Overslaan en naar hoofdcontent gaan

Waar kunnen we je mee helpen?

Terug

De juiste authenticatiemethode voor je bedrijf kiezen

 

In dit artikel worden de verschillende authenticatiemethoden uitgelegd die mogelijk zijn met Personio. Welke methoden voor jou beschikbaar zijn, is afhankelijk van je Personio-pakket.

 

Tweefactorauthenticatie

Alle klanten van Personio kunnen tweefactorauthenticatie activeren voor elke medewerkersrol om de gegevens die ze in Personio hebben opgeslagen beter te beschermen.

Als tweefactorauthenticatie is ingeschakeld voor een medewerkersrol, moeten alle medewerkers die aan die rol zijn toegewezen naast hun e-mailadres en wachtwoord (kennis, eerste factor) ook een token dat op hun mobiele apparaat wordt gegenereerd (bezit, tweede factor) invoeren wanneer ze zich aanmelden.

Volg de instructies in ons artikel Tweefactorauthenticatie instellen voor medewerkersrollen om tweefactorauthenticatie te activeren en meer te lezen over hoe je medewerkers deze functie kunnen instellen op hun apparaten.

 

Google Single Sign-on (SSO)

Opmerkingen
▶︎ Deze optie werkt alleen als je bedrijf Google Workspace gebruikt.
▶︎ Als je Google single sign-on inschakelt, geldt deze authenticatiemethode voor al je medewerkers en is het niet meer mogelijk om in te loggen met de Personio-aanmeldgegevens (e-mail en wachtwoord).

Als Google Single Sign-on is geactiveerd, kunnen je medewerkers zich aanmelden bij Personio via hun zakelijke Google-account.

Dit biedt de volgende voordelen:

  • De toegang wordt volledig beheerd binnen Google Workspace. Als een medewerker je bedrijf verlaat en wordt gedeactiveerd als gebruiker in Google, wordt de toegang tot Personio automatisch ingetrokken.
  • Medewerkers hoeven geen extra wachtwoord voor Personio aan te maken.

Volg de instructies in ons artikel Google Single Sign-on om Google SSO te activeren.

Tip
We raden je aan Google Single Sign-on pas te activeren als de configuratie van je account is voltooid, omdat medewerkers zich kunnen aanmelden bij Personio zodra SSO is geactiveerd. De toegang tot hun accounts wordt dan uitsluitend via Google geregeld.

 

OAuth 2.0 

Opmerking
▶︎ Het wordt aangeraden om dit type authenticatie samen met een IT-beheerder te implementeren.

Personio ondersteunt inloggen via het OAuth 2.0-protocol. Daarmee kun je de toegang tot apps veilig en gestandaardiseerd beheren.

Je kunt Personio integreren met verschillende OAuth-providers, zoals Azure AD of Okta. Raadpleeg het betreffende artikel hieronder voor meer informatie over het instellen van OAuth-authenticatie met een van deze providers:

Volg de onderstaande instructies als je een andere OAuth-provider gebruikt:

 

1. De omleiding naar de callback-URI in je OAuth-provider instellen

  1. Ga in Personio naar Instellingen > Integraties > Authenticatie > OAuth 2.0.
  2. Bij Providerinstellingen kopieer je de URL uit het veld Callback URI

    settings-authentication-oauth_2.0-callback_uri_nl.png

  3. Voer de callback-URI in het betreffende veld in de instellingen van je OAuth-provider in.

Tip
Als je wilt dat gebruikers zich kunnen aanmelden via de mobiele Personio-app, moet je ook de volgende callback-URL op de toelatingslijst zetten: https://auth.personio.de/providers/oauth/callback

 

2. De instellingen voor OAuth 2.0 configureren in Personio

  1. Ga in Personio terug naar Instellingen > Integraties > Authenticatie > OAuth 2.0 .
  2. Klik onder Configuratie op Bewerken.

