Cet article explique les différentes méthodes d'authentification que Personio propose. Les méthodes disponibles dépendent de votre abonnement Personio.
Authentification à deux facteurs (2FA)
Tous les clients Personio peuvent activer l’authentification à deux facteurs pour les rôles des employés afin de renforcer la sécurité des données. Avec l’authentification à deux facteurs, les employés se connectent à l’aide d’un jeton de leur appareil mobile, ainsi que leur adresse e-mail et leur mot de passe. Découvrez comment configurer l’authentification à deux facteurs pour les rôles d’employé.
Authentification unique Google (Google SSO)
Avec Google SSO, les employés utilisent leur compte Google professionnel pour accéder à Personio. Google SSO est réservé aux entreprises qui utilisent Google Workspace. En savoir plus sur la configuration de Google SSO.
Avantages :
- Vous gérez les accès dans Google Workspace. Par exemple, lorsqu'un employé quitte votre entreprise, vous le désactivez dans Google. Cette action supprime également son accès à Personio.
- Les employés n'ont pas besoin de créer des mots de passe pour Personio.
Considérations :
- Tous les employés doivent utiliser cette méthode.
- Les employés ne peuvent pas se connecter avec les identifiants Personio (e-mail et mot de passe).
Conseil :
n’activez Google SSO qu’après avoir terminé la configuration de votre compte. Une fois l’authentification unique activée, les employés peuvent se connecter à Personio. Vous contrôlez l’accès aux comptes des employés via Google.
OAuth 2.0
Personio prend en charge la connexion via le protocole OAuth 2.0. Vous bénéficiez alors d’une gestion sécurisée et normalisée de l’accès aux applications. Vous pouvez intégrer Personio avec des fournisseurs OAuth tels que Microsoft Entra ID et Okta. Si vous utilisez un autre fournisseur OAuth, suivez les instructions ci-dessous. Nous vous recommandons de consulter un administrateur informatique pour configurer ce type d’authentification.
Remarque :
si vous activez OAuth, les employés ayant un profil Personio peuvent se connecter à leur compte sans e-mail d’invitation.
1. Configurez la redirection vers l'URI de rappel dans votre fournisseur OAuth.
- Accédez aux Paramètres.
- Dans la section Intégrations , cliquez sur Authentification.
- Dans OAuth 2.0, sous les paramètres du fournisseur, copiez l'URL de rappel.
- Saisissez cette URL dans le champ correspondant des paramètres de votre fournisseur OAuth.
- Vous devez également saisir ces URL dans le champ correspondant des paramètres de votre fournisseur OAuth :
- Pour les connexions app mobile via votre fournisseur OAuth, vous devez également autoriser l'URL de rappel suivante :
Configurer OAuth 2.0 dans Personio
- Dans Personio, accédez à Paramètres. Dans la section Intégrations , cliquez sur Authentification. Cliquez ensuite sur OAuth 2.0.
- Sous Configuration, cliquez sur Modifier. Vous devez prendre toutes les données que vous devez saisir dans les champs des paramètres de votre fournisseur OAuth.
- Renseignez le champ Autorisation URI. Le système transfère les utilisateurs à la page d'autorisation URI lorsqu'ils cliquent sur Se connecter avec OAuth.
- Renseignez le champ Jeton URI. Personio appelle ce point de terminaison pour obtenir un jeton afin de vérifier que les identifiants saisis sont corrects.
- Sous Informations utilisateur URI, sélectionnez GET dans le menu déroulant. Collez le point de terminaison des informations utilisateurhttps://graph.microsoft.com/oidc/userinfo dans le champ. Le système coche par défaut la case Ne pas lire les entités sur le jeton d’identification. Ainsi, le système lit les informations sur l’utilisateur, y compris l’adresse e-mail, dans l’URI des informations utilisateur au lieu de l’URI du jeton. Cochez la case si vous souhaitez lire les informations sur l’utilisateur dans l’URI de jeton lors de la connexion au lieu de l’URI des informations utilisateur. OAuth peut ainsi être utilisé avec Active Directory Federation Services (ADFS).
