Questo articolo spiega come integrare Okta con Personio. Una volta connesso, Okta facilita l'onboarding e l'offboarding dei dipendenti e le relative modifiche alle loro informazioni. L'integrazione aggiorna automaticamente Okta con le informazioni aggiornate di Personio per gestire i diversi accessi concessi ai dipendenti attraverso Okta.
Nota
La sincronizzazione funziona solo da Personio a Okta. Quando aggiorni le informazioni in Okta, queste non vengono sincronizzate automaticamente in Personio.
Prerequisiti per un'integrazione di successo
Prima di iniziare il processo di integrazione, assicurati di:
- Disporre di un ruolo amministratore o dei diritti di modifica per l'integrazione e di marketplace e l'API su Personio tramite Impostazioni > Persone > Ruoli dipendente > Diritti di accesso > Configurazione account > Integrazione di marketplace e API.
- Disporre del token API di Okta, generato dall'amministratore di Okta.
- La casella di controllo Tray.io, Inc è attivata tramite Impostazioni > Supporto > Abbonamento e fatturazione > Informazioni sulla protezione dei dati.
- Per creare un profilo su Okta, il profilo dipendente su Personio deve contenere gli attributi Nome, Cognome ed E-mail.
Connettere e autenticare Okta
Configura l'integrazione Okta direttamente nel Marketplace di Personio con la procedura guidata di configurazione. È necessario disporre di un token API e di un dominio Okta, da inserire in Personio. Segui queste istruzioni:
- Vai su Marketplace in Personio, quindi cerca e seleziona l'integrazione Okta.
- Fai clic su Connetti per aprire la procedura guidata di configurazione.
- Inserisci il tuo Token API (il valore del token generato nella Okta Admin Console) e il Dominio. Se hai più domini, scegli quello relativo a Personio. Puoi utilizzare un solo dominio per questa integrazione.
- Fai clic su Avanti per passare alla seconda fase della procedura guidata di configurazione e autenticare Personio.
Autentica Personio
Durante la seconda fase della procedura guidata di configurazione, devi concedere all'integrazione Okta l'accesso ai dati necessari di Personio. Segui queste istruzioni:
- Controlla le autorizzazioni richieste dall'integrazione Okta.
- Fai clic su Avanti per passare al terzo passo della procedura guidata di configurazione e definire lo schema di accesso.
Personio consente a Okta di leggere almeno i seguenti attributi di sistema:
- Nome
- Cognome
- Data di assunzione
- Data di risoluzione
- Stato
- Creato in data (questa è la data in cui è stato creato il profilo del dipendente ed è necessario per la sincronizzazione iniziale)
Suggerimento
Puoi rivedere le autorizzazioni concesse dopo il processo di configurazione accedendo a Marketplace > Vedi le integrazioni connesse. Il pulsante si trova nell'angolo in alto a destra della pagina Marketplace.
Definire lo schema di accesso
Il terzo passaggio della procedura di configurazione guidata richiede di scegliere il formato dello schema di accesso in cui verranno creati i nuovi accessi. Segui queste istruzioni:
- Scegli la prima parte delle credenziali di accesso
- Aggiungi un segno grafico di separazione
- Scegli Fine accesso (Se preferisci non aggiungere un separatore e fine accesso, inserisci Nessuno per entrambe le opzioni e assicurati di aver selezionato anche Campo completo o Prima lettera per il fine accesso.)
- Inserisci il dominio Okta preferito
- Fai clic su Avanti per andare alla quarta fase della procedura guidata di configurazione e mappare gli attributi.
Nota
Nel caso in cui venga aggiunto un dipendente con gli stessi valori per gli attributi scelti, Okta crea un profilo con lo schema di accesso: "LoginBeginning[Separator]LoginEnd_EmployeeID@domain" (ad es.: johndoe_12345@demo.com).
Mappa attributi
La quarta fase della configurazione guidata richiede di scegliere gli attributi di Okta che si desidera mappare con gli attributi di Personio. In questo passaggio puoi anche decidere se automatizzare l'attivazione degli utenti alla data di assunzione. Segui queste istruzioni:
- Esamina tutti gli attributi e assicurati che ogni attributo di Personio corrisponda ad uno su Okta.
