Overslaan en naar hoofdcontent gaan

Waar kunnen we je mee helpen?

Terug

Single sign-on (SSO) in Personio configureren met Azure Active Directory

 

In dit artikel wordt uitgelegd hoe je single sign-on (SSO) in Personio configureert met Azure Active Directory (AD).

Met SSO kun je Personio koppelen aan een identiteitsprovider, zoals Azure AD of Okta. Personio ondersteunt het OAuth 2.0-protocol, een open-source standaard voor het delegeren van toegang. Als dit correct is ingesteld, kunnen gebruikers zich authenticeren via een identiteitsprovider zonder de referenties van Personio te hoeven gebruiken.

Opmerkingen
▶︎ Als je SSO instelt met Azure AD, worden gebruikers van de Personio-applicatie niet automatisch gesynchroniseerd met Azure. Daarvoor moet je de integratie met Azure apart instellen. Lees meer over onze integratie met Azure Active Directory.
▶︎ Zelfs als SSO is ingeschakeld, moet je nog steeds een uitnodigingsmail naar je medewerkers sturen. Als je dit niet doet, ontvangen ze geen e-mailnotificaties van Personio.

Volg de onderstaande stappen om SSO in Personio in te stellen met Azure AD.

 

1. Een nieuwe applicatie registreren en creëren in Azure AD

Tip
Open tijdens deze configuratie de Personio-app en Azure AD in aparte tabbladen.

azure_ad-register_application-name-authentication_nl.png

  1. Ga in het beheercentrum van Azure AD naar Azure Active Directory > App-registraties.
  2. Klik op Nieuwe registratie om een nieuwe applicatie, zoals Personio, in Azure AD te registreren.
  3. Voer in het veld Naam een naam in voor de applicatie, bijvoorbeeld 'Personio SSO'.
  4. Selecteer onder Ondersteunde accounttypen het accounttype dat de applicatie kan gebruiken of toegang heeft tot de API.
  5. Ga in Personio naar Instellingen > Integraties > Authenticatie > OAuth 2.0.
  6. Bij Providerinstellingen kopieer je de URL uit het veld Callback URI
  7. Ga terug naar Azure AD. Plak de callback-URI die je vanuit Personio hebt gekopieerd in het veld onder Omleidings-URI.
  8. Zorg ervoor dat Web is geselecteerd in het vervolgkeuzemenu als het omleidingstype. 
  9. Klik op Registreren om de applicatie te registreren.

Er verschijnt een bericht om te bevestigen dat de applicatie succesvol is aangemaakt en je naar de nieuwe applicatie wordt geleid.

Tip
Als je wilt dat gebruikers zich kunnen aanmelden via de mobiele Personio-app, moet je ook de volgende callback-URL op de toelatingslijst zetten: https://auth.personio.de/providers/oauth/callback

 

2. URI's kopiëren naar Personio

Nadat je de Personio-applicatie hebt opgezet, volg je deze stappen om de Autorisatie-URI en de Token-URI van Azure AD naar Personio te kopiëren en de Gebruikersgegevens-URI aan Personio toe te voegen.

Opmerking
De Gebruikersgegevens-URI is ingesteld door Microsoft: https://graph.microsoft.com/oidc/userinfo. De URI is niet specifiek voor je Azure AD-domein. https://graph.microsoft.com is niet voldoende.

  1. Ga in de nieuwe applicatie die je in Azure AD hebt aangemaakt naar Overzicht > Eindpunten en klik op Eindpunten.

    azure_app-overview-endpoints-oauth_authorization_endpoint_nl.png
  2. Kopieer de waarde in het veld OAuth 2.0-autorisatie-eindpunt (v2).
  3. Ga in Personio naar Instellingen > Integraties > Authenticatie > OAuth 2.0.
  4. Klik onder Configuratie op Bewerken.

    settings-authentication-configuration_nl.png
  5. Plak de waarde die je eerder hebt gekopieerd van het veld OAuth 2.0-autorisatie-eindpunt (v2) in het veld Autorisatie-URI.
  6. Ga terug naar Overzicht > Eindpunten in Azure AD. Kopieer de waarde in het veld OAuth 2.0-token-eindpunt (v2).
  7. Ga terug naar Personio. Plak de waarde in het veld Token-URI.
  8. Selecteer bij Gebruikersgegevens-URI 'GET' uit het keuzemenu en plak het Gebruikersgegevens-endpoint https://graph.microsoft.com/oidc/userinfo in het veld. Het vakje Uitlezen van entiteiten uit ID-token overslaan is standaard aangevinkt. Dit betekent dat de gebruikersgegevens, met name het e-mailadres van de gebruiker, bij het aanmelden worden gelezen van de Gebruikersgegevens-URI in plaats van de Token-URI.

