Cet article explique les différentes méthodes d'authentification proposées par Personio en fonction de votre niveau d'abonnement.
Authentification à deux facteurs
Tous les clients Personio peuvent activer l'authentification à deux facteurs pour tout rôle d'employé afin de mieux protéger les données qu'ils ont stockées dans Personio.
Si l’authentification à 2 facteurs est activée pour un rôle d’employé, tous les employés affectés à ce rôle doivent, en plus de leur adresse e-mail et de leur mot de passe (connaissance, 1er facteur), entrer un jeton généré sur leur appareil mobile (possession, 2e facteur) lorsqu’ils se connectent.
Pour activer l'authentification à deux facteurs et savoir comment vos employés peuvent la configurer sur leurs appareils, suivez les instructions de notre article sur la configuration de l'authentification à deux facteurs pour les rôles d'employé.
Authentification unique Google (Google SSO)
Notes
▶︎ Cette option ne fonctionne que si vous utilisez Google Workspace dans votre entreprise.
▶︎ Si vous activez l'authentification unique de Google, cette méthode d'authentification s'appliquera à tous vos employés, et il ne sera pas possible de se connecter avec les identifiants Personio (e-mail et mot de passe).
Si l'authentification unique Google est activée, vos employés peuvent se connecter à Personio via leur compte Google professionnel.
Cela présente les avantages suivants :
- L'accès est entièrement géré au sein de Google Workspace. Lorsqu'un employé quitte votre entreprise et qu'il est désactivé dans Google, son accès à Personio est aussi automatiquement révoqué.
- Les employés n'ont pas besoin de créer un mot de passe pour Personio.
Pour activer Google SSO, suivez les instructions de notre article Authentification unique Google.
Conseil
Nous vous recommandons d'activer l'authentification unique Google uniquement après avoir terminé la configuration de votre compte, car vos employés pourront se connecter à Personio dès que la SSO sera activée.L’accès à leur compte est ensuite contrôlé uniquement via Google.
OAuth 2.0
Remarque
▶︎ Nous vous recommandons de consulter un administrateur informatique pour implémenter ce type d’authentification.
Personio prend en charge la connexion via le protocole OAuth 2.0. Vous bénéficiez alors d’une gestion sécurisée et normalisée de l’accès aux applications.
Vous pouvez intégrer Personio avec différents fournisseurs OAuth, comme Microsoft Entra ID et Okta. Pour savoir comment procéder, lisez l'article dédié au prestataire souhaité ci-dessous :
- Configurer l'authentification unique (SSO) dans Personio avec Microsoft Entra ID
- Configurer l'authentification unique (SSO) dans Personio avec Okta.
Si vous utilisez un autre fournisseur OAuth, suivez les instructions ci-dessous.
1. Configurez la redirection vers l'URI de rappel dans votre fournisseur OAuth.
- Accéder aux Paramètres
- Dans la section Intégrations , cliquez sur Authentification.
- Dans OAuth 2.0, sous les paramètres du fournisseur, copiez l’URL qui se trouve dans le champ Rappel URI .
- Saisissez cette URL dans le champ correspondant des paramètres de votre fournisseur OAuth.
- Vous devez également entrer les URL suivantes dans le champ correspondant des paramètres de votre fournisseur OAuth : https://login.personio.de/login/callback
https://login.personio.com/login/callback
Conseil
Si vous voulez que les utilisateurs puissent se connecter via l’application mobile Personio, vous devez également mettre sur liste blanche l’URL de rappel suivante : https://auth.personio.de/providers/oauth/callback
Configurer les paramètres OAuth 2.0 dans Personio
- Accédez à Paramètres > Intégrations > Authentification > OAuth 2.0dans Personio.
- Sous Configuration, cliquez sur Modifier.
Remarque
Toutes les données que vous devez saisir dans les champs doivent provenir des paramètres de votre fournisseur OAuth.
- Renseignez le champ Autorisation URI. Les utilisateurs seront redirigés vers la page URI d’autorisation lorsqu’ils cliqueront sur Se connecter avec OAuth.