- Fai clic su Aggiungi nuovo attributo per includere altri attributi.
- Fai clic su Fine.
La configurazione dell'integrazione è completa.
Flussi di lavoro Okta
Collegamento degli utenti
Una volta impostata l'integrazione, inizierà il flusso di collegamento degli utenti. Mappa l'attributo e-mail primario di Okta con gli attributi e-mail di Personio.
- Se l'attributo e-mail di Personio corrisponde all'attributo e-mail primario di Okta, l'integrazione aggiungerà l'ID dipendente di Personio corrispondente al campo Numero dipendente di Okta.
- L'ID dipendente diventa il connettore che l'integrazione prenderà in considerazione in tutti i futuri flussi di lavoro di aggiornamento e deprovisioning degli utenti.
- Se non c'è corrispondenza, sarà necessario effettuare una mappatura manuale. Vedi Mappare manualmente i profili.
Nota
I profili Okta corrispondenti con stato "Inattivo" non verranno considerati nel processo di collegamento iniziale degli utenti.
Mappare manualmente i profili
I profili senza corrispondenza richiedono una mappatura manuale. Segui queste istruzioni:
- Identifica il profilo Okta che corrisponde a un profilo dipendente in Personio.
- Apri il profilo dipendente in Personio e individua l'ID dipendente generato dal sistema.
- Accedi al profilo dipendente di interesse su Personio.
- Copia il numero alla fine dell'URL del profilo dipendente.
- Incolla il numero nel campo dell'attributo Numero dipendente in Okta.
Provisioning degli utenti
- I profili Personio non mappati nella sincronizzazione iniziale vengono forniti in Okta.
- L'integrazione trasferisce l'ID dipendente di Personio nel campo Numero dipendente del profilo Okta e crea il nome utente in base allo schema di accesso impostato. (consulta Definire lo schema di accesso). Il flusso di lavoro di aggiornamento dell'utente popolerà il profilo.
Affinché il provisioning avvenga, il profilo dipendente di Personio deve:
- avere i campi Nome, Cognome ed e-mail compilati.
- non avere stato "Inattivo".
Nota
Le dieresi nei nomi vengono trasformate in UPN in Microsoft Entra ID in base al paese di fatturazione. Per i clienti della regione DACH (ad esempio, la Germania), le dieresi vengono trasformate nella loro grafia alternativa: ä → ae, ö → oe, ü → ue, ß → ss. Per tutti gli altri Paesi, le dieresi vengono eliminate: ad esempio, ä → a.
Aggiornamento degli utenti
Affinché questo flusso di lavoro venga eseguito correttamente, l'ID dipendente deve essere presente nel profilo utente Okta.
Ogni 30 minuti, Okta esegue il flusso di lavoro di aggiornamento degli utenti per verificare se gli attributi mappati durante il processo di configurazione sono cambiati in Personio. Se un attributo viene modificato, l'attributo mappato verrà automaticamente aggiornato in Okta.
Queste informazioni sulle modifiche possono essere utilizzate da Okta per concedere o revocare i diritti di accesso a strumenti specifici in base alle modifiche. Le modifiche vengono trasferite solo da Personio a Okta. Se modifichi manualmente un attributo in Okta, non viene aggiornato automaticamente in Personio.
Nota
Le modifiche vengono trasferite solo da Personio a Okta. Se modifichi manualmente un attributo in Okta, non viene aggiornato automaticamente in Personio.
Deprovisioning degli utenti
Quando l'attributo Stato di un dipendente in Personio diventa Inattivo, lo stato dell'utente in Okta passa da "Attivo" a "Disattivato". Puoi modificare manualmente l'attributo Stato su Personio, altrimenti cambierà automaticamente quando un dipendente supera la data di risoluzione.
Il dipendente non potrà più accedere ai propri account, ma il suo profilo non verrà eliminato. In questo modo è possibile mantenere l'accesso ai suoi dati e ai servizi collegati, ad esempio le caselle di posta elettronica.
Per saperne di più su come automatizzare la gestione delle identità e degli accessi integrandola con Personio, leggi l'articolo del Centro assistenza Gestione dell'identità e dell'accesso.