Overslaan en naar hoofdcontent gaan

Waar kunnen we je mee helpen?

SSO-inlogproblemen oplossen

Algemene veelgestelde vragen

 

Mijn bedrijf heeft Google SSO ingeschakeld, maar we moeten ook enkele gebruikers van de Microsoft-werkruimte opnemen. Is het mogelijk om beide inlogopties te integreren?

We bieden geen ondersteuning voor inloggen via meerdere SSO-providers. Je kunt Google SSO via OAuth configureren en instellen als niet verplicht. Hiermee:

  • Kunnen medewerkers met Google SSO het gebruiken om in te loggen.
  • Kunnen medewerkers zonder e-mailadres en SSO van Google inloggen met hun eigen e-mailadres en wachtwoord.

Kan ik nieuwe medewerkers vóór hun begindatum toegang geven tot Personio als Okta SSO is ingeschakeld?

  1. Om ervoor te zorgen dat medewerkers zich tijdens de onboarding kunnen aanmelden bij Okta, moet je eerst controleren of het e-mailadres in Personio overeenkomt met het e-mailadres in het veld voor het primaire e-mailadres in Okta (Directory > Medewerkers > Primair).
  2. Medewerkers hebben tijdens de onboarding standaard de status Staged in Okta. Om SSO te kunnen gebruiken, moeten de medewerkers de status Actief in Okta hebben. 

Zodra je medewerkers de status Actief hebben in Okta en hun e-mailadressen in beide tools overeenkomen, zouden ze met SSO moeten kunnen inloggen bij Personio.

Ondersteunt Personio SSO bij een externe identiteitsprovider die het SAML-protocol gebruikt?

Op dit moment bieden we geen ondersteuning voor het SAML SSO-protocol binnen Personio.

Als SSO eenmaal is ingeschakeld, kunnen medewerkers zich dan nog steeds bij Personio aanmelden met hun e-mailadres en wachtwoord?

  • Google SSO kan niet als optioneel worden ingesteld, tenzij je dit configureert via OAuth. Als je Google SSO hebt ingeschakeld, kunnen je medewerkers alleen op deze manier inloggen.
  • Als je een OAuth-provider hebt ingeschakeld, kunnen je medewerkers kiezen of ze zich via OAuth of met hun Personio-aanmeldgegevens bij Personio willen aanmelden. Je kunt medewerkers ook verplichten om in te loggen via OAuth .

Als SSO is ingeschakeld, kan een nieuwe medewerker dan zonder uitnodiging of het activeren van het account inloggen op het eigen account?

Als SSO is ingeschakeld, kunnen medewerkers zich nog steeds aanmelden zonder uitnodiging als ze de URL van hun Personio-account hebben en binnen Personio hun medewerkersstatus Actief is. Nadat ze zijn ingelogd, ontvangen ze e-mailnotificaties.

Probeer het volgende voordat je verdere oplossingen zoekt:

  • Gebruik een andere browser.
  • Leeg het cachegeheugen van je browser.
  • Gebruik de incognitomodus.
  • Log uit en zorg ervoor dat je inlogt met de juiste gegevens.
  • Maak een nieuw profiel aan in de browser van je keuze.
  • Schakel extensies uit.

Google SSO

Als dan

Je ontvangt deze foutmelding: 

'Kan geen medewerker vinden om in te loggen via Google'

 Probeer de volgende stappen:
  1. Log uit bij Google.
  2. Log in bij Personio. Als Google je vraagt je account te selecteren, selecteer dan het juiste account.
Je bedrijf wijzigt het e-maildomein Als je bedrijf het e-maildomein wijzigt, herkent Personio de e-mailadressen niet meer en kunnen medewerkers zich niet aanmelden. Neem contact op met ons supportteam voor verdere hulp.
In het verleden werkte de integratie, maar nu kunnen je medewerkers niet inloggen Mogelijk heeft je bedrijf het e-maildomein gewijzigd. Neem contact op met ons supportteam voor verdere hulp.

OAuth 2.0-protocol (inclusief Microsoft Entra ID en Okta)

Als dan
Een medewerker (of een groep medewerkers) kan niet inloggen Probeer de volgende stappen:
  1. Ga naar de medewerkerslijst en filter op de betrokkenen.
  2. Controleer of de e-mailadressen van de medewerkers correct zijn.
  3. Als het bovenstaande niet werkt, controleer dan of de e-mailadressen in Personio en bij de OAuth-provider overeenkomen.
Je medewerkers kunnen niet inloggen na de eerste configuratie

Ga naar Instellingen > Integratie > Authenticatie > OAuth 2.0
  • Controleer de IDP's (bijvoorbeeld Microsoft Entra, Okta.)
    Instellingen:

    ▶︎ Stel in op 'openid email'. Afhankelijk van de IDP kunnen verschillende scopes nodig zijn.
    ▶︎ Als je een aangepaste IDP hebt, voeg deze dan toe.
    ▶︎ Controleer de autorisatie-URI.
    ▶︎ Controleer de token-URI.
    ▶︎ Controleer het vereiste bereik.
    ▶︎ Controleer of de callback-URI correct is ingesteld in het IDP.
  • Als je OAuth gebruikt in combinatie met Active Directory Federation Services (ADFS):
    ▶︎ Controleer of het vakje Uitlezen van entiteiten uit id-token overslaan is ingeschakeld onder Gebruikersgegevens-URI.
  • Controleer of de e-mailadressen van de betrokken medewerkers bij de authenticatieprovider zijn opgeslagen in een van de velden 'email' of 'unique_name'. Selecteer de juiste waarde 'aan' bij de invoer 'e-mail lezen op basis van claim'.
  • Controleer of er referenties moeten worden opgenomen in de querystring. Opmerking: voor Microsoft Entra ID is dit vereist. Het vakje Aanmeldgegevens in querystring integreren onder het veld Token-URI moet zijn aangevinkt.
  • Test je configuratie door op Configuratietest uitvoeren te klikken.
In het verleden werkte de integratie, maar nu kunnen je medewerkers niet inloggen

Er zijn drie belangrijke redenen waarom dit kan gebeuren:

  1. Je bedrijf heeft het e-maildomein gewijzigd.
  2. Het clientgeheim is verlopen.
  3. Je bedrijf heeft de hostnaam in Personio gewijzigd.

Neem voor al het bovenstaande contact op met ons supportteam voor verdere hulp.
Je bedrijf gebruikt verschillende e-maildomeinen, zoals .com .es, .de, enz. Controleer of het domein dat je gebruikt exact overeenkomt met het domein dat je hebt ingevoerd voor de OAuth-provider.
Je medewerkers hebben problemen met inloggen via de Personio-app Ga naar Instellingen > Integraties > Authenticatie > OAuth 2.0. Controleer of je de volgende callback-URL op de toelatingslijst hebt geplaatst: https://auth.personio.de/providers/oauth/callback



Help ons te verbeteren. Is deze pagina nuttig?