In dit artikel wordt uitgelegd hoe je single sign-on (SSO) in Personio configureert met Microsoft Entra ID. Volg de stappen om de installatie te voltooien.

Inzicht in SSO en OAuth

Met SSO kun je Personio koppelen aan een identiteitsprovider, zoals Microsoft Entra ID of Okta. Personio ondersteunt het OAuth 2.0-protocol, een open-source standaard voor het delegeren van toegang. Als het is ingesteld, authenticeren gebruikers via een identiteitsprovider. Ze hoeven hun Personio-referenties niet te gebruiken. Als je OAuth inschakelt, kunnen medewerkers met een Personio-profiel zich aanmelden bij hun account zonder uitnodigingsmail.

Opmerking:
Als je SSO instelt met Microsoft Entra ID, worden gebruikers van een Personio-applicatie niet automatisch gesynchroniseerd met Microsoft Entra ID. Daarvoor moet je de integratie met Microsoft Entra ID apart instellen. Lees meer over onze integratie met Microsoft Entra ID.

1. Registreer en maak een nieuwe applicatie aan in Microsoft Entra ID

1. Optioneel: open Personio en Microsoft Entra ID in aparte tabbladen om de installatie te vereenvoudigen.
2. Ga in het Microsoft Entra ID-beheercentrum naar Microsoft Entra ID > App-registraties.
3. Klik op Nieuwe registratie om een nieuwe applicatie, zoals Personio, in Azure AD te registreren.
   

   

4. Voer in het veld Naam een naam in voor de applicatie, bijvoorbeeld 'Personio SSO'.
5. Selecteer onder Ondersteunde accounttypes het accounttype dat de applicatie kan gebruiken of toegang kan krijgen tot de API. Om beveiligingsredenen raden we je aan Alleen accounts in deze organisatiemap (single-tenant) te selecteren. Met de andere opties zou het voor gebruikers van andere tenants mogelijk kunnen zijn om zich aan te melden bij Personio-accounts.
6. Ga in Personio naar Instellingen. Klik in de sectie Integraties op Authenticatie. Klik vervolgens op OAuth 2.0.
7. Kopieer onder Providerinstellingen de tekst naast Callback-URI. 
8. Ga terug naar Microsoft Entra-ID. Plak de callback-URI die je vanuit Personio hebt gekopieerd in het veld onder Omleidings-URI.
9. Je moet ook het volgende adres invoeren in het veld onder Omleidings-URI:
   • https://www.personio.nl/login/?_gl=1*m4ut7x*_gcl_au*MjU0ODk4OTUwLjE3MzQ5NzczOTA.*FPAU*MTEyNTMzOTQzOS4xNzM0OTc3Mzg4
   • https://login.personio.com/login/callback
10. Zorg ervoor dat je Web selecteert in het vervolgkeuzemenu als het omleidingstype. 
11. Registreer de applicatie.

Er verschijnt een bevestigingsbericht en het systeem verwijst je door naar de nieuwe applicatie.

Tip:
Als je SSO wilt gebruiken in de mobiele Personio-app, voeg je deze callback-URI toe aan de omleidings-URI's in Entra ID: https://auth.personio.de/providers/oauth/callback

2. URI's kopiëren naar Personio

Nadat je de Personio-applicatie hebt gemaakt, moet je de autorisatie-URI en de Token-URI van Microsoft Entra ID naar Personio kopiëren. Je moet ook de Gebruikersgegevens-URI aan Personio toevoegen.

Opmerking:
Microsoft stelt de Gebruikersgegevens-URI in op:https://graph.microsoft.com/oidc/userinfo. Deze is niet specifiek voor jouw Microsoft Entra ID-domein. https://graph.microsoft.com is niet voldoende.

1. Ga in de nieuwe applicatie die je hebt aangemaakt in Microsoft Entra ID naar Overzicht > Eindpunten en klik op Eindpunten.
   
   

   

2. Kopieer de waarde in het veld OAuth 2.0-autorisatie-eindpunt (v2).
3. Ga in Personio naar Instellingen. Klik in de sectie Integraties op Authenticatie. Klik vervolgens op OAuth 2.0.
4. Klik onder Configuratie op Bewerken.
   

