In dit artikel worden de verschillende authenticatiemethoden uitgelegd die mogelijk zijn met Personio. De beschikbare methoden zijn afhankelijk van je Personio-pakket.
Tweefactorauthenticatie (2FA)
Alle klanten van Personio kunnen 2FA activeren voor medewerkersrollen om de gegevensbeveiliging te verbeteren. Met 2FA loggen medewerkers in met een token vanaf hun mobiele apparaat, in combinatie met hun e-mailadres en wachtwoord. Lees meer over het instellen van 2FA voor medewerkersrollen.
Google Single Sign-on (SSO)
Met Google SSO gebruiken medewerkers hun werkgerelateerde Google-account om toegang te krijgen tot Personio. Google SSO is alleen beschikbaar voor bedrijven die Google Workspace gebruiken. Lees meer over het instellen van Google SSO.
Voordelen:
- Je beheert de toegang binnen Google Workspace. Als er bijvoorbeeld een medewerker vertrekt bij je bedrijf, deactiveer je deze persoon in Google. Hierdoor wordt ook de Personio-toegang ingetrokken.
- Medewerkers hoeven geen wachtwoorden aan te maken voor Personio.
Overwegingen:
- Alle medewerkers moeten deze methode gebruiken.
- Medewerkers kunnen zich niet aanmelden met Personio-referenties (e-mail en wachtwoord).
Tip:
Activeer Google SSO pas nadat het instellen van je account voltooid is. Zodra SSO actief is, kunnen medewerkers zich aanmelden bij Personio. Je beheert de toegang tot medewerkersaccounts via Google.
OAuth 2.0
Personio ondersteunt inloggen via het OAuth 2.0-protocol. Hiermee kun je de toegang tot applicaties veilig en gestandaardiseerd beheren. Je kunt Personio integreren met OAuth-providers zoals Microsoft Entra ID of Okta. Volg de onderstaande instructies als je een andere OAuth-provider gebruikt. We raden je aan om het instellen van dit type authenticatie samen met een IT-beheerder te doen.
Opmerking:
Als je OAuth inschakelt, kunnen medewerkers met een Personio-profiel zich aanmelden bij hun account zonder uitnodigingsmail.
1. De omleiding naar de callback-URI in je OAuth-provider instellen
- Ga naar Instellingen.
- Klik in het gedeelte Integraties op Authenticatie.
- Kopieer in OAuth 2.0 onder Providerinstellingen de callback-URL.
- Voer deze URL in het betreffende veld in de instellingen van je OAuth-provider in.
- Je moet ook de volgende URL's invoeren in het relevante veld in de instellingen van je OAuth-provider:
- Voor het aanmelden bij de mobiele app via je OAuth-provider moet je ook de volgende callback-URL opnemen in de toelatingslijst:
OAuth 2.0 configureren in Personio
- Ga in Personio naar Instellingen. Klik in de sectie Integraties op Authenticatie. Klik vervolgens op OAuth 2.0.
- Klik onder Configuratie op Bewerken. Alle gegevens die je nodig hebt om in de velden in te vullen, zijn afkomstig uit de instellingen van je OAuth-provider.
- Voer in het veld Autorisatie-URI de autorisatie-URI in. Het systeem stuurt gebruikers door naar de URI-autorisatiepagina als ze op Inloggen met OAuth klikken.
- Voer in het veld Token-URI de token-URI in. Personio roept dit eindpunt aan om een token te krijgen om te controleren of de ingevoerde verificatiegegevens correct zijn.
- Selecteer onder Gebruikersgegevens-URI de optie GET in het vervolgkeuzemenu. Plak het Gebruikersgegevens-eindpunt 'https://graph.microsoft.com/oidc/userinfo' in het veld. Het systeem vinkt het selectievakje Uitlezen van entiteiten uit ID-token overslaan standaard aan. Dit betekent dat het systeem bij het inloggen de gebruikersgegevens, waaronder het e-mailadres, leest vanaf de Gebruikersgegevens-URI in plaats van de Token-URI. Vink het selectievakje uit als je gebruikersinformatie bij de login wilt aflezen van de Token-URI in plaats van de Gebruikersgegevens-URI. Hierdoor wordt het mogelijk om OAuth gebruiken met Active Directory Federation Services (ADFS).
