Overslaan en naar hoofdcontent gaan

Waar kunnen we je mee helpen?

Je kunt als beheerder nu een kijkje nemen in het nieuwe Personio!

Ga naar de startpagina en zet de schakelaar om om het nieuwe intelligente HR-platform te verkennen, compleet met een fris ontwerp en nieuwe functies. Ga gerust vrijuit testen — je wijzigingen zijn tijdens deze vroege toegangsfase niet zichtbaar voor je medewerkers.

Single sign-on (SSO) in Personio configureren met Okta

In dit artikel wordt uitgelegd hoe je single sign-on (SSO) in Personio configureert met Okta. Volg de stappen om de installatie te voltooien.

Inzicht in SSO en OAuth

Met SSO kun je Personio koppelen aan een identiteitsprovider, zoals Okta of Microsoft Entra ID. Personio ondersteunt het OAuth 2.0-protocol, een open-source standaard voor het delegeren van toegang. Als het is ingesteld, authenticeren gebruikers via een identiteitsprovider. Ze hoeven hun Personio-referenties niet te gebruiken. Als je OAuth inschakelt, kunnen medewerkers met een Personio-profiel zich aanmelden bij hun account zonder uitnodigingsmail.

Opmerking:
Door SSO te configureren met Okta, worden gebruikers van de Personio-app niet automatisch gesynchroniseerd met Okta. Daarvoor moet je de integratie met Okta apart instellen. Lees meer over onze integratie met Okta.

1. Een nieuwe applicatie aanmaken in Okta

  1. Optioneel: open Personio en Okta in aparte tabbladen om de installatie te vereenvoudigen.
  2. Ga in het Okta Administrator Dashboard naar APPLICATIONS > Applications.
  3. Klik op Create App Integration.
  4. In het venster Create a new app integration selecteer je OIDC - OpenID Connect als aanmeldmethode. Selecteer Web Application als het applicatietype dat kan worden geïntegreerd met Okta. Klik op Volgende.
  5. Voer onder New Web Integration > General Settings de naam van de integratie in. Zet bijvoorbeeld 'Personio' in het veld App integration name. Selecteer het vakje Client Credentials.

  6. Ga in Personio naar Instellingen. Klik in de sectie Integraties op Authenticatie. Klik vervolgens op OAuth 2.0. Bij Providerinstellingen kopieer je de URL uit het veld Callback-URI.
  7. Ga in Okta naar New Web Integration > General Settings. Plak de URL die je eerder hebt gekopieerd in het veld onder Sign-in redirect URIs. Selecteer onder Assignments het juiste toegangsniveau.
  8. Je moet ook de volgende adressen invoeren in het veld onder Omleidings-URI's voor aanmelding:
  9. Sla je wijzigingen op.

Tip:
Als gebruikers moeten inloggen met de mobiele app van Personio, moet je ook de volgende callback-URL toevoegen aan de toelatingslijst: https://auth.personio.de/providers/oauth/callback 

2. URI's aanmaken en invoeren in Personio

Volg deze stappen om alle Uniform Resource Identifiers (URI's) aan te maken om OAuth 2.0 te configureren:

  1. Ga naar het Okta Administrator Dashboard > APPLICATIONS > Applications > General Settings. Kopieer het Okta-domein 'https://{yourOktaDomain}/oauth2'. Het Okta-domein moet altijd eindigen op'okta.com'. Je moet het standaarddomein gebruiken (bijvoorbeeld 'yourcompany.okta.com') om de URI op aan te maken. Gebruik geen aangepast domein zonder 'okta.com' dat voor je bedrijf is ingesteld om de URI aan te maken.
  2. Ga in Personio naar Instellingen. Klik in de sectie Integraties op Authenticatie. Klik vervolgens op OAuth 2.0.
  3. Klik onder Configuratie op Bewerken.

  4. Plak in het veld Autorisatie-URI het Okta-domein dat je eerder hebt gekopieerd. Gebruik deze als basis om de URI samen te stellen (bijvoorbeeld 'https://{yourOktaDomain}/oauth2/v1/authorize').
  5. Voer in het veld Token-URI 'https://{jouwOktadomein}/oauth2/v1/token' in.
  6. Selecteer onder Gebruikersgegevens-URI de optie GET in het vervolgkeuzemenu. Plak het Gebruikersgegevens-eindpunt 'https://{yourOktaDomain}/oauth2/v1/userinfo' in het veld. Het systeem vinkt het selectievakje Uitlezen van entiteiten uit ID-token overslaan standaard aan. Dit betekent dat het systeem bij het inloggen de gebruikersgegevens, waaronder het e-mailadres, leest vanaf de Gebruikersgegevens-URI in plaats van de Token-URI. Bij het instellen van OAuth met Okta moet je dit vakje aanvinken.
  7. Voer in het veld Scopes 'openid, email' in. In het veld 'E-mail' wordt het e-mailadres van de gebruiker opgeslagen.
  8. Ga naar het Okta Administrator Dashboard > APPLICATIONS > Applications > General Settings. Kopieer onder Client Credentials de Client ID.
  9. Ga terug naar Personio. Plak de Client-ID die je eerder hebt gekopieerd uit Okta in het veld Client-ID.
  10. Ga terug naar Okta. Kopieer onder Client Credentials het Client secret.
  11. Ga terug naar Personio. Plak het clientgeheim dat je eerder hebt gekopieerd uit Okta in het veld Clientgeheim.
  12. Selecteer onder Claimveld de optie Standaardinstelling gebruiken.

De velden issuer en JWKS-URI configureren

  • De issuer is de issuer-ID van de autorisatieserver in de autorisatiereactie. Voer in dit veld de waarde in van het veld issuer uit het eindpunt .well-known/openid-configuration van je SSO-provider.
  • De JWKS-URI (JSON Web Key Sets) is de detectie-URI van een set openbare sleutels. Deze sleutels verifiëren elke JSON-webtoken (JWT) die door de autorisatieserver wordt uitgegeven. Voer in dit veld de waarde in van het veld jwks_uri uit het eindpunt .well-known/openid-configuration van je SSO-provider.

Je vindt de velden issuer en jwks_uri in het discovery-document van je SSO-provider. Deze is meestal toegankelijk via een van deze URL's:

Tip:
Ga voor meer informatie over het aanmaken van URI's naar het Okta-document OpenID Connect & OAuth 2.0 API.

3. Controleren en testen

  1. Controleer de gegevens die je hebt ingevoerd in Personio.
  2. Dien de wijzigingen in.
  3. Klik op Configuratietest uitvoeren om de OAuth-verbinding te testen.
  4. Je moet je aanmelden bij Okta. Als er fouten zijn, verschijnt er een bericht om je te helpen het probleem op te lossen.

Om SSO te gebruiken, moeten medewerkers een gebruikersprofiel hebben in zowel Okta als Personio. Het e-mailadres dat in Okta is ingevoerd onder Directory > People > Primary moet overeenkomen met het e-mailadres dat in Personio wordt gebruikt.

Optioneel: SSO verplichten met Okta

Nadat je SSO met Okta hebt ingesteld, is aanmelden via OAuth optioneel. Je medewerkers kunnen inloggen bij Personio met hun Personio-referenties of via OAuth. Om alle medewerkers te verplichten om zich aan te melden via OAuth, klik je op OAuth verplichten

Help ons te verbeteren. Is deze pagina nuttig?