Aller au contenu principal

Comment pouvons-nous vous aider ?

Retour

Configurer l'authentification unique (SSO) dans Personio avec Azure Active Directory

 

Cet article explique comment configurer l’authentification unique (SSO) dans Personio avec Azure Active Directory (AD).

L’authentification unique vous permet de connecter Personio à un fournisseur d’identité tel qu’Azure AD ou Okta. Personio prend en charge le protocole OAuth 2.0, une norme open source pour la délégation d’accès. Lorsque la configuration est correcte, les utilisateurs peuvent s’authentifier via un fournisseur d’identité sans avoir à utiliser les identifiants fournis par Personio.

Remarques
▶︎ Lorsque vous configurez l’authentification unique avec Azure AD, les utilisateurs de l’application Personio ne sont pas automatiquement synchronisés avec Azure.Pour ce faire, vous devez configurer séparément l’intégration à Azure.En savoir plus sur notre intégration avec Azure Active Directory.
▶︎ Même si la SSO est activée, vous devrez toujours envoyer un e-mail d'invitation à vos employés.Autrement, ils ne recevront pas les notifications par e-mail de Personio.

Pour configurer l’authentification unique dans Personio avec Azure AD, suivez les étapes ci-dessous.

 

1. Inscrire et créer une nouvelle application dans Azure AD

Conseil
Lorsque vous effectuez cette configuration, ouvrez l’application Personio et Azure AD dans deux onglets différents.

azure_ad-register_application-name-authentication_fr.png

  1. Dans le centre d’administration Azure AD, accédez à Azure Active Directory > Inscriptions d’applications.
  2. Pour inscrire une nouvelle application telle que Personio, cliquez sur Nouvelle inscription.
  3. Dans le champ Nom, saisissez le nom que vous voulez donner à l’application, par exemple Authentification unique Personio.
  4. Sous Types de compte pris en charge, sélectionnez le type de compte qui peut utiliser l’application ou accéder à l’API.
  5. Dans Personio, accédez à Paramètres > Intégrations > Authentification > OAuth 2.0.
  6. Sous Paramètres du fournisseur, copiez l’URL qui se trouve dans le champ Rappel URI
  7. Revenez dans Azure AD.Dans le champ URI de redirection, collez l’URI de rappel que vous avez copié au préalable dans Personio.
  8. Assurez-vous que le type de redirection est défini sur Web dans le menu déroulant. 
  9. Pour inscrire l’application, cliquez sur Inscrire.

Un message vous confirme alors que l’application a bien été créée avant de vous rediriger vers la nouvelle application.

Conseil
Si vous voulez que les utilisateurs puissent se connecter via l’application mobile Personio, vous devez également mettre sur liste blanche l’URL de rappel suivante : https://auth.personio.de/providers/oauth/callback

 

2. Copier les URI dans Personio

Une fois que vous avez créé l’application Personio, procédez comme suit pour copier l’URI d’autorisation et l’URI de jeton de Azure AD vers Personio et pour ajouter l’URI des informations utilisateur dans Personio.

Remarque
L’URI des informations utilisateur est défini par Microsoft : https://graph.microsoft.com/oidc/userinfo. Il n’est pas spécifique à votre domaine Azure AD. L’adresse https://graph.microsoft.com ne suffit pas.

  1. Dans la nouvelle application que vous avez créée dans Azure AD, accédez à Vue d’ensemble > Points de terminaison et cliquez sur Points de terminaison.

    azure_app-overview-endpoints-oauth_authorization_endpoint_fr.png
  2. Copiez la valeur qui se trouve dans le champ Point de terminaison d’autorisation OAuth 2.0 (v2).
  3. Dans Personio, accédez à Paramètres > Intégrations > Authentification > OAuth 2.0.
  4. Sous Configuration, cliquez sur Modifier.

    settings-authentication-configuration_fr.png
  5. Dans le champ Autorisation URI, collez la valeur que vous avez copiée précédemment depuis le champ Point de terminaison d’autorisation OAuth 2.0 (v2).
  6. Revenez à Vue d’ensemble >Points de terminaison dans Azure AD.Copiez la valeur qui se trouve dans le champ Point de terminaison du jeton OAuth 2.0 (v2).
  7. Revenez dans Personio. Collez la valeur dans le champ Jeton URI .
  8. Sous Informations utilisateur URI, sélectionnez « GET » dans le menu déroulant et collez le point de terminaison des informations utilisateur https://graph.microsoft.com/oidc/userinfo dans le champ. La case Ne pas lire les entités sur le jeton d’identification est cochée par défaut.Ainsi, les informations sur l’utilisateur, et plus précisément son adresse e-mail, seront lues lors de la connexion à partir de l’URI des informations utilisateur au lieu de l’URI de jeton.