   

5. Plak de waarde die je eerder hebt gekopieerd van het veld OAuth 2.0-autorisatie-eindpunt (v2) in het veld Autorisatie-URI.
6. Ga terug naar Overzicht > Eindpunten in Microsoft Entra ID. Kopieer de waarde in het veld OAuth 2.0-token-eindpunt (v2).
7. Ga terug naar Personio. Plak de waarde in het veld Token-URI.
8. Selecteer onder Gebruikersgegevens-URI de optie GET in het vervolgkeuzemenu. Plak het Gebruikersgegevens-eindpunt 'https://graph.microsoft.com/oidc/userinfo' in het veld. Het systeem vinkt het selectievakje Uitlezen van entiteiten uit ID-token overslaan standaard aan. Dit betekent dat het systeem bij het inloggen de gebruikersgegevens, waaronder het e-mailadres, leest vanaf de gebruikersgegevens-URI, niet de token-URI. Vink het selectievakje uit als je gebruikersinformatie bij de login wilt aflezen van de Token-URI in plaats van de Gebruikersgegevens-URI. Hierdoor wordt het mogelijk om OAuth gebruiken met Active Directory Federation Services (ADFS).
9. Bij Scopes, voer je 'openid, email' in.

De velden issuer en JWKS-URI configureren

• De issuer is de issuer-ID van de autorisatieserver in de autorisatiereactie. Voer in dit veld de waarde in van het veld issuer uit het eindpunt .well-known/openid-configuration van je SSO-provider.
• De JWKS-URI (JSON Web Key Sets) is de detectie-URI van een set openbare sleutels. Deze sleutels verifiëren elke JSON-webtoken (JWT) die door de autorisatieserver wordt uitgegeven. Voer in dit veld de waarde in van het veld jwks_uri uit het eindpunt .well-known/openid-configuration van je SSO-provider.

Je vindt de velden issuer en jwks_uri in het discovery-document van je SSO-provider. Deze is meestal toegankelijk via een van deze URL's:

• https://example-provider.com/well-known/openid-configuration
• https://example-provider/oauth2/token/.well-known/openid-configuration
• https://example-provider.com/oauth2/authorize/.well-known/openid-configuration
• https://example-provider.com/v2.0/.well-known/openid-configuration

3. Een nieuw clientgeheim registreren

1. Ga in de applicatie die je hebt aangemaakt in Microsoft Entra ID naar Beheren > Certificaten en geheimen.
2. Selecteer Clientgeheimen.
3. Het venster Een clientgeheim toevoegen verschijnt.
4. Voer in het veld Omschrijving een naam in voor het clientgeheim. Kies vervolgens de betreffende vervaldatum in het vervolgkeuzemenu Vervalt.
5. Klik op Toevoegen.
6. Er opent een pagina met een overzicht van de referenties van de applicatie. Kopieer de waarde in de kolom Waarde.
   
   

   

7. Ga in Personio naar Instellingen. Klik in de sectie Integraties op Authenticatie. Klik vervolgens op OAuth 2.0.
8. Klik onder Configuratie op Bewerken.
9. Plak de waarde die je eerder hebt gekopieerd in het veld Clientgeheim.
10. Ga terug naar Microsoft Entra ID > Overzicht. Kopieer de waarde voor Applicatie-ID (client).
11. Ga terug naar Personio. Plak de waarde in het veld Client-ID.

4. De claim selecteren

Selecteer onder Claimveld het veld in Microsoft Entra ID met de e-mailadressen van je medewerkers. Om te verifiëren dat een medewerker in Personio bestaat, controleren we of de waarde in dit veld overeenkomt met het e-mailadres dat in Personio wordt gebruikt. Afhankelijk van je instellingen in Microsoft Entra ID, kun je kiezen tussen 'email', 'unique_name', 'sub' en 'upn'.

Tip:
Als je Standaardinstelling gebruiken selecteert, zullen we de velden 'email', 'unique_name' en 'sub' in de aangegeven volgorde controleren totdat we er een vinden die een waarde bevat.
Als de e-mailadressen van je medewerkers in het veld User Principal Name (UPN) in Microsoft Entra ID staan, selecteer je hier 'upn'.

5. Controleren en testen

1. Controleer de gegevens die je hebt ingevoerd in Personio.
2. Dien de wijzigingen in.
3. Klik op Configuratietest uitvoeren om de OAuth-verbinding te testen.
4. Je moet je aanmelden bij Microsoft Entra ID. Als er fouten zijn, verschijnt er een bericht om je te helpen het probleem op te lossen.

Om SSO te gebruiken, moeten medewerkers een gebruikersprofiel hebben in zowel Microsoft Entra ID als Personio. Het e-mailadres dat je in Microsoft Entra ID hebt ingevoerd in het veld dat je bij Claimveld hebt geselecteerd, moet overeenkomen met het e-mailadres dat in Personio wordt gebruikt.

Optioneel: alleen SSO met Microsoft Entra ID toestaan

Nadat je SSO met Microsoft Entra ID hebt ingesteld, is aanmelden via OAuth optioneel. Je medewerkers kunnen inloggen bij Personio met hun Personio-referenties of via OAuth. Om alle medewerkers te verplichten om zich aan te melden via OAuth, klik je op OAuth verplichten.