- Het veld Scopes geeft aan hoe gebruikersinformatie naar Personio wordt gestuurd. Voor veel OAuth-providers is 'openid, email' de juiste waarde.
- Voer in het veld Client-ID de client-ID in die moet worden gebruikt voor authenticatie.
- Voer in het veld Clientgeheim het geheim van de client in die gebruikt wordt voor authenticatie.
- Selecteer onder Claimveld het veld in je OAuth-provider met de e-mailadressen van je medewerkers. Om te verifiëren dat een medewerker in Personio bestaat, controleren we of de waarde in dit veld overeenkomt met het e-mailadres dat in Personio wordt gebruikt. Je kunt kiezen tussen 'email', 'unique_name', 'sub' en 'upn'. Als je Standaardinstelling gebruiken selecteert, controleren we de velden 'email', 'unique_name' en 'sub' in de aangegeven volgorde totdat we er een vinden die een waarde bevat.
- Optioneel: voer in het veld Authentication Context Class Reference de Authentication Context Class Reference in. Deze referentie is gelijk aan het veld acr_values in je OAuth-provider. Je kunt deze referentie gebruiken om andere processen aan de kant van je identiteitsprovider in te stellen, zoals 2FA.
De velden issuer en JWKS-URI configureren
- De issuer is de issuer-ID van de autorisatieserver in de autorisatiereactie. Voer in dit veld de waarde in van het veld issuer uit het eindpunt .well-known/openid-configuration van je SSO-provider.
- De JWKS-URI (JSON Web Key Sets) is de detectie-URI van een set openbare sleutels. Deze sleutels verifiëren elke JSON-webtoken (JWT) die door de autorisatieserver wordt uitgegeven. Voer in dit veld de waarde in van het veld jwks_uri uit het eindpunt .well-known/openid-configuration van je SSO-provider.
Je vindt de velden issuer en jwks_uri in het discovery-document van je SSO-provider. Deze is meestal toegankelijk via een van deze URL's:
- https://example-provider.com/well-known/openid-configuration
- https://example-provider/oauth2/token/.well-known/openid-configuration
- https://example-provider.com/oauth2/authorize/.well-known/openid-configuration
- https://example-provider.com/v2.0/.well-known/openid-configuration
Controleren en testen
- Controleer de gegevens die je hebt ingevoerd in Personio.
- Dien de wijzigingen in.
- Klik op Configuratietest uitvoeren om de OAuth-verbinding te testen.
- Je moet je aanmelden bij je OAuth-provider. Als er fouten zijn, verschijnt er een bericht om je te helpen het probleem op te lossen.
Medewerkers kunnen zich alleen aanmelden via OAuth als het e-mailadres voor het attribuut 'email', 'unique_name' of 'sub' in je OAuth-provider overeenkomt met het e-mailadres dat in Personio wordt gebruikt.
Optioneel: alleen OAuth-authenticatie toestaan
Na het instellen van de authenticatie hebben je medewerkers twee inlogopties. Ze kunnen zich bij Personio aanmelden via OAuth of hun Personio-referenties gebruiken. Om alle medewerkers te verplichten om zich aan te melden via OAuth, klik je op OAuth verplichten.
LDAP/Active Directory via OAuth 2.0
Als je je Active Directory wilt integreren met Personio, moet je deze optie implementeren via een identiteitsprovider. De identiteitsprovider fungeert als OAuth-interface tussen je Active Directory en Personio.
De identiteitsserver WSO2 is een goede tool voor identiteits- en toegangsbeheer. Er is een gratis download beschikbaar.
Als je al een van deze providers gebruikt, kun je OAuth-integratie via hen instellen: