Este artículo explica cómo configurar el inicio de sesión único (SSO) en Personio con Okta. Sigue los pasos para completar la configuración.
Personio es compatible con el protocolo OpenID Connect/OAuth 2.0. Se trata de una norma de código abierto para la delegación de acceso. Cuando configuras el SSO, los empleados se autentican mediante un proveedor de identidad, en este caso Okta. No tienen que iniciar sesión usando credenciales Personio.
Te recomendamos que trabajes con el equipo de IT para configurar este tipo de autenticación.
Antes de empezar
- Para configurar SSO con Okta, necesitas los siguientes permisos:
- Un rol de administrador de Personio.
- Un rol de empleado con permiso de edición en Configuración de la cuenta > Autenticación.
- Configurar SSO con Okta no sincroniza automáticamente a los usuarios de la aplicación Personio con Okta. Para hacer esto, debe configurar la integración con Okta por separado. Descubre más sobre la integración con Okta.
- Comprueba que ya has invitado a los empleados a Personio. Cada uno de ellos tiene que activar la cuenta para poder iniciar sesión.
Crear una nueva aplicación en Okta
Para crear una aplicación en Okta, sigue estos pasos:
- Opcional: abre Personio y Okta en pestañas separadas para simplificar la configuración.
- En el panel de control del administrador de Okta, vaya a APLICACIONES > Aplicaciones.
- Haz clic en Crear integración de aplicaciones.
- En la ventana Crear una nueva integración de aplicación, seleccione OIDC - OpenID Connect como método de inicio de sesión. Seleccione Aplicación web como el tipo de aplicación que se integra con Okta. Haz clic en Siguiente.
- En Integración web nueva > Ajustes generales, introduce el nombre de la integración. Por ejemplo, escribe "Personio" en el campo Nombre de integración de aplicación.
-
Opcional: Seleccione la casilla Credenciales de cliente.
- En Personio, ve a Ajustes.
- En la sección Seguridad e integraciones, haz clic en Seguridad y autenticación.
- En la lista de métodos de inicio de sesión, ve a Open ID Connect (OIDC) y haz clic en Configurar.
- En Ajustes del proveedor, copie la URL del campo URI de devolución de llamada.
- En Okta, ve a Integración web nueva > Ajustes generales. Pegue la URL que copió anteriormente en el campo en URIs de redirección de inicio de sesión. En Asignaciones, seleccione el nivel de acceso adecuado.
- También debe ingresar la siguiente dirección en el campo bajo URIs de redirección de inicio de sesión:
- https://login.personio.com/login/callback
- Guarda los cambios.
Crear e introducir URIs en Personio
Para crear todos los identificadores uniformes de recursos (URI) para configurar OAuth 2.0, siga estos pasos:
- En el panel de control del administrador de Okta, vaya a APLICACIONES > Aplicaciones.
- Vaya a Ajustes generales. Copia el dominio Okta: "https://{yourOktaDomain}/oauth2". El dominio Okta siempre debe terminar con "okta.com". Al crear el URI, es importante que utilices siempre el dominio estándar (por ejemplo, “tuempresa.okta.com”). No uses un dominio personalizado si no incluye “okta.com”.
- En Personio, ve a Ajustes.
- En la sección Seguridad e integraciones, haz clic en Seguridad y autenticación.
- En la lista de métodos de inicio de sesión, ve a Open ID Connect (OIDC) y haz clic en Configurar.
- En Configuración, rellene los campos que se describen a continuación.
