Aller au contenu principal

Comment pouvons-nous vous aider ?

En tant qu'administrateur, vous pouvez jeter un œil à la nouvelle expérience Personio!

Rendez-vous sur la page d'accueil et activez le bouton pour explorer la nouvelle plateforme RH intelligente, avec un design frais et de nouvelles fonctionnalités. Allez-y et testez librement — vos modifications ne seront pas visibles par vos employés pendant cette phase d'accès anticipé.

Configurer l'authentification unique (SSO) dans Personio avec Microsoft Entra ID

Cet article explique comment configurer l’authentification unique (SSO) dans Personio avec Microsoft Entra ID. Suivez les étapes pour terminer la configuration.

Comprendre l’authentification unique et OAuth

L’authentification unique vous permet de connecter Personio à un fournisseur d’identité tel que Microsoft Entra ID ou Okta. Personio prend en charge le protocole OAuth 2.0, une norme open source pour la délégation d’accès. Lors de la configuration, les utilisateurs s’authentifiez via un fournisseur d’identité. Il n'est pas obligé d'utiliser ses identifiants Personio. Si vous activez OAuth, les employés ayant un profil Personio peuvent se connecter à leur compte sans e-mail d’invitation.

Remarque :
lorsque vous configurez l’authentification unique avec Microsoft Entra ID, les utilisateurs de application Personio ne sont pas automatiquement synchronisés avec Microsoft Entra ID. Pour ce faire, vous devez configurer séparément l’intégration à Microsoft Entra ID. En savoir plus sur notre intégration avec Microsoft Entra ID.

1. Inscrire et créer une nouvelle application dans Microsoft Entra ID

  1. Facultatif : ouvrez Personio et Microsoft Entra ID dans deux onglets différents pour simplifier la configuration.
  2. Dans le centre d’administration Microsoft Entra ID, accédez à Microsoft Entra ID > Enregistrements des applications.
  3. Pour inscrire une nouvelle application telle que Personio, cliquez sur Nouvelle inscription.

  4. Dans le champ Nom, saisissez le nom que vous voulez donner à l’application, par exemple Authentification unique Personio.
  5. Sous Types de compte pris en charge, sélectionnez le type de compte qui peut utiliser l’application ou accéder à l’API.
    Pour des raisons de sécurité, nous recommandons de sélectionner des comptes dans cet annuaire organisationnel uniquement (locataire unique). Autrement, les utilisateurs d'autres locataires pourraient être en mesure de se connecter aux comptes Personio.
  6. Dans Personio, accédez à Paramètres. Dans la section Intégrations , cliquez sur Authentification. Cliquez ensuite sur OAuth 2.0.
  7. Sous Paramètres du fournisseur, copiez le texte à côté de Rappel URI
  8. Revenez dans Microsoft Entra ID. Dans le champ URI de redirection, collez l’URI de rappel que vous avez copié au préalable dans Personio.
  9. Vous devez également saisir l’adresse suivante dans le champ sous Redirection URI :
  10. Assurez-vous de sélectionner Web dans le menu déroulant comme type de redirection. 
  11. Enregistrez la application.

Un message de confirmation apparaît et le système vous redirige vers la nouvelle application.

Conseil :
pour utiliser l’authentification unique dans l’ app mobile Personio, ajoutez cet URI de rappel aux URI de redirection dans Entra ID : https://auth.personio.de/providers/oauth/callback

2. Copier les URI dans Personio

Après avoir créé l' application Personio, vous devez copier l'URI d'autorisation et l'URI de jeton de Microsoft Entra ID vers Personio. Vous devez également ajouter l’URI des informations utilisateur à Personio.

Remarque :
Microsoft définit l’URI des informations utilisateur : https://graph.microsoft.com/oidc/userinfo. Il n'est pas spécifique à votre domaine Microsoft Entra ID. L’adresse https://graph.microsoft.com ne suffit pas.

  1. Dans la nouvelle candidature que vous avez créée dans Microsoft Entra ID, accédez à Vue d'ensemble > Points de terminaison et cliquez sur Points de terminaison.

  2. Copiez la valeur qui se trouve dans le champ Point de terminaison d’autorisation OAuth 2.0 (v2).
  3. Dans Personio, accédez à Paramètres. Dans la section Intégrations , cliquez sur Authentification. Cliquez ensuite sur OAuth 2.0.
  4. Sous Configuration, cliquez sur Modifier.

