Questo articolo spiega come impostare l'integrazione di Microsoft Entra ID con Personio. Una volta connessa, l' integrazione Microsoft Entra ID facilita i processi di onboarding e offboarding della tua azienda . Sincronizza automaticamente le modifiche alle informazioni sui dipendente in Personio (ad esempio, i cambiamenti di ruolo o dipartimento ) con l'ID utente corrispondente in Microsoft Entra ID. Aggiorna Microsoft Entra ID con le ultime informazioni di Personio. Con questa integrazione , puoi gestire i diritti di accesso o le attrezzature dei dipendente .
Nota:
la sincronizzazione automatica funziona solo da Personio a Microsoft Entra ID. L'aggiornamento delle informazioni in Microsoft Entra ID non attiva la sincronizzazione automatica in Personio.
Prerequisiti per un'integrazione di successo
Prima di iniziare il processo di integrazione, assicurati di:
- Disponi di un ruolo di amministratore o dei diritti di modifica per il Marketplace in Personio. Impostalo in Impostazioni > Persone > Ruoli dipendente > Diritti diaccesso > Configurazione account > integrazione Marketplace.
- Disponi dei diritti di amministratore di autenticazione privilegiata per Microsoft Entra ID. Non è necessario disporre dei diritti di amministratore globale. A partire da ottobre 2024, l' integrazione richiede autorizzazioni ridotte. Per dettagli, consulta Verifica autorizzazioni di integrazione.
- Devi selezionare Tray.io, Casella di controllo Inc. Puoi trovarlo in Impostazioni > Supporto > Abbonamento e fatturazione > Informazioni sulla protezione dei dati.
Connettere e autenticare Microsoft Entra ID
Configurare l' integrazione Microsoft Entra ID nel Marketplace. Segui queste istruzioni:
- Vai su Marketplace in Personio.
- Cerca e seleziona l' integrazione Microsoft Entra ID.
- Fai clic su Connetti per aprire la configurazione guidata.
- Inserisciil tuo ID tenant Microsoft Entra ID .
- Vai al fase successivo e autenticare Microsoft Entra ID.
Autenticare Microsoft Entra ID
È necessario autenticare Microsoft Entra ID account Microsoft collegato.
- Segui i passaggi descritti nella procedura di configurazione guidata.
- Autenticare Microsoft Entra ID
- Vai al fase successivo e autenticare Personio.
Autentica Personio
Devi concedere integrazione l'accesso ai dati necessari di Personio. Segui queste istruzioni:
- Esamina le autorizzazioni richieste dall'integrazione Microsoft Entra ID.
- Vai alla fase successiva e definisci lo schema UPN.
Definire lo schema UPN
Scegli il formato del nome del principio utente (UPN) per la creazione di nuovi accessi. Questa è generalmente l'e e-mail aziendale. Ad esempio, "john.doe@demo.com".
- Crea lo schema UPN selezionando un UPN che inizia tra gli attributi disponibili, ad esempio "Nome". Quindi, decidi se utilizzare l'intero campo o la prima lettera.
- Facoltativo: aggiungi un separatore (ad es ".")
- Aggiungi una fine UPN (ad es "Cognome")
- Seleziona un dominio Microsoft Entra ID preferito (ad es "demo.com").
- Vai alla fase successiva e mappa gli attributi.
Se preferisci non aggiungere un separatore e un UPN End, inserisci Nessuno per entrambe le opzioni. Assicurati di selezionare anche Campo intero o Prima lettera per la fine dell'UPN.
Nota:
caso aggiungi un dipendente con gli stessi valori per gli attributi scelti, Microsoft Entra ID crea un profilo con lo schema UPN: UPNBeginning[Separator]UPNEnd_EmployeeID@domain (ad es. johndoe_12345@demo.com).
Mappa attributi
Seleziona gli attributi di Microsoft Entra ID da sincronizzare con Personio. Segui queste istruzioni:
- Rivedi tutti gli attributi. Assicurati che ogni attributo di Personio corrisponda attributo Microsoft Entra ID corrispondente .
- Aggiungi altri attributi se necessario.
- Fai clicsu Fine per completato la configurazione integrazione .
Non è possibile mappare tutti gli attributi di Personio sugli attributi personalizzati di Microsoft Entra ID. Puoi mappare gli attributi di Personio sui seguenti attributi di sistema Microsoft Entra ID:
- Numeri di telefono aziendali
- Città
- Nome dell'azienda
- Paese, dipartimento
- Nome visualizzato
- Tipo dipendente
- Nome
- Data di assunzione
- Titolo lavoro
- Manager
- Cellulare
- Ubicazione ufficio
- Codice postale
- Via
- Indirizzo
- Cognome
Flussi di lavoro di onboarding, offboarding e cambio di ruolo
Collegamento degli utenti
Una volta impostata l' integrazione, inizia il flusso di collegamento degli utenti. Mappa l' attributo UPN in Microsoft Entra ID con l' attributo e-mail in Personio. L' integrazione non collega i profili Microsoft Entra ID inattivi.
