Cet article explique comment configurer l’intégration Microsoft Entra ID avec Personio. Lorsqu’elle est connectée, l’intégration Microsoft Entra ID facilite les processus offboarding et d’offboarding de votre entreprise. Il synchronise automatiquement les modifications apportées aux informations sur les employés dans Personio (les changements de rôle ou de département, par exemple) avec l’ID utilisateur correspondant dans Microsoft Entra ID. Il met à jour Microsoft Entra ID avec les dernières informations qui sont stockées dans Personio. Avec cette intégration, vous pouvez gérer les droits d’accès ou le matériel des employés.

Remarque :
la synchronisation automatique s’effectue uniquement de Personio vers Microsoft Entra ID. La mise à jour des informations dans Microsoft Entra ID ne déclenche pas de synchronisation automatique dans Personio.

Conditions requises pour une intégration réussie

Avant de lancer le processus d’intégration, vérifiez les points suivants :

• Vous disposez d’un rôle d’administrateur ou des droits de modification sur la Marketplace dans Personio. Définissez cette option dans Paramètres > Personnel > Rôles > Droitsd’accès > Configuration du compte > Intégration Marketplace.
• Vous disposez des droits d’administrateur des rôles confidentiels pour Microsoft Entra ID. Vous n’avez pas besoin des droits d’administrateur globaux. Depuis octobre 2024, l’intégration nécessite des autorisations réduites. Pour plus de détails, consultez l'article sur les autorisations d'intégration.
• Vous devez sélectionner Tray.io, case à cocher Inc. Vous trouverez ces informations sous Paramètres > Support > Abonnement et facturation > Informations sur la protection des données.

Connexion et authentification Microsoft Entra ID

Configurer l’intégration Microsoft Entra ID dans la Marketplace. Procédez comme suit :

1. Accédez à Marketplace dans Personio.
2. Recherchez et sélectionnez l’intégration Microsoft Entra ID.
3. Cliquez sur Connecter pour ouvrir l’assistant de configuration.
4.  Saisissez votre ID de locataire Microsoft Entra ID.
5. Passez à l'étape suivante et authentifiez-vous Microsoft Entra ID.

Authentification Microsoft Entra ID

Vous devez authentifier Microsoft Entra ID à partir du compte Microsoft qui lui est lié.

1. Suivez les étapes décrites dans l’assistant de configuration.
2. Authentification Microsoft Entra ID
3. Passez à l'étape suivante et authentifiez Personio.

Authentification Personio

Vous devez accorder à l'intégration l'accès aux données Personio nécessaires. Procédez comme suit :

1. Passez en revue les autorisations requises par l’intégration Microsoft Entra ID.
2. Passez à l’étape suivante et définissez le schéma de l’UPN.

Définir le schéma de l’UPN

Choisissez le format du nom d’utilisateur principal (UPN) pour créer de nouvelles connexions. Il s’agit généralement de l’e-mail professionnel. Par exemple, « jean.dupond@demo.com ». 

1. Vous pouvez pré-attribuer des adresses e-mail ou les définir manuellement via un attribut Personio existant. Vous pouvez également configurer le format des adresses e-mail générées automatiquement en suivant les étapes ci-dessous.
2. Créez le schéma UPN en sélectionnant undébut d’UPN parmi les  attributs disponibles, tels que « Prénom ». Indiquez ensuite si vous souhaitez utiliser le champ entier ou la première lettre.
3. Facultatif : ajoutez un séparateur (par exemple « . »)
4. Ajoutez une fin d'UPN (par exemple « Nom »)
5. Sélectionner un domaine Microsoft Entra ID préféré (par exemple « demo.com »).
6. Poursuivez à l’étape suivante et affectez les attributs.

Si vous préférez ne pas ajouter de séparateur et de fin d'UPN, saisissez Aucun pour les deux options. Assurez-vous de sélectionner également le champ entier ou la première lettre pour la fin de l'UPN.

Remarque :
si vous ajoutez un employé ayant les mêmes valeurs pour les attributs choisis, Microsoft Entra ID crée un profil avec le schéma UPN suivant : DébutUPN[Séparateur]FinUPN_IDEmployé@domaine (par exemple jeandupond_12345@demo.com).

Affecter les attributs

Sélectionnez les attributs Microsoft Entra ID à synchroniser avec Personio. Procédez comme suit :

1. Passez en revue tous les attributs. Assurez-vous que chaque attribut Personio est associé à l’attribut Microsoft Entra ID correspondant.
2. Ajoutez d’autres attributs si nécessaire.
3. Cliquez sur Terminer pour terminerla configuration de l’intégration.

Vous ne pouvez pas mettre tous vos attributs dans Personio en correspondance avec les attributs personnalisés de Microsoft Entra ID. Vous pouvez mettre en correspondance vos attributs Personio avec ces attributs système Microsoft Entra ID :

• Téléphones professionnels
• Ville
• Nom de l'entreprise
• Pays, département
• Nom affiché
• Type d’employé
• Nom de naissance
• Date d’embauche
• Intitulé du poste
• E-mail
• Responsable
• Téléphone portable
• Emplacement des bureaux
• Code postal
• Rue
• Nom de famille

Workflows d’onboarding, d’offboarding et de changement de rôle

Correspondance des utilisateurs

Lorsque vous configurez l’intégration, le workflow de correspondance des utilisateurs commence. Il met en correspondance l'attribut UPN dans Microsoft Entra ID avec l'attribut E-mail dans Personio. L’intégration ne relie pas les profils Microsoft Entra ID inactifs.

