Saltar al contenido principal

¿En qué podemos ayudarte?

Como administrador, puedes echar un vistazo a la nueva experiencia de Personio!

Ve a la página de inicio y activa el interruptor para explorar la nueva plataforma de Recursos Humanos Inteligente, con un diseño renovado y nuevas funcionalidades. Puedes testear el nuevo Personio sin miedo, ya que tus cambios no serán visibles para tus empleados durante esta fase de acceso anticipado.

Configurar el inicio de sesión único (SSO) en Personio con Okta

Este artículo explica cómo configurar el inicio de sesión único (SSO) en Personio con Okta. Sigue los pasos para completar la configuración.

Entender qué significa SSO y OAuth

SSO te permite conectar Personio a un proveedor de identidad como Okta o Microsoft Entra ID. Personio admite el protocolo OAuth 2.0, un estándar de código abierto para la delegación de acceso. Cuando se configura, los usuarios se autentican a través de un proveedor de identidad. No es necesario que utilices tus credenciales de Personio. Si habilitas OAuth, los empleados con un perfil de Personio podrán iniciar sesión en su cuenta sin necesidad de enviar una invitación por correo electrónico.

Nota:
Configurar SSO con Okta no sincroniza automáticamente a los usuarios de la aplicación Personio con Okta. Para hacer esto, necesitas configurar la integración con Okta por separado. Obtén más información sobre nuestra integración con Okta.

1. Crea una nueva aplicación en Okta

  1. Opcional: abre Personio y Okta en pestañas separadas para simplificar la configuración.
  2. En el panel de administrador de Okta, ve a APLICACIONES > Aplicaciones.
  3. Haz clic en Crear una integración de aplicación.
  4. En la ventana Crear una nueva integración de aplicación, selecciona OIDC - OpenID Connect como método de inicio de sesión. Selecciona Aplicación web como el tipo de aplicación que se integra con Okta. Haz clic en Siguiente.
  5. En Nueva integración web > Ajustes generales, introduce el nombre de la integración. Por ejemplo, introduce “Personio” en el campo Nombre de la integración de la aplicación. Selecciona la casilla Credenciales de cliente.

  6. En Personio, ve a Ajustes. En la sección Integraciones, haz clic en Autenticación. A continuación, haz clic en OAuth 2.0. En Ajustes del proveedor, copia la URL del campo URI de devolución de llamada.
  7. En Okta, ve a Nueva integración web > Ajustes generales. Pega la URL que has copiado anteriormente en el campo debajo de URI de redireccionamiento de inicio de sesión.En Asignaciones, selecciona el nivel de acceso apropiado.
  8. También tendrás que introducir las siguientes direcciones en el campo URI de redireccionamiento de inicio de sesión:
  9. Guarda los cambios.

Consejo: si los usuarios necesitan iniciar sesión con la aplicación móvil de Personio, también debes incluir en la lista de permitidos la siguiente URL de devolución de llamada: https://auth.personio.de/providers/oauth/callback 

2. Generación e introducción de URI en Personio

Para crear todos los identificadores uniformes de recursos (URI) para configurar OAuth 2.0, sigue estos pasos:

  1. Ve a Panel de control del administrador de Okta > APLICACIONES > Aplicaciones > Ajustes generales .Copia el dominio de Okta "https://{yourOktaDomain}/oauth2".
    El dominio de Okta siempre debe terminar en "okta.com". Debes utilizar el dominio estándar (por ejemplo, "tuempresa.okta.com") para crear el URI. No utilices dominios personalizados que no terminen en "okta.com".
  2. En Personio, ve a Ajustes. En la sección Integraciones, haz clic en Autenticación. A continuación, haz clic en OAuth 2.0.
  3. En Configuración, haz clic en Editar.

  4. En el campo URI de autorización, pega el dominio de Okta que copiaste anteriormente. Utilízalo como base para crear el URI (por ejemplo, "https://{yourOktaDomain}/oauth2/v1/authorize").
  5. En el campo Token URI, introduce "https://{yourOktaDomain}/oauth2/v1/token".
  6. En URI de información de usuario, selecciona GET en el menú desplegable. Pega el endpoint de información de usuario "https://{yourOktaDomain}/oauth2/v1/userinfo" en el campo. El sistema selecciona la casilla Omitir la lectura de entidades del token de identificación de forma predeterminada. Esto significa que, al iniciar sesión, el sistema lee la información del usuario, incluida la dirección de correo electrónico, del URI de información de usuario en lugar del URI del token. Al configurar OAuth con Okta, debes seleccionar esta casilla.
  7. En el campo Ámbitos, introduce "openid, email". El campo "Correo electrónico" almacena la dirección de correo electrónico del usuario.
  8. Ve a Panel de administración de Okta > APLICACIONES > Aplicaciones > Ajustes generales. En Credenciales de cliente, copia el ID de cliente.
  9. Vuelve a Personio. Pega el ID de cliente que has copiado anteriormente de Okta en el campo ID de cliente.
  10. Vuelve a Okta.En Credenciales de cliente, copia la clave del cliente.
  11. Vuelve a Personio. Pega la clave del cliente que has copiado anteriormente de Okta en el campo Clave del cliente.
  12. En Campo de reclamación ,selecciona Usar predeterminado.

Configurar los campos de URI de emisor y JWK

  • El emisor es el identificador de emisor del servidor de autorización en la respuesta de autorización. En este campo, ingresa el valor del campo emisor del endpoint .well-known/openid-configuration de tu proveedor de SSO.
  • El URI de JSON Web Key Sets (JWK) es el URI de descubrimiento de un conjunto de claves públicas. Estas claves verifican cualquier token web JSON (JWT) emitido por el servidor de autorización. En este campo, ingresa el valor del campo jwks_uri del endpoint .well-known/openid-configuration de tu proveedor de SSO.

Puedes encontrar los campos emisor y jwks_uri en el endpoint del documento de descubrimiento de tu proveedor de SSO. Por lo general, puedes acceder a esto a través de una de estas URL:

Consejo:
Para obtener más información sobre la creación de URI, consulta el documento de referencia de Okta OpenID Connect & OAuth 2.0 API.

3. Revisión y prueba

  1. Evalúa los datos que has introducido en Personio.
  2. Envía tus cambios.
  3. Para probar la conexión OAuth, haz clic en Realizar una prueba de configuración.
  4. Tienes que iniciar sesión en Okta. Si hay errores, aparece un mensaje para ayudar con la solución de problemas.

Para utilizar SSO, los empleados deben tener perfiles de usuario tanto en Okta como en Personio. La dirección de correo electrónico introducida en Okta en Directorio > Personas > Principal debe coincidir con la dirección de correo electrónico utilizada en Personio.

Opcional: aplicar SSO con Okta

Después de configurar SSO con Okta, el inicio de sesión a través de OAuth es opcional. Tus empleados pueden optar por iniciar sesión en Personio con sus credenciales de Personio o a través de OAuth. Para que sea obligatorio que todos los empleados inicien sesión a través de OAuth, haz clic en Exigir OAuth

Ayùdanos a mejorar. ¿Te resulta útil esta página?