entra ID
Después de configurar el inicio de sesión único con Microsoft Entra ID, el inicio de sesión a través de OAuth es opcional. Tus empleados pueden elegir si desean iniciar sesión en Personio utilizando sus credenciales de Personio o mediante OAuth.
Si quieres que el inicio de sesión a través de OAuth sea obligatorio para todos los empleados, haz clic en el botón Aplicar OAuth.