  5. Dans le champ Autorisation URI, collez la valeur que vous avez copiée précédemment depuis le champ Point de terminaison d’autorisation OAuth 2.0 (v2).
  6. Revenez à Vue d’ensemble >Points de terminaison dans Microsoft Entra ID.Copiez la valeur qui se trouve dans le champ Point de terminaison du jeton OAuth 2.0 (v2).
  7. Revenez dans Personio. Collez la valeur dans le champ Jeton URI .
  8. Sous Informations utilisateur URI, sélectionnez GET dans le menu déroulant. Collez le point de terminaison des informations utilisateurhttps://graph.microsoft.com/oidc/userinfo dans le champ. Le système coche par défaut la case Ne pas lire les entités sur le jeton d’identification. Ainsi, le système lit les informations sur l’utilisateur, y compris l’adresse e-mail, dans l’URI des informations utilisateur lors de la connexion, et non dans l’URI du jeton. Cochez la case si vous souhaitez lire les informations sur l’utilisateur dans l’URI de jeton lors de la connexion au lieu de l’URI des informations utilisateur. OAuth peut ainsi être utilisé avec Active Directory Federation Services (ADFS).
  9. Sous Portées, saisissez « openid, email ».

Configurer les champs de l’émetteur et des JWKs

  • L’émetteur est l’identifiant de l’émetteur du serveur d’autorisation dans la réponse d’autorisation. Dans ce champ, saisissez la valeur du champ de l’émetteur de la configuration . bien-connu/openid-configuration le point de terminaison de votre fournisseur SSO.
  • L’URI des ensembles de clés Web de JSON (JWKs) est l’URI de connaissance pour un ensemble de clés publiques. Ces clés vérifient tous les jetons Web JSON (JWT) émis par le serveur d’autorisation. Dans ce champ, saisissez la valeur du champ jwks_URI de la configuration . bien-connu/openid-configuration le point de terminaison de votre fournisseur SSO.

Vous trouverez les champs de l’ document de votre fournisseur SSO. Vous pouvez généralement y accéder via l’une de ces URL :

3. Inscrire une nouvelle clé secrète client

  1. Dans l'application que vous avez créée dans Microsoft Entra ID, accédez à Gérer > Certificats et clés secrètes.
  2. Sélectionnez Clés secrètes clients.
  3. Le volet Ajouter une clé secrète de client s’affiche.
  4. Dans le champ Description, saisissez le nom de la clé secrète client. Choisissez ensuite une date d’expiration dans le menu déroulant Expire.
  5. Cliquez sur Ajouter.
  6. Une page présente les identifiants de application . Copiez la valeur qui se trouve dans la colonne Valeur.

  7. Dans Personio, accédez à Paramètres. Dans la section Intégrations , cliquez sur Authentification. Cliquez ensuite sur OAuth 2.0.
  8. Sous Configuration, cliquez sur Modifier.
  9. Dans le champ Clé secrète client, collez la valeur que vous avez copiée précédemment.
  10. Revenez dans Microsoft Entra ID > Vue d'ensemble. Copiez la valeur de l'ID Application (client).
  11. Revenez dans Personio. Collez la valeur dans le champ ID client .

4. Sélectionner la demande

Sous Champ de demande, sélectionnez le champ dans Microsoft Entra ID contenant les adresses e-mail de vos employés. Pour vérifier qu’un employé existe dans Personio, nous vérifierons si la valeur de ce champ correspond à l’adresse e-mail utilisée dans Personio. Selon votre configuration dans Microsoft Entra ID, vous avez le choix entre « email », « unique_name », « sub » et « upn ».

Conseil
Si vous sélectionnez Utiliser la valeur par défaut, nous vérifierons les champs « email », « unique_name » et « sub » dans cet ordre jusqu’à ce que nous trouvions un champ contenant une valeur. Si les adresses e-mail de vos employés se trouvent dans le champ User Principal Name (UPN) dans Microsoft Entra ID, sélectionnez « upn ».

5. Vérifier et tester

  1. Vérifiez les données que vous avez saisies dans Personio.
  2. Apportez les modifications nécessaires.
  3. Pour tester la connexion OAuth, cliquez sur Effectuer un test de configuration.
  4. Vous devez vous connecter à Microsoft Entra ID. En cas d'erreur, un message apparaît pour vous aider à résoudre le problème.

Pour utiliser l’authentification unique, les employés doivent avoir un profil d’utilisateur dans Microsoft Entra ID et Personio. L’adresse e-mail saisie dans Microsoft Entra ID dans le champ que vous avez sélectionné sous Champ de demande doit correspondre à l’adresse e-mail utilisée dans Personio.

Facultatif : imposer l’authentification unique avec Microsoft Entra ID

Une fois que vous avez configuré l'authentification unique avec Microsoft Entra ID, la connexion via OAuth est facultative. Les employés peuvent choisir de se connecter à Personio en utilisant leurs identifiants Personio ou via OAuth. Pour rendre obligatoire la connexion via OAuth pour tous les employés, cliquez sur Imposer OAuth.

Aidez-nous à nous améliorer. Cette page est-elle utile ?