Intégrer à Personio un fournisseur d’authentification

 

Cet article explique comment intégrer à votre compte Personio un système d’authentification tel que l’authentification unique Google (Google SSO) ou OAuth (Open Authorization) 2.0.

 

1. Authentification unique Google (Google SSO)

Lorsque l’authentification unique Google est activée, tous les employés dont l’adresse e-mail Google est stockée dans leur profil d’employé dans Personio peuvent se connecter à leur compte Personio via l’authentification Google. 

Pour activer Google SSO, procédez comme suit :

  1. Accédez à Paramètres > Intégrations > Authentification.
  2. Ouvrez l’onglet Google Auth.
  3. Cliquez sur (Modifier) et cochez la case Oui.
  4. Cliquez sur Soumettre.

settings-integrations-authentication-google_auth_fr.png

Lorsque vos employés lanceront Personio, un message leur confirmera que Google SSO est activé. Pour se connecter à Personio, l’employé pourra alors simplement cliquer sur Se connecter avec Google

login-google-sso_fr.png

Remarque
Comme les employés pourront se connecter à Personio dès que l’authentification unique sera activée, n’activez Google SSO qu’après avoir entièrement implémenté votre compte Personio. L’accès aux comptes Personio des employés est ensuite contrôlé via Google. Dès que Google SSO sera activé, l’employé ne pourra plus se connecter avec son nom d’utilisateur et son mot de passe Personio.

 

2. OAuth 2.0 

Remarque
Nous vous recommandons de consulter un administrateur informatique pour implémenter ce type d’authentification.

Personio prend en charge la connexion via le protocole OAuth 2.0. Vous bénéficiez alors d’une gestion sécurisée et normalisée de l’accès aux applications.

Pour configurer les paramètres OAuth 2.0 directement dans Personio, procédez comme suit :

  1. Accédez à Paramètres > INTÉGRATIONS > Authentification.
  2. Ouvrez l’onglet OAuth 2.0.
  3. Pour modifier les paramètres de configuration, cliquez sur (Modifier).
    Remarque : toutes les données que vous devez saisir dans les champs pour configurer les paramètres doivent provenir des paramètres de votre fournisseur OAuth.

    settings-authentication-configuration_fr.png
  4. Renseignez le champ Autorisation URI. Les utilisateurs seront redirigés vers la page URI d’autorisation lorsqu’ils cliqueront sur Se connecter avec OAuth.
  5. Renseignez le champ Jeton URI. Personio appellera ce point de terminaison pour obtenir un jeton afin de vérifier que les identifiants saisis sont corrects. 
  6. Sous Informations utilisateur URI, vérifiez que GET est sélectionné dans le menu déroulant.
  7. Collez le point de terminaison des informations utilisateur dans le champ Informations utilisateur URI. La case Ne pas lire les entités sur le jeton d’identification est cochée par défaut. Ainsi, les informations sur l’utilisateur, et plus précisément son adresse e-mail, seront lues lors de la connexion à partir de l’URI des informations utilisateur au lieu de l’URI de jeton. Remarque : si vous voulez que les informations sur l’utilisateur soient lues lors de la connexion à partir de l’URI de jeton au lieu de l’URI des informations utilisateur, désélectionnez la case Ne pas lire les entités sur le jeton d’identification, ce qui permettra d’implémenter OAuth avec Active Directory Federation Services (ADFS). 
  8. Renseignez le champ Portées. Ce champ indique comment les informations utilisateur sont transférées à Personio. Pour de nombreux fournisseurs OAuth, la valeur correcte pour ce champ est « openid, email ».
  9. Dans le champ ID Client, saisissez l’ID client qui sera utilisé pour l’authentification.
  10. Dans le champ Secret client, saisissez le secret client utilisé pour l’authentification.
  11. Dans Champ de demande, sélectionnez le champ de votre fournisseur OAuth où sont stockées les adresses e-mail de vos employés. Pour vérifier qu’un employé existe dans Personio, nous vérifierons si la valeur de ce champ correspond à l’adresse e-mail utilisée dans Personio. Vous avez le choix entre « email », « unique_name », « sub » et « upn ».

    Conseil :︎ si vous sélectionnez Utiliser la valeur par défaut, nous vérifierons les champs « email », « unique_name » et « sub » dans cet ordre jusqu’à ce que nous trouvions un champ contenant une valeur.

  12. Facultatif : dans le champ Authentication Context Class Reference, saisissez la référence de classe de contexte d’authentification. Cette référence correspond au champ acr_values de votre fournisseur OAuth. Cette référence peut être utilisée pour configurer des processus supplémentaires du côté de votre fournisseur d’identité, comme l’authentification à deux facteurs.
  13. Cliquez sur Envoyer.

 

Configurer la redirection vers l’URI de rappel dans votre fournisseur OAuth

Une fois que vous avez validé les paramètres de configuration, vous devez configurer la redirection vers l’URI de rappel dans les paramètres de votre fournisseur OAuth. Dans Personio, l’URI de rappel se trouve sous Paramètres du fournisseur.

 

settings-authentication-oauth_2.0-callback_uri_fr.png

 

Saisissez l’URI de rappel qui se trouve sous Paramètres du fournisseur dans Personio dans le champ correspondant des paramètres de votre fournisseur OAuth.

Si les utilisateurs se connectent à votre fournisseur OAuth via l’application Personio, vous devrez également placer sur liste blanche l’URL de rappel suivante comme client auprès de votre fournisseur OAuth :

https://auth.personio.de/providers/oauth/callback

Pour vérifier que l’authentification a bien été configurée, cliquez sur Tester la configuration

settings-authentication-oauth-test-configuration_fr.png

Vous serez invité à vous connecter à votre fournisseur OAuth. Pour vous aider à résoudre le problème, le message exact qui s’affichera en cas d’erreur sera indiqué.

Remarque
Les employés ne pourront se connecter avec OAuth que si l’adresse e-mail qui est transférée dans les attributs « email », « unique_name » ou « sub » à partir de votre fournisseur OAuth est la même que celle enregistrée dans le champ E-mail de l’employé dans Personio.

 

Application facultative de l’authentification OAuth

Une fois que vous avez configuré OAuth, la connexion via votre fournisseur d’authentification est facultative. Les employés ont le choix : ils peuvent se connecter à Personio en utilisant leurs données d’accès Personio ou via OAuth. Si vous voulez obliger tous les employés à se connecter avec OAuth, cliquez sur le bouton Imposer OAuth.

settings-authentication-oauth-enforcement_fr.png

 

3. LDAP/Active Directory via OAuth2

Remarque
Nous vous recommandons de consulter un administrateur informatique pour implémenter ce type d’authentification.

Si vous souhaitez intégrer Active Directory à votre compte Personio, vous devez implémenter cette option via un fournisseur d’identité. Le fournisseur d’identité sert d’interface OAuth entre Active Directory et Personio.

WSO2 Identity Server est un bon outil de gestion des identités et des accès. Vous pouvez le télécharger gratuitement ici

Si vous utilisez déjà l’un des fournisseurs suivants, vous pouvez également implémenter votre intégration OAuth par leur intermédiaire :  

 

En savoir plus

 

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.

    Sujets de cet article