Aller au contenu principal

Comment pouvons-nous vous aider ?

En tant qu'administrateur, vous pouvez jeter un œil à la nouvelle expérience Personio!

Rendez-vous sur la page d'accueil et activez le bouton pour explorer la nouvelle plateforme RH intelligente, avec un design frais et de nouvelles fonctionnalités. Allez-y et testez librement — vos modifications ne seront pas visibles par vos employés pendant cette phase d'accès anticipé.

Configurer l’authentification unique (SSO) dans Personio avec Okta

Cet article explique comment configurer l’authentification unique (SSO) dans Personio avec Okta. Suivez les étapes pour terminer la configuration.

Comprendre l’authentification unique et OAuth

L’authentification unique vous permet de connecter Personio à un fournisseur d’identité tel que Microsoft Entra ID ou Okta. Personio prend en charge le protocole OAuth 2.0, une norme open source pour la délégation d’accès. Lors de la configuration, les utilisateurs s’authentifiez via un fournisseur d’identité. Il n'est pas obligé d'utiliser ses identifiants Personio. Si vous activez OAuth, les employés ayant un profil Personio peuvent se connecter à leur compte sans e-mail d’invitation.

Remarque :
lorsque vous configurez l’authentification unique avec Okta, les utilisateurs de application Personio ne sont pas automatiquement synchronisés avec Okta. Pour ce faire, vous devez configurer séparément l’intégration à Okta. En savoir plus sur notre intégration avec Okta

1. Créer une nouvelle application dans Okta

  1. Facultatif : ouvrez Personio et Okta dans deux onglets différents pour simplifier la configuration.
  2. Sur le tableau de bord d’administration Okta, accédez à APPLICATIONS > Applications.
  3. Cliquez sur Créer une intégration d’application.
  4. Dans la fenêtre Créer une nouvelle intégration d'application sélectionnez OIDC - OpenID Connect comme méthode de connexion. Sélectionnez Application Web comme type de application à intégrer avec Okta. Cliquez sur Suivant.
  5. Sous Nouvelle intégration Web > Paramètres généraux, saisissez le nom de l’intégration. Par exemple, saisissez « Personio » dans le champ Nom de l’intégration de l’application. Cochez la case Identifiants client .

  6. Dans Personio, accédez à Paramètres. Dans la section Intégrations , cliquez sur Authentification. Cliquez ensuite sur OAuth 2.0. Sous Paramètres du fournisseur, copiez l’URL qui se trouve dans le champ Rappel URI.
  7. Dans Okta, accédez à Nouvelle intégration Web > Paramètres généraux.Collez l'URL que vous avez copiée plus tôt dans le champ Rappel URI.Sous Attributions, sélectionnez le niveau d'accès approprié.
  8. Vous devez également saisir les adresses suivantes dans le champ sous URI de redirection de connexion :
  9. Enregistrez les modifications.

Conseil : si les utilisateurs doivent se connecter avec l’ app mobile Personio, vous devez également autoriser l’URLde rappel
suivante : https://auth.personio.de/providers/oauth/callback 

2. Créer et saisir des URI dans Personio

Pour créer tous les URI (Uniform Resource Identifier) afin de configurer OAuth 2.0, procédez comme suit :

  1. Dans le tableau de bord d’administration Okta, accédez à APPLICATIONS > Applications > Paramètres généraux.Copiez le domaine Okta "https://{yourOktaDomain}/oauth2". Le domaine Okta doit toujours se terminer par okta.com. Pour créer l’URI, vous devez utiliser le domaine standard (par exemple votreentreprise.okta.com). N’utilisez pas un domaine personnalisé qui n’inclut pas okta.com et qui a été configuré pour votre entreprise afin de créer l’URI. 
  2. Dans Personio, accédez à Paramètres. Dans la section Intégrations , cliquez sur Authentification. Cliquez ensuite sur OAuth 2.0.
  3. Sous Configuration, cliquez sur Modifier.

  4. Dans le champ Autorisation URI, collez le domaine Okta que vous avez copié plus tôt. Utilisez-le comme base pour créer l’URI (par exemple, « https://{yourOktaDomain}/oauth2/v1/authorize »).
  5. Dans le champ Jeton URI, saisissez https://{yourOktaDomain}/oauth2/v1/token.
  6. Sous Informations utilisateur URI, sélectionnez GET dans le menu déroulant. Collez le point de terminaison des informations utilisateur https://{yourOktaDomain}/oauth2/v1/userinfo dans le champ. Le système coche par défaut la case Ne pas lire les entités sur le jeton d’identification. Ainsi, le système lit les informations sur l’utilisateur, y compris l’adresse e-mail, dans l’URI des informations utilisateur au lieu de l’URI du jeton. Lorsque vous configurez OAuth avec Okta, vous devez cocher cette case.
  7. Dans le champ Portées , saisissez openid, email. Le champ « Email » contient l’adresse e-mail de l’utilisateur.
  8. Dans le tableau de bord d’administration Okta, accédez à APPLICATIONS > Applications > Paramètres généraux.Sous Identifiants client, copiez l'ID client.
  9. Revenez dans Personio. Dans le champ ID Client, collez l’ID client que vous avez copié précédemment depuis Okta.
  10. Retournez dans Okta.Sous Identifiants client, copiez la clé secrète client.
  11. Revenez dans Personio. Dans le champ Clé secrète client, collez la clé secrète client que vous avez copié précédemment depuis Okta.
  12. Dans Champ de demande, sélectionnez Utiliser la valeur par défaut.

Configurer les champs de l’émetteur et des JWKs

  • L’émetteur est l’identifiant de l’émetteur du serveur d’autorisation dans la réponse d’autorisation. Dans ce champ, saisissez la valeur du champ de l’émetteur de la configuration . bien-connu/openid-configuration le point de terminaison de votre fournisseur SSO.
  • L’URI des ensembles de clés Web de JSON (JWKs) est l’URI de connaissance pour un ensemble de clés publiques. Ces clés vérifient tous les jetons Web JSON (JWT) émis par le serveur d’autorisation. Dans ce champ, saisissez la valeur du champ jwks_URI de la configuration . bien-connu/openid-configuration le point de terminaison de votre fournisseur SSO.

Vous trouverez les champs de l’ document de votre fournisseur SSO. Vous pouvez généralement y accéder via l’une de ces URL :

Conseil :
pour en savoir plus sur la création d’URI, consultez le document de référence d’Okta,OpenID Connect & OAuth 2.0 API.

3. Vérifier et tester

  1. Vérifiez les données que vous avez saisies dans Personio.
  2. Apportez les modifications nécessaires.
  3. Pour tester la connexion OAuth, cliquez sur Effectuer un test de configuration.
  4. Vous devez vous connecter à Okta. En cas d'erreur, un message apparaît pour vous aider à résoudre le problème.

Pour utiliser l’authentification unique, les employés doivent avoir un profil d’utilisateur dans Okta et dans Personio. L’adresse e-mail saisie dans Okta sous Directory > Personnel > Primaire doit correspondre à l’adresse e-mail utilisée dans Personio.

Facultatif : Imposer l'authentification unique avec Okta

Une fois que vous avez configuré l’authentification unique avec Okta, la connexion via OAuth est facultative. Les employés peuvent choisir de se connecter à Personio en utilisant leurs identifiants Personio ou via OAuth. Pour rendre obligatoire la connexion via OAuth pour tous les employés, cliquez sur Imposer OAuth. 

Aidez-nous à nous améliorer. Cette page est-elle utile ?