Aller au contenu principal

Comment pouvons-nous vous aider ?

Retour

Choisir la bonne méthode d'authentification pour votre entreprise

 

Cet article explique les différentes méthodes d'authentification proposées par Personio en fonction de votre niveau d'abonnement.

 

Authentification à deux facteurs

Tous les clients Personio peuvent activer l'authentification à deux facteurs pour tout rôle d'employé afin de mieux protéger les données qu'ils ont stockées dans Personio.

Si l’authentification à 2 facteurs est activée pour un rôle d’employé, tous les employés affectés à ce rôle doivent, en plus de leur adresse e-mail et de leur mot de passe (connaissance, 1er facteur), entrer un jeton généré sur leur appareil mobile (possession, 2e facteur) lorsqu’ils se connectent.

Pour activer l'authentification à deux facteurs et savoir comment vos employés peuvent la configurer sur leurs appareils, suivez les instructions de notre article sur la configuration de l'authentification à deux facteurs pour les rôles d'employé.

 

Authentification unique Google (Google SSO)

Remarque
▶︎ Cette méthode d'authentification est uniquement disponible à partir de l'abonnement Professionnel.
▶︎ Cette option ne fonctionne que si vous utilisez Google Workspace dans votre entreprise.
▶︎ Si vous activez l'authentification unique de Google, cette méthode d'authentification s'appliquera à tous vos employés, et il ne sera pas possible de se connecter avec les identifiants Personio (e-mail et mot de passe).

Si l'authentification unique Google est activée, vos employés peuvent se connecter à Personio via leur compte Google professionnel.

Cela présente les avantages suivants :

  • L'accès est entièrement géré au sein de Google Workspace. Lorsqu'un employé quitte votre entreprise et qu'il est désactivé dans Google, son accès à Personio est aussi automatiquement révoqué.
  • Les employés n'ont pas besoin de créer un mot de passe pour Personio.

Pour activer Google SSO, suivez les instructions de notre article Authentification unique Google.

Conseil
Nous vous recommandons d'activer l'authentification unique Google uniquement après avoir terminé la configuration de votre compte, car vos employés pourront se connecter à Personio dès que la SSO sera activée.L’accès à leur compte est ensuite contrôlé uniquement via Google.

 

OAuth 2.0 

Remarques
▶︎ Cette méthode d'authentification est uniquement disponible à partir du forfait Enterprise
▶︎ Nous vous recommandons de consulter un administrateur informatique pour implémenter ce type d’authentification.

Personio prend en charge la connexion via le protocole OAuth 2.0. Vous bénéficiez alors d’une gestion sécurisée et normalisée de l’accès aux applications.

Vous pouvez intégrer Personio avec différents fournisseurs OAuth, comme Azure AD et Okta. Pour savoir comment procéder, lisez l'article dédié au prestataire souhaité ci-dessous :

Si vous utilisez un autre fournisseur OAuth, suivez les instructions ci-dessous.

 

1. Configurez la redirection vers l'URI de rappel dans votre fournisseur OAuth.

  1. Dans Personio, accédez à Paramètres > Intégrations > Authentification > OAuth 2.0.
  2. Sous Paramètres du fournisseur, copiez l’URL qui se trouve dans le champ Rappel URI.

    settings-authentication-oauth_2.0-callback_uri_fr.png

  3. Saisissez l'URI de rappel dans le champ correspondant des paramètres de votre fournisseur OAuth.

Conseil
Si vous voulez que les utilisateurs puissent se connecter via l’application mobile Personio, vous devez également mettre sur liste blanche l’URL de rappel suivante : https://auth.personio.de/providers/oauth/callback

 

2. Configurer les paramètres OAuth 2.0 dans Personio

  1. Accédez à Paramètres > Intégrations > Authentification > OAuth 2.0dans Personio.
  2. Sous Configuration, cliquez sur Modifier.

