Este artículo explica cómo configurar el inicio de sesión único (SSO) en Personio con Okta.

El inicio de sesión único te permite conectar Personio a un proveedor de identidad como Okta o Azure Active Directory (Azure AD). Personio admite el protocolo OAuth 2.0, un estándar de código abierto para la delegación de acceso. Una vez configurado, los usuarios pueden autenticarse a través de un proveedor de identidad sin tener que usar las credenciales proporcionadas por Personio.

Nota
▶︎ La configuración del inicio de sesión único con Okta no sincroniza automáticamente a los usuarios de la aplicación de Personio con Okta.Para ello, es necesario configurar la integración con Okta por separado.Obtén más información sobre nuestra integración con Okta.
▶︎ Incluso si el inicio de sesión único está activado, debes enviar un correo electrónico de invitación a tus empleados.De lo contrario, no recibirán correos electrónicos de notificación de Personio.

Para configurar el inicio de sesión único en Personio con Okta, sigue los pasos a continuación.

1. Crea una nueva aplicación en Okta

Consejo
A la hora de realizar esta configuración, abre la aplicación de Personio y Okta en diferentes pestañas.

1. En el panel de administrador de Okta, ve a APLICACIONES > Aplicaciones.
2. Haz clic en Crear una integración de aplicación.
3. En la ventana Crear una nueva integración de aplicación, selecciona OIDC - OpenID Connect como método de inicio de sesión.Selecciona Aplicación web como el tipo de aplicación que se integra con Okta.Luego haz clic en Siguiente.
4. En Nueva integración web > Configuración general , ingresa el nombre de integración, por ejemplo, "Personio", en el campo Nombre de integración de la aplicación .Selecciona la casilla Credenciales de cliente .
   
   
5. En Personio, ve a Ajustes > Integraciones > Autenticación > OAuth 2.0. En Ajustes del proveedor, copia la URL del campo URI de devolución de llamada.
6. En Okta, ve a Nueva integración web > Ajustes generales. Pega la URL que has copiado anteriormente en el campo debajo de URI de redireccionamiento de inicio de sesión.En Asignaciones, selecciona el nivel de acceso apropiado.
7. Haz clic en Save.

Consejo
Si también quieres que los usuarios puedan iniciar sesión a través de la aplicación móvil de Personio, tendrás que incluir la siguiente URL de devolución de llamada en la lista blanca: https://auth.personio.de/providers/oauth/callback 

2. Generación e introducción de URI en Personio

Para generar todos los identificadores uniformes de recursos (URI) que se necesitan para configurar OAuth 2.0, sigue estos pasos.

1. Ve a Panel de administración de Okta > APLICACIONES > Aplicaciones > Ajustes generales .Copia el dominio de Okta "https:// {yourOktaDomain}/oauth2".
   

   Nota
   El dominio de Okta siempre debe terminar en "okta.com".Debes utilizar el dominio estándar (por ejemplo, "tuempresa.okta.com") para crear el URI.No utilices dominios personalizados que no terminen en "okta.com". 

2. En Personio, ve a Ajustes > Integraciones > Autenticación > OAuth 2.0.
3. En Configuración, haz clic en Editar.
   
   
4. En el campo URI de autorización, pega el dominio Okta que has copiado anteriormente y utilízalo como base para crear el URI (por ejemplo, "https://{yourOktaDomain} /oauth2/v1/authorize").
5. En el campo Token URI, introduce "https://{yourOktaDomain}/oauth2/v1/token".
   
6. En URI de información de usuario, selecciona "OBTENER" en el menú desplegable y pega el endpoint de la información de usuario "https://{yourOktaDomain}/oauth2/v1/userinfo" en el campo.La casilla Omitir lectura de entidades del token de identificación aparece seleccionada por defecto.Esto significa que, al iniciar sesión, la información del usuario (en concreto su dirección de correo electrónico) se leerá del URI de información de usuario y no del URI del token.
   

   Nota
   Al configurar OAuth con Okta, esta casilla debe estar seleccionada.

7. En el campo Ámbitos, introduce "openid, email". "Correo electrónico" representa el campo en el que se almacena la dirección de correo electrónico del usuario.
8. Ve a Panel de administración de Okta > APLICACIONES > Aplicaciones > Ajustes generales. En Credenciales de cliente, copia el ID de cliente.
9. Vuelve a Personio. Pega el ID de cliente que has copiado anteriormente de Okta en el campo ID de cliente.
10. Vuelve a Okta.En Credenciales de cliente, copia la clave del cliente.
11. Vuelve a Personio. Pega la clave del cliente que has copiado anteriormente de Okta en el campo Clave del cliente.
12. En el Campo Claim, selecciona Usar valor predeterminado.

3. Revisión y prueba

1. Revisa los datos que has introducido en Personio.
2. Después de asegurarte de que todos los datos son correctos, haz clic en Enviar para guardar los datos.
3. Para probar la conexión OAuth, haz clic en Realizar una prueba de configuración.

Se te pedirá que inicies sesión en Okta. Si hay errores, se mostrará un mensaje para ayudarte con la solución de problemas.

Nota
Para poder usar el SSO, los empleados deben tener perfiles de usuario en Okta y también en Personio.La dirección de correo electrónico que se introduce en Okta en Directorio > Personas > Principal debe coincidir con la dirección de correo electrónico utilizada en Personio.

Opcional: aplicar el inicio de sesión único con Okta

Después de configurar el inicio de sesión único con Okta, el inicio de sesión a través de OAuth es opcional. Tus empleados pueden elegir si desean iniciar sesión en Personio con sus credenciales de Personio o a través de OAuth.

Si quieres que el inicio de sesión a través de OAuth sea obligatorio para todos los empleados, haz clic en el botón Aplicar OAuth.

Más información

Para obtener más información sobre la generación de URI, consulta el documento de referencia de Okta OpenID Connect & OAuth 2.0 API (en inglés).