In dit artikel wordt uitgelegd hoe je single sign-on (SSO) in Personio configureert met Okta.
Met SSO kun je Personio koppelen aan een identiteitsprovider zoals Okta of Azure AD. Personio ondersteunt het OAuth 2.0-protocol, een open-source standaard voor het delegeren van toegang. Als dit correct ingesteld is, kunnen gebruikers zich authenticeren via de identiteitsprovider zonder de aanmeldgegevens van Personio te hoeven gebruiken.
Opmerkingen
▶︎ Als je SSO instelt met Okta, worden gebruikers van de Personio-applicatie niet automatisch gesynchroniseerd met Okta. Daarvoor moet je de integratie met Okta apart instellen. Lees meer over onze integratie met Okta.
▶︎ Zelfs als SSO is ingeschakeld, moet je nog steeds een uitnodigingsmail naar je medewerkers sturen. Als je dit niet doet, ontvangen ze geen e-mailnotificaties van Personio.
Volg de onderstaande stappen om SSO in Personio in te stellen met Okta.
1. Een nieuwe applicatie aanmaken in Okta
Tip
Open tijdens deze configuratie de Personio-app en Okta in aparte tabbladen.
- Ga in het Okta Administrator Dashboard naar APPLICATIONS > Applications.
- Klik op Create App Integration.
- In het venster Create a new app integration selecteer je OIDC - OpenID Connect als aanmeldmethode. Selecteer Web Application als het applicatietype dat wordt geïntegreerd met Okta. Klik op Next.
- Voer onder New Web Integration > General Settings de naam van de integratie in (bijvoorbeeld 'Personio') in het veld App integration name . Vink het vakje Client Credentials aan.
- Ga in Personio naar Instellingen > Integraties > Authenticatie > OAuth 2.0. Bij Providerinstellingen kopieer je de URL uit het veld Callback URI.
- Ga in Okta naar New Web Integration > General Settings. Plak de URL die je eerder hebt gekopieerd in het veld onder Sign-in redirect URIs. Selecteer onder Assignments het juiste toegangsniveau.
- Klik op Opslaan.
Tip
Als je wilt dat gebruikers zich kunnen aanmelden via de mobiele Personio-app, moet je ook de volgende callback-URL op de toelatingslijst zetten: https://auth.personio.de/providers/oauth/callback
2. URI's aanmaken en invoeren in Personio
Volg deze stappen om alle Uniform Resource Identifiers (URI's) aan te maken die nodig zijn voor het configureren van OAuth 2.0.
- Ga naar het Okta Administrator Dashboard > APPLICATIONS > Applications > General Settings. Kopieer het Okta-domein 'https://{jouwOktadomein}/oauth2'.
Opmerking
Het Okta-domein moet altijd eindigen op 'okta.com'. Je moet het standaarddomein gebruiken (bijvoorbeeld 'jouwbedrijf.okta.com') om de URI op aan te maken.Gebruik geen aangepast domein zonder 'okta.com' dat voor je bedrijf is ingesteld om de URI aan te maken. - Ga in Personio naar Instellingen > Integraties > Authenticatie > OAuth 2.0.
- Klik onder Configuratie op Bewerken .
- Plak in het veld Autorisatie-URI het Okta-domein dat je eerder hebt gekopieerd en gebruik dit als basis om de URI aan te maken (bijvoorbeeld 'https://{jouwOktadomein}/oauth2/v1/authorize').
- Voer in het veld Token-URI 'https://{jouwOktadomein}/oauth2/v1/token' in.
- Selecteer bij Gebruikersgegevens-URI 'GET' uit het keuzemenu en plak het Gebruikersgegevens-eindpunt 'https://{jouwOktadomein}/oauth2/v1/userinfo' in het veld. Het vakje Uitlezen van entiteiten uit ID-token overslaan is standaard aangevinkt. Dit betekent dat de gebruikersgegevens, met name het e-mailadres van de gebruiker, bij het aanmelden worden gelezen van de Gebruikersgegevens-URI in plaats van de Token-URI.
Opmerking
Bij het instellen van OAuth met Okta moet dit vakje zijn aangevinkt. - Voer in het veld Scopes 'openid, email' in. 'Email' verwijst naar het veld waarin het e-mailadres van de gebruiker is opgeslagen.
- Ga naar het Okta Administrator Dashboard > APPLICATIONS > Applications > General Settings. Kopieer onder Client Credentials de Client ID.
- Ga terug naar Personio. Plak de Client-ID die je eerder hebt gekopieerd uit Okta in het veld Client-ID.
- Ga terug naar Okta. Kopieer onder Client Credentials het Client secret.
- Ga terug naar Personio. Plak het clientgeheim dat je eerder hebt gekopieerd uit Okta in het veld Clientgeheim.
- Selecteer bij Claimveld de optie Standaardinstelling gebruiken.
3. Controleren en testen
- Controleer de gegevens die je in Personio hebt ingevoerd.
- Als je er zeker van bent dat je alle gegevens correct hebt ingevoerd, klik je op Opslaan om de gegevens op te slaan.
- Klik op Configuratietest uitvoeren om de OAuth-verbinding te testen.
Je wordt gevraagd je aan te melden bij Okta. Als er fouten zijn gevonden, wordt er een bericht weergegeven om je te helpen ze op te lossen.
Opmerking
Om SSO te kunnen gebruiken, moeten medewerkers gebruikersprofielen hebben in zowel Okta als Personio. Het e-mailadres dat in Okta is ingevoerd onder Directory > People > Primary moet overeenkomen met het e-mailadres dat in Personio wordt gebruikt.
Optioneel: Aleen single sign-on met Okta toestaan
Nadat je single sign-on met Okta hebt ingesteld, is aanmelden via OAuth optioneel. Je medewerkers kunnen kiezen of ze bij Personio willen inloggen met hun Personio-referenties of via OAuth.
Als je alle medewerkers wilt verplichten om zich aan te melden via OAuth, kun je op de knop Alleen OAuth toestaan klikken.
Meer informatie
Raadpleeg het Okta-referentiedocument OpenID Connect & OAuth 2.0 API voor meer informatie over het aanmaken van URI's.