- Renseignez le champ Jeton URI. Personio appellera ce point de terminaison pour obtenir un jeton afin de vérifier que les identifiants saisis sont corrects.
- Sous Informations utilisateur URI, sélectionnez « GET » dans le menu déroulant et collez le point de terminaison des informations utilisateur https://graph.microsoft.com/oidc/userinfo dans le champ.La case Ne pas lire les entités sur le jeton d’identification est cochée par défaut.Ainsi, les informations sur l’utilisateur, et plus précisément son adresse e-mail, seront lues lors de la connexion à partir de l’URI des informations utilisateur au lieu de l’URI de jeton.
Remarque
Si vous voulez que les informations sur l’utilisateur soient lues lors de la connexion à partir de l’URI de jeton au lieu de l’URI des informations utilisateur, désélectionnez la case, ce qui permettra d’implémenter OAuth avec Active Directory Federation Services (ADFS). - Renseignez le champ Portées. Ce champ indique comment les informations utilisateur sont transférées à Personio. Pour de nombreux fournisseurs OAuth, la valeur correcte est « openid, email ».
- Dans le champ ID Client, saisissez l’ID client qui sera utilisé pour l’authentification.
- Dans le champ Secret client, saisissez le secret client utilisé pour l’authentification.
- Dans Champ de demande, sélectionnez le champ de votre fournisseur OAuth où sont stockées les adresses e-mail de vos employés.Pour vérifier qu’un employé existe dans Personio, nous vérifierons si la valeur de ce champ correspond à l’adresse e-mail utilisée dans Personio.Vous avez le choix entre « email », « unique_name », « sub » et « upn ».
Conseil
Si vous sélectionnez Utiliser la valeur par défaut, nous vérifierons les champs « email », « unique_name » et « sub » dans cet ordre jusqu’à ce que nous trouvions un champ contenant une valeur. - Facultatif: dans le champ Authentication Context Class Reference, saisissez la référence de classe de contexte d’authentification. Cette référence correspond au champ acr_values de votre fournisseur OAuth. Cette référence peut être utilisée pour configurer des processus supplémentaires du côté de votre fournisseur d’identité, comme l’authentification à deux facteurs.
Vérifier et tester
- Vérifiez les données que vous avez saisies dans Personio.
- Lorsque vous êtes sûr d’avoir tout saisi correctement, cliquez sur Soumettre pour enregistrer les données.
- Pour tester la connexion OAuth, cliquez sur Effectuer un test de configuration.
Vous serez invité à vous connecter à votre fournisseur OAuth. En cas d'erreur, un message s'affichera pour vous aider à résoudre le problème.
Remarque
Les employés ne pourront se connecter avec OAuth que si l’adresse e-mail qui est stockée pour l'attribut « email », « unique_name » ou « sub » à partir de votre fournisseur OAuth est la même que celle utilisée dans Personio.
Facultatif : Imposer l'authentification avec OAuth
Une fois que vous avez configuré l'authentification, vos employés peuvent choisir s'ils souhaitent se connecter à Personio via OAuth ou en utilisant leurs identifiants Personio. Si vous souhaitez rendre obligatoire la connexion via OAuth pour tous les employés, cliquez sur le bouton Imposer OAuth.
Remarque
Si OAuth est appliqué et que l'employé a été créé, l'employé peut se connecter au compte sans invitation ni activation de son compte.
LDAP/Active Directory via OAuth 2.0
Si vous souhaitez intégrer Active Directory à votre compte Personio, vous devez implémenter cette option via un fournisseur d’identité. Le fournisseur d’identité sert d’interface OAuth entre Active Directory et Personio.
WSO2 Identity Server est un bon outil de gestion des identités et des accès. Vous pouvez le télécharger gratuitement ici.
Si vous utilisez déjà l’un des fournisseurs suivants, vous pouvez également implémenter votre intégration OAuth par leur intermédiaire :