    Opmerking
    Als je wilt dat gebruikersgegevens bij het aanmelden worden gelezen van de Token-URI in plaats van de Gebruikersgegevens-URI, vink het vakje dan uit, waardoor het mogelijk wordt om OAuth te implementeren met Active Directory Federation Services (ADFS).

  9. Bij Scopes, voer je 'openid, email' in.

 

3. Een nieuw clientgeheim registreren

  1. Ga in de applicatie die je hebt aangemaakt in Azure AD naar Beheren > Certificaten en geheimen.
  2. Selecteer Clientgeheimen.
  3. Het venster Een clientgeheim toevoegen wordt weergegeven.
  4. Voer in het veld Omschrijving een naam in voor het clientgeheim en kies de gewenste vervaldatum in het vervolgkeuzemenu Verloopt.
  5. Klik op Toevoegen.
  6. Er verschijnt een pagina met een overzicht van de referenties van de applicatie. Kopieer de waarde in de kolom Waarde.

    azure_ad-manage-certificates_and_secrets-client_secrets_nl.png
  7. Ga in Personio naar Instellingen > Integraties > Authenticatie > OAuth 2.0.
  8. Klik onder Configuratie op Bewerken.
  9. Plak de waarde die je eerder hebt gekopieerd in het veld Clientgeheim.
  10. Ga terug naar Azure AD > Overzicht. Kopieer de waarde die vermeld wordt voor de Toepassings-id (client).
  11. Ga terug naar Personio. Plak de waarde in het veld Client-ID.

 

4. De claim selecteren

Selecteer bij Claimveld het veld in Azure AD waarin de e-mailadressen van je medewerkers zijn opgeslagen.Om te verifiëren dat een medewerker in Personio bestaat, controleren we of de waarde in dit veld overeenkomt met het e-mailadres dat in Personio wordt gebruikt.Afhankelijk van je instellingen in Azure, kun je kiezen tussen 'email', 'unique_name', 'sub' en 'upn'.

azure-claimfield_nl.png

Tips
▶︎ Als je Standaardinstelling gebruiken selecteert, zullen we de velden 'email', 'unique_name' en 'sub' in de aangegeven volgorde controleren totdat we er een vinden die een waarde bevat.
▶︎ Als de e-mailadressen van je medewerkers in Azure zijn opgeslagen in het veld User Principal Name (UPN), selecteer je hier 'upn'.

 

5. Controleren en testen

  1. Controleer de gegevens die je in Personio hebt ingevoerd.
  2. Als je er zeker van bent dat je alle gegevens correct hebt ingevoerd, klik je op Opslaan.
  3. Klik op Configuratietest uitvoeren om de OAuth-verbinding te testen.

Je wordt gevraagd je aan te melden bij Azure AD. Als er fouten zijn gevonden, wordt er een bericht weergegeven om je te helpen ze op te lossen.

Opmerking
Om SSO te kunnen gebruiken, moeten medewerkers gebruikersprofielen hebben in zowel Azure AD als Personio. Het e-mailadres dat in Azure AD is ingevoerd in het veld dat je bij Claimveld hebt geselecteerd, moet overeenkomen met het e-mailadres dat in Personio wordt gebruikt.

 

Optioneel: Alleen single sign-on met Azure AD toestaan

Nadat je single sign-on met Azure AD hebt ingesteld, is aanmelden via OAuth optioneel. Je medewerkers kunnen kiezen of ze bij Personio willen inloggen met hun Personio-referenties of via OAuth.

Als je alle medewerkers wilt verplichten om zich aan te melden via OAuth, kun je op de knop Alleen OAuth toestaan klikken.

Heb je nog een vraag?

Vragen aan de Community Veelgestelde vragen bekijken