- Se l' attributo UPN in Microsoft Entra ID corrisponde attributoe-mail in Personio, l' integrazione aggiungerà l'"ID dipendente" di Personio corrispondente al campo attributo ID dipendente in Microsoft Entra ID.
- L'ID dipendente diventa il connettore per tutti i futuri aggiornamenti degli utenti e i flussi di lavoro di deprovisioning degli utenti.
- Il sistema effettua il provisioning di profili che non hanno un'e e-mail Personio corrispondente e non sono inattivi in Microsoft Entra ID.
Verifica le autorizzazioni integrazione
A partire da ottobre 2024, l' integrazione ha ridotto le autorizzazioni necessarie. Se utilizzi già l' integrazione e desideri utilizzare queste autorizzazioni ridotte, autentica nuovamente e imposta i diritti appropriati in Microsoft Entra ID. Fai riferimento alla sezione Prerequisiti per integrazione di successo.
Nota:
se l' integrazione non riesce ad aggiornare un utente perché ha un ruolo più privilegiato , assegnare un ruolo più alto app. Per ulteriori informazioni sui diritti di amministratore, consulta la documentazione di Microsoft su ruoli e privilegi.
Provisioning degli utenti
Se l' attributo e-mail di un dipendente in Personio non corrisponde a un attributo UPN nel tuo account Microsoft Entra ID :
- L' integrazione crea un nuovo profilo utente in Microsoft Entra ID.
- Personio trasferisce l'"ID dipendente" al rispettivo profilo.
- L' integrazione attiva il processo di creazione della password . Crea anche l'UPN in Microsoft Entra ID.
È necessario utilizzare l'UPN creato come accesso utente in Microsoft Entra ID. Puoi creare lo schema UPN in base alle tue esigenze.
Per creare un profilo in Microsoft Entra ID, il profilo dipendente in Personio deve:
- completato i campi Nome , Cognomeed E-mail.
- Non avere stato Inattivo .
Nota:
le dieresi nei nomi cambiano per l'UPN in Microsoft Entra ID a seconda del paese di fatturazione. Per i clienti della regione DACH (ad esempio, Germania), la dieresi viene modificata in un'ortografia alternativa: ä → ae, ö → oe, ü → ue, ß → ss. Per tutti gli altri paesi, il sistema rimuove le dieresi: ad esempio, ä → a.
Aggiornamento degli utenti
Affinché questo flusso di lavoro di lavoro abbia esito positivo, è necessario inserire l'ID dipendente nel profilo Microsoft Entra ID.
Ogni 30 minuti, Microsoft Entra ID esegue il flusso di flusso di lavoro di aggiornamento dell'utente . Controlla se gli attributi mappati durante il processo di configurazione sono stati modificati in Personio. Se un attributo cambia, il sistema aggiorna l' attributo mappato in Microsoft Entra ID.
Microsoft Entra ID può utilizzare queste informazioni per concedere o revocare i diritti di accesso a strumenti specifici. Le modifiche vengono trasferite solo da Personio a Microsoft Entra ID. Se modifichi manualmente un attributo in Microsoft Entra ID, questo non si aggiorna automaticamente in Personio.
Esempio
Un'azienda ha mappato l' attributo di sistema "Dipartimento" tra Personio e Microsoft Entra ID. Un dipendente cambia dipartimento, passando dal dipartimento Assistenza clienti al dipartimento Vendite. Il responsabile HR apporta questa modifica in Personio. Microsoft Entra ID riceve automaticamente una notifica della modifica. Revoca i diritti di accesso del dipendente allo strumento di assistenza clienti (ad esempio, Zendesk). Inoltre, consente loro di accedere al proprio strumento CRM (ad esempio, Salesforce).
Deprovisioning degli utenti
Microsoft Entra ID revoca l'autorizzazione di accesso di un dipendente quando il suo attributo Stato diventa Inattivo in Personio. Puoi modificare manualmente l' attributo Stato. Inoltre, cambia automaticamente quando un dipendente supera la data di risoluzione del rapporto di lavoro su Personio.
Il dipendente non può più accedere ai propri account, ma il sistema non eliminare l'utente. In questo modo è possibile mantenere l'accesso ai suoi dati e ai servizi collegati, ad esempio le caselle di posta elettronica.
Limitazioni
-
Configurazioni ibride Microsoft Entra ID/AD in locale
Personio supporta solo le configurazioni cloud complete. Non supporta le configurazioni ibride cloud/on-prem. Ciò significa che l' integrazione consente solo la creazione, l'aggiornamento e la disattivazione degli utenti in Microsoft Entra ID. -
Assegnazione di utenti ai gruppi
L'integrazione consente solo la creazione di utenti. Non aggiunge utenti ai gruppi. -
Write-back
degli attributi Il sistema invia tutti gli attributi selezionati nella tabella di mappatura da Personio a Microsoft Entra ID. L' integrazione non supporta la sincronizzazione da Microsoft Entra ID a Personio.
Scopri di più sull'automazione della gestione dell'identità e degli accessi integrandola con Personio.