Vai al contenuto principale

Come possiamo aiutarti?

Come Amministratore, puoi dare un'occhiata al nuovo Personio!

Vai alla homepage e attiva l'interruttore per esplorare la nuova piattaforma HR intelligente, con un design fresco e nuove funzionalità. Puoi testare liberamente: le tue modifiche non saranno visibili ai tuoi dipendenti durante questa fase di accesso anticipato.

Questo articolo è stato tradotto automaticamente. Nonostante il nostro impegno per l’accuratezza dei contenuti, l’articolo potrebbe contenere alcune imprecisioni. Vi ringraziamo per la comprensione.

Configurazione del Single Sign-On (SSO) in Personio con Microsoft Entra ID

L'articolo spiega come configurare il Single Sign-On (SSO) in Personio con Microsoft Entra ID. Segui le istruzioni per completato la configurazione.

Comprendere SSO e OAuth

Il Single Sign-On consente di collegare Personio a un provider di identità come Microsoft Entra ID o Okta. Personio supporta il protocollo OAuth 2.0, uno standard open-source per la delega dell'accesso. Una volta configurato, gli utenti autenticare tramite un provider di identità. Non è necessario che utilizzino le proprie credenziali Personio . Se abiliti OAuth, i dipendenti con un profilo Personio possono accedere al proprio account senza un'e e-mail di invito.

Nota:
l'impostazione del Single Sign-On con Microsoft Entra ID non sincronizza automaticamente gli utenti candidatura Personio con Microsoft Entra ID. A tal fine, è necessario configurare l' integrazione con Microsoft Entra ID separatamente. Scopri di più sulla nostra integrazione con Microsoft Entra ID.

1. Registrare e creare una nuova applicazione in Microsoft Entra ID.

  1. Facoltativo: apri Personio e Microsoft Entra ID in schede separate per semplificare la configurazione.
  2. Nell'interfaccia di amministrazione di Microsoft Entra ID, vai su Microsoft Entra ID > Registrazioni App.
  3. Per registrare una nuova applicazione come Personio, fai clic su Nuova registrazione.

  4. Nel campo Nome, inserisci un nome per l'applicazione, ad esempio "Personio SSO".
  5. In Tipi di account supportati, seleziona il tipo di account che può utilizzare l'applicazione o accedere all'API.
    Per motivi di sicurezza, ti consigliamo di selezionare Solo account in questa directory organizzativa (tenant singolo). Con le altre opzioni, gli utenti di altri tenant potrebbero accedere agli account Personio.
  6. Su Personio, vai su Impostazioni. Nella sezione Integrazioni, fai clic su Autenticazione. Quindi, fai clic su OAuth 2.0.
  7. Alla voce Impostazioni fornitore, copia il testo accanto a URI di callback
  8. Tornare su Microsoft Entra ID. Incolla l'URI di callback copiato da Personio nel campo alla voce URI di reindirizzamento.
  9. Devi anche inserire il seguente indirizzo nel campo sotto URI di reindirizzamento:
  10. Assicurati di selezionare Web dal menu a discesa come tipo di reindirizzamento. 
  11. Registra la candidatura.

Comparirà un messaggio di conferma e il sistema ti reindirizzerà alla nuova candidatura.

Suggerimento:
per utilizzare l'SSO nell'app Personio app, aggiungi questo URI di callback agli URI di reindirizzamento in Entra ID: https://auth.personio.de/providers/oauth/callback

2. Copia degli URI in Personio

Dopo aver creato l' candidatura Personio , è necessario copiare l'URI di autorizzazione e l'URI del token da Microsoft Entra ID in Personio. Devi anche aggiungere l'URI delle informazioni utente a Personio.

Nota:
Microsoft imposta l'URI delle informazioni utente: https://graph.microsoft.com/oidc/userinfo. Non è specifico del dominio Microsoft Entra ID. https://graph.microsoft.com non è sufficiente.

  1. Nella nuova candidatura creata in Microsoft Entra ID, vai su Panoramica > Endpoint e fai clic su Endpoint.

  2. Copia il valore nel campo Endpoint di autorizzazione OAuth 2.0 (v2).
  3. Su Personio, vai su Impostazioni. Nella sezione Integrazioni, fai clic su Autenticazione. Quindi, fai clic su OAuth 2.0.
  4. Alla voce Configurazione, fai clic su Modifica.

