Cet article explique comment configurer l’authentification unique (SSO) dans Personio avec Okta.
L’authentification unique vous permet de connecter Personio à un fournisseur d’identité tel que Microsoft Entra ID ou Okta. Personio prend en charge le protocole OAuth 2.0, une norme open source pour la délégation d’accès. Lorsque la configuration est correcte, les utilisateurs peuvent s’authentifier via le fournisseur d’identité sans avoir à utiliser les identifiants fournis par Personio.
Remarques
▶︎ Lorsque vous configurez l’authentification unique avec Okta, les utilisateurs de l’application Personio ne sont pas automatiquement synchronisés avec Okta. Pour ce faire, vous devez configurer séparément l’intégration à Okta. En savoir plus sur notre intégration avec Okta.
▶︎ Si OAuth est activé, l'employé ayant un profil Personio sera en mesure de se connecter à son compte même sans e-mail d'invitation.
Pour configurer l’authentification unique dans Personio avec Okta, suivez les étapes ci-dessous.
1. Créer une nouvelle application dans Okta
Conseil
Lorsque vous effectuez cette configuration, ouvrez l’application Personio et Okta dans deux onglets différents.
- Sur le tableau de bord d’administration Okta, accédez à APPLICATIONS > Applications.
- Cliquez sur Créer une intégration d’application.
- Dans la fenêtre Créer une nouvelle intégration d'application sélectionnez OIDC - OpenID Connect comme méthode de connexion. Sélectionnez Application Web comme type de l’application à intégrer avec Okta. Cliquez sur Next.
- Sous Nouvelle intégration Web > Paramètres généraux, saisissez le nom de l’intégration, par exemple « Personio », dans le champ Nom de l’intégration d’application. Cochez la case Identifiants client .
- Dans Personio, accédez à Paramètres > Intégrations > Authentification > OAuth 2.0.Sous Paramètres du fournisseur, copiez l’URL qui se trouve dans le champ Rappel URI.
- Dans Okta, accédez à Nouvelle intégration Web > Paramètres généraux.Collez l'URL que vous avez copiée plus tôt dans le champ Rappel URI.Sous Attributions, sélectionnez le niveau d'accès approprié.
- Vous devez également saisir les adresses suivantes dans le champ sous URI de redirection de connexion: https://login.personio.de/login/callback
https://login.personio.com/login/callback - Cliquez sur Enregistrer.
Conseil
si vous voulez que les utilisateurs puissent se connecter via l’application mobile Personio, vous devez également mettre sur liste blanche l’URL de rappel suivante : https://auth.personio.de/providers/oauth/callback
2. Créer et saisir des URI dans Personio
Pour créer tous les URI (Uniform Resource Identifier) nécessaires pour configurer OAuth 2.0, procédez comme suit.
- Dans le tableau de bord d’administration Okta, accédez à APPLICATIONS > Applications > Paramètres généraux.Copiez le domaine Okta https://{yourOktaDomain}/oauth2.
Remarque
Le domaine Okta doit toujours se terminer par okta.com.Pour créer l’URI, vous devez utiliser le domaine standard (par exemple votreentreprise.okta.com).N’utilisez pas un domaine personnalisé qui n’inclut pas okta.com et qui a été configuré pour votre entreprise afin de créer l’URI. - Dans Personio, accédez à Paramètres > Intégrations > Authentification > OAuth 2.0.
- Sous Configuration, cliquez sur Modifier.
- Dans le champ Autorisation URI, collez le domaine Okta que vous avez copié précédemment et utilisez-le comme base pour créer l’URI (par exemple https://{yourOktaDomain}/oauth2/v1/authorize).
- Dans le champ Jeton URI, saisissez https://{yourOktaDomain}/oauth2/v1/token.
- Sous Informations utilisateur URI, sélectionnez « GET » dans le menu déroulant et collez le point de terminaison des informations utilisateur https://{yourOktaDomain}/oauth2/v1/userinfo. La case Ne pas lire les entités sur le jeton d’identification est cochée par défaut. Ainsi, les informations sur l’utilisateur, et plus précisément son adresse e-mail, seront lues lors de la connexion à partir de l’URI des informations utilisateur au lieu de l’URI de jeton.
Remarque
Lors que vous configurez OAuth avec Okta, cette case à cocher doit être sélectionnée. - Dans le champ Portées , saisissez openid, email. L'élément Email représente le champ dans lequel l’adresse e-mail de l’utilisateur est enregistrée.
- Dans le tableau de bord d’administration Okta, accédez à APPLICATIONS > Applications > Paramètres généraux.Sous Identifiants client, copiez l'ID client.
- Revenez dans Personio. Dans le champ ID Client, collez l’ID client que vous avez copié précédemment depuis Okta.
- Retournez dans Okta.Sous Identifiants client, copiez la clé secrète client.
- Revenez dans Personio. Dans le champ Clé secrète client, collez la clé secrète client que vous avez copié précédemment depuis Okta.
- Dans Champ de demande, sélectionnez Utiliser la valeur par défaut.
3. Vérifier et tester
- Vérifiez les données que vous avez saisies dans Personio.
- Lorsque vous êtes sûr d’avoir saisi toutes les données correctement, cliquez sur Soumettre pour enregistrer les données.
- Pour tester la connexion OAuth, cliquez sur Effectuer un test de configuration.
Vous serez invité à vous connecter à Okta. En cas d'erreur, un message s'affichera pour vous aider à résoudre le problème.
Remarque
Pour pouvoir utiliser l’authentification unique, les employés doivent avoir un profil d’utilisateur dans Okta et dans Personio. L’adresse e-mail saisie dans Okta sous Répertoire > Personnes > E-mail principal doit correspondre à l’adresse e-mail utilisée dans Personio.
Facultatif : Imposer l'authentification unique avec Okta
Une fois que vous avez configuré l'authentification unique avec Okta, la connexion via OAuth est facultative. Les employés ont le choix : ils peuvent se connecter à Personio en utilisant leurs identifiants Personio ou via OAuth.
Si vous souhaitez rendre obligatoire la connexion via OAuth pour tous les employés, cliquez sur le bouton Imposer OAuth.
En savoir plus
Pour en savoir plus sur la création d’URI, consultez le document de référence d’Okta OpenID Connect & OAuth 2.0 API (en anglais).