Een authenticatieprovider integreren met Personio

 

In dit artikel wordt uitgelegd hoe je een bestaand authenticatiesysteem zoals Google Single Sign-On (SSO) of OAuth (Open Authorization) 2.0 integreert met je Personio-account.

 

1. Google Single Sign-On (SSO)

Als Google Single Sign-On geactiveerd is, kunnen alle medewerkers van wie het Google-mailadres in hun medewerkersprofiel in Personio is opgeslagen, inloggen op hun Personio-account via Google-authenticatie. 

Volg deze stappen om Google SSO te activeren:

  1. Ga naar Instellingen > Integraties > Authenticatie
  2. Open het tabblad Google Auth.
  3. Klik op Bewerken en selecteert het selectievakje Ja.
  4. Klik op Indienen.

settings-integrations-authentication-google_auth_nl.png

Als je medewerkers Personio openen, krijgen ze een bevestiging te zien dat Google SSO ingeschakeld is. Ze kunnen vervolgens inloggen op Personio door op Inloggen met Google te klikken. 

login-google-sso_nl.png

Opmerking
Omdat je medewerkers kunnen inloggen op Personio zodra SSO geactiveerd is, moet je Google SSO pas activeren nadat je Personio-account volledig geïmplementeerd is. De toegang van medewerkers tot hun Personio-account wordt dan via Google geregeld. Zodra Google SSO ingeschakeld is, kunnen medewerkers niet meer inloggen met hun Personio-gebruikersnaam en -wachtwoord.

 

2. OAuth 2.0 

Opmerking
Het wordt aangeraden om dit type authenticatie samen met een IT-beheerder te implementeren.

Personio ondersteunt inloggen via het OAuth 2.0-protocol. Daarmee kun je de toegang tot apps veilig en gestandaardiseerd beheren.

Volg deze stappen om de OAuth 2.0-instellingen rechtstreeks in Personio te configureren:

  1. Ga naar Instellingen > INTEGRATIES > Authenticatie.
  2. Open het tabblad OAuth 2.0.
  3. Klik op Bewerken om de instellingen van de configuratie te bewerken.
    Let op: Alle gegevens die je in de invoervelden moet invullen om de instellingen te configureren, moeten overgenomen worden van de instellingen van je OAuth-provider.

    settings-authentication-configuration_nl.png
  4. Voer in het veld Autorisatie-URI de autorisatie-URI in. Als gebruikers op 'Inloggen met OAuth' klikken, worden ze doorgestuurd naar de pagina van de autorisatie-URI.
  5. Voer in het veld Token-URI de token-URI in. Personio roept dit endpoint aan om een token te krijgen waarmee je kunt controleren of de verificatiegegevens correct zijn ingevoerd. 
  6. Zorg ervoor dat onder Gebruikersgegevens-URI GET is geselecteerd in het vervolgkeuzemenu.
  7. Plak het Gebruikersgegevens-eindpunt in het veld Gebruikersgegevens-URI. Het selectievakje Uitlezen van entiteiten uit ID-token overslaan is standaard ingeschakeld. Dit betekent dat de gebruikersgegevens, met name het e-mailadres van de gebruiker, bij het inloggen worden gelezen van de Gebruikersgegevens-URI in plaats van de Token-URI. Opmerking: als je wilt dat gebruikersgegevens bij het inloggen worden gelezen van de Token-URI in plaats van de Gebruikersgegevens-URI, vink dan het vakje Uitlezen van entiteiten uit ID-token overslaan uit, waardoor het mogelijk wordt OAuth te implementeren met Active Directory Federation Services (ADFS). 
  8. Voer in het veld Scopes de gewenste scope in. Dit veld geeft aan hoe gebruikersinformatie naar Personio gestuurd wordt. Voor veel OAuth-providers is 'openid, email' de correcte waarde voor dit veld.
  9. Voer in het veld Client-ID de client-ID in die gebruikt wordt voor authenticatie.
  10. Voer in het veld Clientgeheim het geheim van de client in die gebruikt wordt voor authenticatie.
  11. Selecteer onder Claimveld het veld in je OAuth-provider waarin de e-mailadressen van je medewerkers zijn opgeslagen. Om te verifiëren dat een medewerker in Personio bestaat, controleren we of de waarde in dit veld overeenkomt met het e-mailadres dat in Personio wordt gebruikt. Je kunt kiezen tussen 'email', 'unique_name', 'sub' en 'upn'.

    Tip: als je Standaardinstelling gebruiken selecteert, zullen we de velden 'email', 'unique_name' en 'sub' in de aangegeven volgorde controleren totdat we er een vinden die een waarde bevat.

  12. Optioneel: vul in het veld Authentication Context Class Reference de Authentication Context Class Reference in. Deze referentie is gelijk aan het veld 'acr_values' van je OAuth-provider. Je kunt deze referentie gebruiken om aanvullende processen aan de kant van je identiteitsprovider in te stellen, zoals authenticatie in twee stappen.
  13. Klik op Indienen.

 

De omleiding naar de callback-URI bij je OAuth-provider configureren

Nadat je de instellingen van je configuratie ingediend hebt, moet je de omleiding naar de callback-URI in de instellingen van je OAuth-provider configureren. Je vindt de callback-URI onder Providerinstellingen in Personio.

 

settings-authentication-oauth_2.0-callback_uri_nl.png

 

Voer de onder Providerinstellingen in Personio vermelde callback-URI in het betreffende invoerveld in de instellingen van je OAuth-provider in.

Als gebruikers via de mobiele app van Personio inloggen op je OAuth-provider, moet je ook de volgende callback-URL opnemen in de lijst met toegestane clients bij je OAuth-provider:

https://auth.personio.de/providers/oauth/callback

Klik op Configuratietest uitvoeren om te controleren of de authenticatie correct is ingesteld. 

settings-authentication-oauth-test-configuration_nl.png

Je wordt gevraagd om in te loggen bij je OAuth-provider. Bij eventuele fouten wordt de exacte foutmelding weergegeven om je te helpen het probleem op te lossen.

Opmerking
Medewerkers kunnen alleen via OAuth inloggen als het e-mailadres dat in de attributen 'email', 'unique_name' of 'sub' van je OAuth-provider verstuurd wordt, hetzelfde is als het e-mailadres van de medewerker dat is opgeslagen in het veld E-mail in Personio.

 

Optioneel OAuth-authenticatie verplichten

Nadat je OAuth hebt ingesteld, is inloggen via je authenticatieprovider optioneel. Je medewerkers kunnen kiezen of ze bij Personio willen inloggen met hun Personio-toegangsgegevens of via OAuth. Als je alle medewerkers wilt verplichten om in te loggen via OAuth, kun je op de knop Alleen OAuth toestaan klikken om deze instelling te activeren.

settings-authentication-oauth-enforcement_nl.png

 

3. LDAP/Active Directory via OAuth2

Opmerking
Het wordt aangeraden om dit type authenticatie samen met een IT-beheerder te implementeren.

Als je je Active Directory wilt integreren met je Personio-account, moet je deze optie implementeren via een identiteitsprovider. De identiteitsprovider fungeert als OAuth-interface tussen je Active Directory en Personio.

De identiteitsserver WSO2 is een goede tool voor identiteits- en toegangsbeheer. Er is een gratis download beschikbaar. 

Als je al een van de volgende providers gebruikt, kun je je OAuth-integratie ook via die provider implementeren:  

 

Meer informatie

 

Opmerkingen

0 opmerkingen

Artikel is gesloten voor opmerkingen.

    Onderwerpen in dit artikel