    Remarque
    Si vous voulez que les informations sur l’utilisateur soient lues lors de la connexion à partir de l’URI de jeton au lieu de l’URI des informations utilisateur, désélectionnez la case, ce qui permettra d’implémenter OAuth avec Active Directory Federation Services (ADFS).

  9. Sous Portées, saisissez « openid, email ».

 

3. Inscrire une nouvelle clé secrète client

  1. Dans l'application que vous avez créée dans Azure AD, accédez à Gérer > Certificats et clés secrètes.
  2. Sélectionnez Clés secrètes clients.
  3. Le tiroir Ajouter une clé secrète client s’affiche.
  4. Dans le champ Description, donnez un nom à la clé secrète client et choisissez une date d’expiration dans le menu déroulant Date d’expiration.
  5. Cliquez sur Ajouter.
  6. La page qui s’affiche contient les identifiants de l’application. Copiez la valeur qui se trouve dans la colonne Valeur.

    azure_ad-manage-certificates_and_secrets-client_secrets_fr.png
  7. Dans Personio, accédez à Paramètres > Intégrations > Authentification > OAuth 2.0.
  8. Sous Configuration, cliquez sur Modifier.
  9. Dans le champ Clé secrète client, collez la valeur que vous avez copiée précédemment.
  10. Revenez dans Azure AD > Vue d’ensemble.Copiez la valeur qui se trouve sous ID application (client).
  11. Revenez dans Personio. Collez la valeur dans le champ ID client .

 

4. Sélectionner la demande

Dans Champ de demandesélectionnez le champ dans Azure AD où sont stockées les adresses e-mail de vos employés.Pour vérifier qu’un employé existe dans Personio, nous vérifierons si la valeur de ce champ correspond à l’adresse e-mail utilisée dans Personio.Selon votre configuration dans Azure, vous avez le choix entre « email », « unique_name », « sub » et « upn ».

azure-claimfield_fr.png

Conseils
▶︎ Si vous sélectionnez Utiliser la valeur par défaut, nous vérifierons les champs « email », « unique_name » et « sub » dans cet ordre jusqu’à ce que nous trouvions un champ contenant une valeur.
▶︎ Si les adresses e-mail de vos employés sont stockées dans le champ User Principal Name (UPN) dans Azure, sélectionnez « upn ».

 

5. Vérifier et tester

  1. Vérifiez les données que vous avez saisies dans Personio.
  2. Lorsque vous êtes sûr d’avoir saisi toutes les données correctement, cliquez sur Soumettre.
  3. Pour tester la connexion OAuth, cliquez sur Effectuer un test de configuration.

Vous serez invité à vous connecter à Azure AD. En cas d'erreur, un message s'affichera pour vous aider à résoudre le problème.

Remarque
Pour pouvoir utiliser l’authentification unique, les employés doivent avoir un profil d’utilisateur dans Azure AD et Personio. L’adresse e-mail saisie dans Azure AD dans le champ que vous avez sélectionné dans Champ de demande doit correspondre à l’adresse e-mail utilisée dans Personio.

 

Facultatif : Imposer l'authentification unique avec Azure AD

Une fois que vous avez configuré l'authentification unique avec Azure AD, la connexion via OAuth est facultative. Les employés ont le choix : ils peuvent se connecter à Personio en utilisant leurs identifiants Personio ou via OAuth.

Si vous souhaitez rendre obligatoire la connexion via OAuth pour tous les employés, cliquez sur le bouton Imposer OAuth.

Vous avez encore une question ?

Demandez à la Communauté Voir la FAQ