  5. Incolla il valore precedentemente copiato dal campo Endpoint di autorizzazione OAuth 2.0 (v2) nel campo URI di autorizzazione.
  6. Torna su  Panoramica > Endpoint in Microsoft Entra ID. Copia il valore nel campo Endpoint di token OAuth 2.0 (v2).
  7. Torna su Personio. Incolla il valore nel campo URI del token .
  8. Alla voce Userinfo URI, seleziona GET dal menu a discesa. Incolla l'endpoint delle informazioni utente "https://graph.microsoft.com/oidc/userinfo" nel campo. Per impostazione predefinita, il sistema seleziona la casella di controllo Salta la lettura delle entità dal token ID. Ciò significa che, al momento dell'accesso, il sistema legge le informazioni dell'utente, incluso l'indirizzo e-mail ,dall'URI delle informazioni utente al momento dell'accesso, non dall'URI del token . Deseleziona la casella di controllo se desideri leggere le informazioni utente dall'URI del token al momento dell'accesso anziché dall'URI delle informazioni utente. In questo modo è possibile utilizzare OAuth con Active Directory Federation Services (ADFS).
  9. Alla voce Scope, inserisci "openid, e-mail".

Configurare i campi URI dell'autorità emittente e di JWK

  • L'autorità emittente è l'identificatore dell'autorità emittente del server di autorizzazione nella risultato all'autorizzazione. In questo campo, inserisci il valore del campo dell'emittente dal file .well-known/openid-configuration endpoint del provider SSO.
  • L'URI JSON Web Key Sets (JWK) è l'URI di rilevamento di un set di chiavi pubbliche. Queste chiavi verificano i token Web JSON (JWT) emessi dal server di autorizzazione. In questo campo, inserisci il valore del campo jwks_uri da .well-known/openid-configuration endpoint del provider SSO.

I campi Issuer e jwks_uri si trovano nell'endpoint documento di individuazione del provider SSO. Di solito puoi accedervi tramite uno di questi URL:

3. Registrazione di un nuovo segreto client

  1. Nell'applicazione che hai creato in Microsoft Entra ID, vai su Gestione > Certificati e segreti.
  2. Selezionare Segreti client.
  3. Viene visualizzato il menu a comparsa Aggiungi un segreto client .
  4. Nel campo Descrizione, inserisci un nome per il segreto client. Quindi, scegli la data di scadenza pertinente dal menu a discesa Scadenza.
  5. Fai clic su Aggiungi.
  6. Una pagina mostra una panoramica delle credenziali candidatura . Copia il valore elencato nella colonna Valore .

  7. Su Personio, vai su Impostazioni. Nella sezione Integrazioni, fai clic su Autenticazione. Quindi, fai clic su OAuth 2.0.
  8. Alla voce Configurazione, fai clic su Modifica.
  9. Incolla il valore precedentemente copiato nel campo Segreto client.
  10. Torna su Microsoft Entra ID > Panoramica. Copia il valore dell'ID dell'applicazione (client).
  11. Torna su Personio. Incolla il valore nel campo Client ID .

4. Selezione dell'attestazione

In Campo attestazioneseleziona il campo in Microsoft Entra ID con gli indirizzi e-mail dei dipendenti. Per convalidare l'esistenza di un dipendente in Personio, controlleremo se il valore di questo campo corrisponde all'indirizzo e-mail utilizzato in Personio. A seconda della configurazione di Microsoft Entra ID, puoi scegliere tra "e-mail", "unique_name", "sub" e "upn".

Suggerimento:
se selezioni Usa impostazioni predefinite, controlleremo i campi "e-mail", "unique_name" e "sub" in sequenza finché non ne troveremo uno che contenga un valore. Se gli indirizzi e-mail dei dipendenti si trovano nel campo User Principal Name (UPN) di Microsoft Entra ID, seleziona "upn" qui.

5. Revisione e test

  1. Verifica i dati inseriti in Personio.
  2. Invia le modifiche.
  3. Per verificare la connessione OAuth, fai clic su Esegui test di configurazione.
  4. Devi accedere a Microsoft Entra ID. In caso di errori, viene visualizzato un messaggio di aiuto per la risoluzione dei problemi.

Per utilizzare il Single Sign-On, i dipendenti devono disporre di profili utente sia in Microsoft Entra ID che in Personio. L'indirizzo e-mail inserito in Microsoft Entra ID nel campo selezionato alla voce Campo reclamo deve corrispondere all'indirizzo e-mail utilizzato in Personio. 

Facoltativo: applicare l'SSO con Microsoft Entra ID

Dopo aver impostato l'SSO con Microsoft Entra ID, l'accesso tramite OAuth è facoltativo. I dipendenti possono scegliere di accedere a Personio con le proprie credenziali di Personio o tramite OAuth. Per rendere obbligatorio l'accesso tramite OAuth per tutti i dipendenti, fai clic su Applica OAuth.

Aiutaci a migliorare. Questa pagina è utile?