| Campo | Detalles |
| Texto de visualización de botones | Introduce el texto que quieres que aparezca en el botón de inicio de sesión. Por ejemplo, “Continuar con [tu texto]”. Si lo dejas vacío, aparece “Continuar con SSO” de manera predeterminada. El texto personalizado no se traduce. |
| Emisor | Consulte la siguiente sección para obtener más información. |
| URI de autorización | Pega el dominio Okta que has copiado anteriormente. Utilízalo como base para construir el URI (por ejemplo, “https://{yourOktaDomain}/oauth2/v1/authorize”). |
| Token URI | Introduce “https://{yourOktaDomain}/oauth2/v1/token”. |
| URI de información de usuario |
Seleccione OBTENER en el menú desplegable. Pegue el punto final de información de usuario "https://{yourOktaDomain}/oauth2/v1/userinfo" en el campo. El sistema selecciona la casilla de verificación Omitir lectura de entidades del token de identificación de manera predeterminada. Esto significa que, al iniciar sesión, el sistema lee la información del usuario, incluido el correo electrónico, desde el URI de información del usuario en lugar del URI del código. Al configurar OAuth con Okta, debe seleccionar esta casilla. |
| URI de JSON Web Key Sets | Consulte la siguiente sección para obtener más información. |
| Ámbitos | Introduce “openid, correo electrónico”. El campo “correo electrónico” almacena el correo electrónico del usuario. |
| ID de cliente | Para encontrar el ID de cliente, vaya al panel de control del administrador de Okta y luego a APLICACIONES > Aplicaciones. En Ajustes generales, en Credenciales del cliente, copia el ID de cliente. Vuelve a Personio y pega el ID de cliente en el campo correspondiente. |
| Secreto de cliente | Para encontrar la clave del cliente, vaya al panel de control del administrador de Okta y luego a APLICACIONES > Aplicaciones. En Ajustes generales, en Credenciales del cliente, copia la clave del cliente. Vuelve a Personio y pega el ID de cliente en el campo correspondiente. |
| Fecha de vencimiento de la clave |
Introduce la fecha de vencimiento de la clave del cliente. Personio envía correos electrónicos de recordatorio a los propietarios de cuenta 30 días, 14 días, 7 días y 1 día antes de la fecha que indiques. Cuando actualices la clave y la fecha de vencimiento, los recordatorios se interrumpirán Te recomendamos que actualices este campo cada vez que rotes la clave para que los recordatorios sigan siendo pertinentes. Si la clave del cliente vence, Personio enviará correos electrónicos al propietario de cuenta con los pasos para recuperar el acceso a Personio. |
| Campo Claim | Selecciona Usar predeterminado. |
Configurar los campos Emisor y URI de JWK
- El emisor es el identificador del emisor del servidor de autorización en la contestación de autorización. En este campo, ingresa el valor del campo emisor del punto final .well-known/openid-configuration de tu proveedor de SSO.
- La URI de JSON Web Key Sets (JWK) es la URI de descubrimiento de un conjunto de claves públicas. Estas claves verifican cualquier JSON Web Token (JWT) emitido por el servidor de autorización. En este campo, ingrese el valor del campo jwks_uri del punto final .well-known/openid-configuration de su proveedor de SSO.
Puede encontrar los campos emisor y jwks_uri en el punto final del documento de descubrimiento de su proveedor de SSO. Generalmente puedes acceder a esto a través de una de estas URL:
- https://example-provider.com/well-known/openid-configuration
- https://proveedor-de-ejemplo/oauth2/token/.well-known/configuracion-de-openid
- https://example-provider.com/oauth2/authorize/.well-known/openid-configuration
- https://example-provider.com/v2.0/.well-known/openid-configuration
Para obtener más información sobre la generación de URI, consulta el documento de referencia de OpenID Connect & OAuth 2.0 API (en inglés).
Revisión y prueba
Consejo:
Si vas a establecer Okta como único método de inicio de sesión habilitado, haz primero una prueba de configuración. Esto evita que se bloquee si la configuración es incorrecta.
- Revisa los datos que ha ingresado en Personio.
- Envía tus cambios.
- Para probar la conexión OIDC, activa la conexión y haz clic en el botón Probar.
- La conexión te redirige para iniciar sesión en Okta. Si hay errores, aparece un mensaje para ayudar con la solución de problemas.
Para usar SSO, los empleados necesitan tener perfiles de usuario tanto en Okta como en Personio. El correo electrónico ingresado en Okta en Directorio > Personas > Principal debe coincidir con el correo electrónico utilizado en Personio.
Opcional: Ejecutar el SSO con Okta
Después de completar la configuración, puedes ejecutar el SSO con Okta. Para que todos los empleados tengan la obligación de iniciar sesión mediante Open ID Connect (OIDC), activa este método como único inicio de sesión.