- Ce champ Portées indique comment les informations utilisateur sont transférées à Personio. Pour de nombreux fournisseurs OAuth, la valeur correcte est « openid, email ».
- Dans le champ ID client, saisissez l’ID client à utiliser pour l’authentification.
- Dans le champ Secret client, saisissez le secret client utilisé pour l’authentification.
- Sous Champ de demande, sélectionnez le champ de votre fournisseur OAuth avec les adresses e-mail de vos employés. Pour vérifier qu’un employé existe dans Personio, nous vérifierons si la valeur de ce champ correspond à l’adresse e-mail utilisée dans Personio. Vous avez le choix entre « email », « unique_name », « sub » et « upn ». Si vous sélectionnez Utiliser la valeur par défaut, nous vérifiez les champs « email », « unique_name » et « sub » dans cet ordre jusqu’à ce que nous trouvions un champ contenant une valeur.
- Facultatif: dans le champ Authentication Context Class Reference, saisissez la référence de classe de contexte d’authentification. Cette référence correspond au champ acr_values de votre fournisseur OAuth. Vous pouvez utiliser cette référence pour configurer d’autres processus du côté de votre fournisseur d’identité, comme l’authentification à deux facteurs.
Configurer les champs de l’émetteur et des JWKs
- L’émetteur est l’identifiant de l’émetteur du serveur d’autorisation dans la réponse d’autorisation. Dans ce champ, saisissez la valeur du champ de l’émetteur de la configuration . bien-connu/openid-configuration le point de terminaison de votre fournisseur SSO.
- L’URI des ensembles de clés Web de JSON (JWKs) est l’URI de connaissance pour un ensemble de clés publiques. Ces clés vérifient tous les jetons Web JSON (JWT) émis par le serveur d’autorisation. Dans ce champ, saisissez la valeur du champ jwks_URI de la configuration . bien-connu/openid-configuration le point de terminaison de votre fournisseur SSO.
Vous trouverez les champs de l’ document de votre fournisseur SSO. Vous pouvez généralement y accéder via l’une de ces URL :
- https://example-provider.com/)/openid-configuration
- https://exemple-provider/oauth2/token/. bien-connu/openid-configuration
- https://exemple-provider.com/oauth2/authorize/. bien-connu/openid-configuration
- https://exemple-provider.com/v2.0/. bien-connu/openid-configuration
Vérifier et tester
- Vérifiez les données que vous avez saisies dans Personio.
- Apportez les modifications nécessaires.
- Pour tester la connexion OAuth, cliquez sur Effectuer un test de configuration.
- Vous devez vous connecter à votre fournisseur OAuth. En cas d'erreur, un message apparaît pour vous aider à résoudre le problème.
Les employés ne peuvent se connecter avec OAuth que si l’adresse e-mail de l’attribut « email », « unique_name » ou « sub » à partir de votre fournisseur OAuth est la même que celle utilisée dans Personio.
Facultatif : Imposer l'authentification avec OAuth
Une fois que vous avez configuré l'authentification, vos employés disposent de deux options de connexion. Ils peuvent se connecter à Personio via OAuth ou utiliser leurs identifiants Personio. Pour rendre obligatoire la connexion via OAuth pour tous les employés, cliquez sur Imposer OAuth.
LDAP/Active Directory via OAuth 2.0
Si vous souhaitez intégrer Active Directory à Personio, vous devez implémenter cette option via un fournisseur d’identité. Le fournisseur d’identité sert d’interface OAuth entre Active Directory et Personio.
WSO2 Identity Server est un bon outil de gestion des identités et des accès. Vouspouvez le télécharger gratuitement.
Si vous utilisez déjà l’un de ces fournisseurs, vous pouvez configurer votre intégration OAuth par leur intermédiaire :