    Remarque
    Toutes les données que vous devez saisir dans les champs doivent provenir des paramètres de votre fournisseur OAuth.


    settings-authentication-configuration_fr.png
  3. Renseignez le champ Autorisation URI.Les utilisateurs seront redirigés vers la page URI d’autorisation lorsqu’ils cliqueront sur Se connecter avec OAuth.
  4. Renseignez le champ Jeton URI.Personio appellera ce point de terminaison pour obtenir un jeton afin de vérifier que les identifiants saisis sont corrects. 
  5. Sous Informations utilisateur URI, sélectionnez « GET » dans le menu déroulant et collez le point de terminaison des informations utilisateur https://graph.microsoft.com/oidc/userinfo dans le champ.La case Ne pas lire les entités sur le jeton d’identification est cochée par défaut.Ainsi, les informations sur l’utilisateur, et plus précisément son adresse e-mail, seront lues lors de la connexion à partir de l’URI des informations utilisateur au lieu de l’URI de jeton.

    Remarque
    Si vous voulez que les informations sur l’utilisateur soient lues lors de la connexion à partir de l’URI de jeton au lieu de l’URI des informations utilisateur, désélectionnez la case, ce qui permettra d’implémenter OAuth avec Active Directory Federation Services (ADFS).

  6. Renseignez le champ Portées.Ce champ indique comment les informations utilisateur sont transférées à Personio.Pour de nombreux fournisseurs OAuth, la valeur correcte est openid, email.
  7. Dans le champ ID Client, saisissez l’ID client qui sera utilisé pour l’authentification.
  8. Dans le champ Clé secrète client, saisissez le secret client utilisé pour l’authentification.
  9. Dans Champ de demande, sélectionnez le champ de votre fournisseur OAuth où sont stockées les adresses e-mail de vos employés.Pour vérifier qu’un employé existe dans Personio, nous vérifierons si la valeur de ce champ correspond à l’adresse e-mail utilisée dans Personio.Vous avez le choix entre « email », « unique_name », « sub » et « upn ».

    Conseil
    Si vous sélectionnez Utiliser la valeur par défaut, nous vérifierons les champs « email », « unique_name » et « sub » dans cet ordre jusqu’à ce que nous trouvions un champ contenant une valeur.

  10. Facultatif: dans le champ Authentication Context Class Reference, saisissez la référence de classe de contexte d’authentification.Cette référence correspond au champ acr_values de votre fournisseur OAuth.Cette référence peut être utilisée pour configurer des processus supplémentaires du côté de votre fournisseur d’identité, comme l’authentification à deux facteurs.

3. Vérifier et tester

  1. Vérifiez les données que vous avez saisies dans Personio.
  2. Lorsque vous êtes sûr d’avoir tout saisi correctement, cliquez sur Soumettre pour enregistrer les données.
  3. Pour tester la connexion OAuth, cliquez sur Effectuer un test de configuration.

Vous serez invité à vous connecter à votre fournisseur OAuth. En cas d'erreur, un message s'affichera pour vous aider à résoudre le problème.

Remarque
Les employés ne pourront se connecter avec OAuth que si l’adresse e-mail qui est stockée pour l'attribut « email », « unique_name » ou « sub » à partir de votre fournisseur OAuth est la même que celle utilisée dans Personio.

 

Facultatif : Imposer l'authentification avec OAuth

Une fois que vous avez configuré l'authentification, vos employés peuvent choisir s'ils souhaitent se connecter à Personio via OAuth ou en utilisant leurs identifiants Personio. Si vous souhaitez rendre obligatoire la connexion via OAuth pour tous les employés, cliquez sur le bouton Imposer OAuth.

settings-authentication-oauth-enforcement_fr.png

 

LDAP/Active Directory via OAuth 2.0

Si vous souhaitez intégrer Active Directory à votre compte Personio, vous devez implémenter cette option via un fournisseur d’identité. Le fournisseur d’identité sert d’interface OAuth entre Active Directory et Personio.

WSO2 Identity Server est un bon outil de gestion des identités et des accès. Vous pouvez le télécharger gratuitement ici

Si vous utilisez déjà l’un des fournisseurs suivants, vous pouvez également implémenter votre intégration OAuth par leur intermédiaire :  

 

Vous avez encore une question ?

Demandez à la Communauté Voir la FAQ