• Si l'attribut UPN dans Microsoft Entra ID correspond à l'attribut E-mail dans Personio, l'intégration ajoute l' ID employé correspondant au champ d'attribut d'ID employé dans Microsoft Entra ID.  
• L'ID de l'employé devient le connecteur pour toutes les futures mises à jour et workflows de déprovisioning des utilisateurs.
• Le système provisionne les profils qui n'ont pas d'e-mail Personio correspondant et qui ne sont pas inactifs dans Microsoft Entra ID. 

Vérifier les autorisations d’intégration

Depuis octobre 2024, l'intégration a réduit les autorisations requises. Si vous utilisez déjà l’intégration et que vous souhaitez utiliser ces autorisations réduites, réauthentifiez-vous et définissez les droits appropriés dans Microsoft Entra ID. Reportez-vous aux conditions requises pour une intégration réussie.

Remarque :
si l’intégration ne permet pas de mettre à jour un utilisateur, car il dispose d’un rôle plus privilège, attribuez un rôle supérieur à l’ app. Pour plus d’informations sur les droits d’administrateur, consultez la documentation de Microsoft sur les rôles et les privilèges.

Provisioning des utilisateurs

Si l’attribut E-mail d’un employé dans Personio ne correspond pas à un attribut UPN dans votre compte Microsoft Entra ID :

• L’intégration crée automatiquement un profil d’utilisateur dans Microsoft Entra ID.
• Personio transfère l'employé « ID » au profil respectif.
• L’intégration déclenche le processus de création du mot de passe. Il crée également l'UPN dans Microsoft Entra ID.

Vous devez utiliser l’UPN créé comme connexion de l’utilisateur dans Microsoft Entra ID. Vous pouvez créer  le schéma UPN en fonction de vos besoins.

Pour créer un profil Entra ID, dans le profil de l’employé dans Personio :

• Les champs Prénom, Nom et E-mail de l’employé sont renseignés.
• L'employé ne doit pas avoir le  statut Inactif. 

Remarque :
les umlauts (trémas allemands) qui se trouveraient dans les noms changent pour l’UPN de Microsoft Entra ID en fonction de votre pays de facturation. Pour les clients de pays germanophones, les umlauts sont remplacés par leur orthographe alternative : ä → ae, ö → oe, ü → ue, ß → ss. Pour tous les autres pays, le système supprime les umlauts (par exemple, ä → a).

Mise à jour des utilisateurs

Pour que ce workflow fonctionne, vous devez saisir l’ID de l’employé dans le profil Microsoft Entra ID.

Toutes les 30 minutes, Microsoft Entra ID exécute le workflow de mise à jour des utilisateurs. Il vérifie si les attributs mappés au cours du processus de configuration ont changé dans Personio. Si un attribut change, le système met à jour l'attribut mappé dans Entra ID.

Microsoft Entra ID peut utiliser ces informations pour accorder ou révoquer les droits d'accès à des outils spécifiques. Les modifications sont uniquement transférées de Personio à Microsoft Entra ID. Un attribut modifié manuellement dans Microsoft Entra ID n’est pas automatiquement mis à jour dans Personio.

Exemple
Une entreprise a mis en correspondance l’attribut système « Département » entre Personio et Microsoft Entra ID. Un employé change de département et passe du service client au service commercial. Le responsable RH apporte cette modification dans Personio. Microsoft Entra ID reçoit automatiquement une notification concernant le changement. Il révoque les droits d'accès de l'employé à son outil de support client (par exemple, Zendesk). Il leur donne également accès à leur outil CRM (Salesplace, par exemple). 

Déprovisioning des utilisateurs

    Microsoft Entra ID révoque l’autorisation d’accès d’un employé lorsque son attribut Statut passe à Inactif dans Personio. Vous pouvez modifier manuellement l'attribut  Statut. Il change également automatiquement la date de cessation d’emploi définie dans Personio.

L’employé ne peut plus se connecter à son compte, mais le système ne supprime pas l’utilisateur. Vous pouvez toujours accéder à ses informations et à ses services connectés (comme ses boîtes de réception). 

Limites

• Configurations AD hybrides Microsoft Entra ID/sur
  site : Personio ne supporte que les configurations full cloud. Il ne prend pas en charge les configurations hybrides cloud/sur site. L’intégration ne permet donc que la création, la mise à jour et la désactivation des utilisateurs dans Microsoft Entra ID.
• Attribuer des utilisateurs à des groupes
  L’intégration permet uniquement de créer des utilisateurs. Il n’ajoute pas d’utilisateurs à des groupes.
• Transfert des attributsen retour Le système envoie tous les attributs sélectionnés dans la table de correspondance de Personio à Microsoft Entra ID.
  L’intégration ne prend pas en charge la synchronisation de Microsoft Entra ID avec Personio. 

En savoir plus sur l’automatisation de la gestion des identités et des accès grâce à l’intégration avec Personio.