    Opmerking
     Alle gegevens die je in de velden moet invoeren, moeten worden overgenomen uit de instellingen van je OAuth-provider.


    settings-authentication-configuration_nl.png
  3. Vul in het veld Autorisatie-URI de autorisatie-URI in. Als gebruikers op 'Inloggen met OAuth' klikken, worden ze doorgestuurd naar de pagina van de autorisatie-URI.
  4. Voer in het veld Token-URI de token-URI in. Personio roept dit endpoint aan om een token te krijgen om te controleren of de referenties correct zijn ingevoerd. 
  5. Selecteer bij Gebruikersgegevens-URI 'GET' uit het keuzemenu en plak het Gebruikersgegevens-endpoint https://graph.microsoft.com/oidc/userinfo in het veld. Het vakje Uitlezen van entiteiten uit ID-token overslaan is standaard aangevinkt. Dit betekent dat de gebruikersgegevens, met name het e-mailadres van de gebruiker, bij het aanmelden worden gelezen van de Gebruikersgegevens-URI in plaats van de Token-URI.

    Opmerking
    Als je wilt dat gebruikersgegevens bij het aanmelden worden gelezen van de Token-URI in plaats van de Gebruikersgegevens-URI, vink het vakje dan uit, waardoor het mogelijk wordt om OAuth te implementeren met Active Directory Federation Services (ADFS).

  6. Voer in het veld Scopes de gewenste scope in. Dit veld geeft aan hoe gebruikersinformatie naar Personio gestuurd wordt. Voor veel OAuth-providers is 'openid, email' de juiste waarde.
  7. Voer in het veld Client-ID de client-ID in die gebruikt wordt voor authenticatie.
  8. Voer in het veld Clientgeheim het geheim van de client in die gebruikt wordt voor authenticatie.
  9. Selecteer onder Claimveld het veld in je OAuth-provider waarin de e-mailadressen van je medewerkers zijn opgeslagen. Om te verifiëren dat een medewerker in Personio bestaat, controleren we of de waarde in dit veld overeenkomt met het e-mailadres dat in Personio wordt gebruikt. Je kunt kiezen tussen 'email', 'unique_name', 'sub' en 'upn'.

    Tip
    Als je Standaardinstelling gebruiken selecteert, controleren we de velden 'email', 'unique_name' en 'sub' in de aangegeven volgorde totdat we er een vinden die een waarde bevat.

  10. Optioneel: voer in het veld Authentication Context Class Reference de Authentication Context Class Reference in. Deze referentie is gelijk aan het veld 'acr_values' van je OAuth-provider. Je kunt deze referentie gebruiken om aanvullende processen aan de kant van je identiteitsprovider in te stellen, zoals tweefactorauthenticatie.

3. Controleren en testen

  1. Controleer de gegevens die je in Personio hebt ingevoerd.
  2. Als je er zeker van bent dat je alles correct hebt ingevoerd, klik je op Opslaan om de gegevens op te slaan.
  3. Klik op Configuratietest uitvoeren om de OAuth-verbinding te testen.

Je wordt gevraagd om je aan te melden bij je OAuth-provider. Als er fouten zijn gevonden, wordt er een bericht weergegeven om je te helpen ze op te lossen.

Opmerking
Medewerkers kunnen zich alleen aanmelden via OAuth als het e-mailadres dat is opgeslagen voor het attribuut 'email', 'unique_name' of 'sub' in je OAuth-provider overeenkomt met het e-mailadres dat wordt gebruikt in Personio.

 

Optioneel: Alleen OAuth-authenticatie toestaan

Nadat je de authenticatie hebt ingesteld, kunnen je medewerkers kiezen of ze zich bij Personio willen aanmelden via OAuth of met hun Personio-referenties. Als je alle medewerkers wilt verplichten om zich aan te melden via OAuth, kun je op de knop Alleen OAuth toestaan klikken.

settings-authentication-oauth-enforcement_nl.png

 

LDAP/Active Directory via OAuth 2.0

Als je je Active Directory wilt integreren met je Personio-account, moet je deze optie implementeren via een identiteitsprovider. De identiteitsprovider fungeert als OAuth-interface tussen je Active Directory en Personio.

De identiteitsserver WSO2 is een goede tool voor identiteits- en toegangsbeheer. Er is een gratis download beschikbaar. 

Als je al een van de volgende providers gebruikt, kun je je OAuth-integratie ook via die provider implementeren: