Login via SSO für neue User nicht möglich

Hi ​@klingsen,

Verständnisfrage: geht es um neue Kollegen, die sich vorher noch nie bei Personio angemeldet haben?

Dann liegt es nicht am SSO, sondern am Initial-Status des Accounts in Personio.

Man muss hier zwei Dinge unterscheiden: Das SSO übernimmt ja nur die reine Authentifizierung (also die Bestätigung: 'Ja, das ist Max Mustermann'). Damit Personio diesen User aber beim allerersten Mal überhaupt reinlässt, muss der Account systemseitig initialisiert sein.

Auch wenn der Status auf 'aktiv' steht, fehlt bei ganz neuen Usern, die sich noch nie eingeloggt haben, dieser 'Startschuss'. Wenn ihr den Login manuell aktiviert (bzw. die Einladung triggert), wird der Account im Hintergrund für den Zugriff freigeschaltet. Erst danach kann das SSO greifen. Es ist also eine vorgelagerte Account-Einstellung und kein Fehler im SSO-Protokoll.

Viele Grüße

Sarah

Hallo Sarah,

in der Tat verstehe ich es so, dass es reicht, wenn die Accounts angelegt und aktiv sind und die User sich per SSO anmelden können. Wir haben das meiner Meinung nach in der Vergangenheit auch genau so gehandhabt und erst die letzten Mitarbeiter konnten sich auf einmal nicht mehr anmelden, ohne dass wir die Einladung manuell getriggert haben.

Zusätzlich müssen die KollegInnen jetzt alle durch einen Einrichtungsassistenten, dies war vorher auch nicht so (nach Aussage von KollegInnen). Ist da irgendwas geändert worden?

Danke für Deine Antwort.

Liebe Grüße

Ole

Hi ​@klingsen,

es war schon immer so, dass die Account einmal initial aktiviert werden müssen. Erst danach kann SSO funktionieren. Da hat sich nichts geändert.

Viele Grüße

Sarah

Hallo zusammen, 

ich kann mich ehrlich gesagt den Erfahrungen von ​@klingsen nur anschließen. Wir haben jetzt den Zugriff für alle Mitarbeiter ausgerollt. Wir haben hier lediglich den Link zu Personio verteilt, da sich alle per Single Sign-On anmelden können. Ein Teil der Mitarbeiter konnte sich initial auch ohne Einladungsmail einloggen und der andere Teil klingelt bei uns durch und bittet um die Einladungsmail. Also so ganz kann die Aussage nicht stimmen bzw. scheint das System nicht nach dieser Aussage zu funktionieren.

Viele Grüße
Heike

Hallo zusammen, 

ich habe mittlerweile eine Info vom Support dazu erhalten. Der Prozess, dass alle Mitarbeiter aktiv einen Einladungslink erhalten müssen wurde Ende letzten Jahres durch Personio für alle Kunden implementiert (vorher ging es mit SSO auch ohne). Wir haben dadurch definitiv einen Mehraufwand und fühlten uns durch die Voraussetzung, dass die neuen MA einen SSO-Account haben müssen auch schon sicher genug.

Der Kollege von Personio hat mein Feedback diesbezüglich an das Produkt-Team weitergegeben.

Beste Grüße

Ole

Hallo ​@klingsen,

danke für deine Info und das Feedback an Personio. 

Seitens Personio wurde aber nicht informiert, dass neue Mitarbeiter auch mit Single Sign-On aktiviert werden müssen - oder haben wir das einfach nur übersehen? 

Wenn das nun so ist, wäre es seitens Personio schön, wenn man zwischen zwei Einladungsmails wählen könnte. Eine Einladungsmail, um sich mit einer Mail-Adresse, die sich nicht in unserer AD befindet, zu registrieren. Eine zweite Variante der Einladungsmail für Single Sign-On, die lediglich auf die Personioseite verlinkt und keine Registrierung erfordert. Denn die aktuelle Mail verwirrt die Personen für Single Sign-On nur, denn diese sollen sich ja ausdrücklich nicht registrieren, da alles über die AD läuft. 

Ich sehe es zudem auch so wie du, für uns ist der Roll out damit ein erheblicher Mehraufwand. 

Viele Grüße
Heike

Hallo ​@Heike_,

ich habe auch keinerlei aktive Information dazu gesehen, uns ist es auf die Füsse gefallen, als sich die ersten MA nicht mehr einloggen konnten. ;-( 

Ich habe Dein zusätzliches Feedback soeben noch als Antwort auf meine Anfrage beim Support platziert.

Beste Grüße

Ole

Hallo ​@Heike_ ,

ich muss mich leider korrigieren, der Support ist nicht mehr per Mail erreichbar (auf meine Mail kam ein Autoresponder), man muss jetzt erst über den Assistenten gehen.

Interessant ist, was der Assistent zu unserer Frage sagt:

Ich schaue mir die Informationen zu SSO und Einladungs-E-Mails für Sie an. Basierend auf den Informationen zu SSO in Personio kann ich Ihnen folgendes erklären:

SSO und Einladungs-E-Mails

Wenn Sie OAuth in Verbindung mit SSO aktivieren, können Mitarbeiter, die bereits ein Personio-Profil haben, sich ohne Einladungs-E-Mail in ihrem Konto anmelden. Sie authentifizieren sich dann direkt über den Identity Provider (z. B. Okta, Microsoft Entra ID oder Google Workspace).

Wichtige Punkte:

Ohne OAuth-Aktivierung:

• Mitarbeiter benötigen zunächst eine Einladungs-E-Mail, um sich erstmalig anzumelden
• Dies gilt auch bei aktiviertem SSO

Mit OAuth-Aktivierung:

• Mitarbeiter mit bestehendem Personio-Profil können sich direkt über SSO anmelden
• Keine Einladungs-E-Mail erforderlich

Ich bin jetzt den mühsamen Weg einer neuen Anfrage an den Support gegangen. Ich gebe Feedback, wenn eine Antwort kommt.

Beste Grüße

Ole

Hallo Zusammen, 

ich kann mich diesem Thema nur anschließen und wir erleben es genauso. Und auch die Email ist verwirrend für neue Mitarbeiter und wirft kein professionelles Licht auf das Onboarding. 
Eine Info seitens Personio gab es hierzu leider nicht… 
 

Ich bin gespannt, was ihr in Erfahrung bringen könnt. 

Liebe Grüße

Nina

Hallo zusammen, 

ich kann mich hier auch nur anschließen. 

die Umstellung ist ein eindeutiger Mehraufwand und, wie bereits von anderen Usern erwähnt, überhaupt nicht professionell. Wir nutzen auch SSO zum einloggen. Wir haben im Team schon an uns gezweifelt, ob wir bei der Anlage neuer Mitarbeiter etwas falsch gemacht haben. 

Es wäre wünschenswert von Personio dies wieder zu ändern. Das System soll ja schließlich eine Erleichterung und kein Mehraufwand sein!!

Viele Grüße

Julia

Hallo ​@Heike_ ,

das Support-Team hat auf meine erneute Rückmeldung geantwortet, ist jedoch leider nicht auf Deine zusätzlichen Anmerkungen bezüglich der Einladungsmail eingegangen sondern hat nur eine Rückmeldung zu dem anderen Punkt gegeben: 

Aktuell kann ich Dir jedoch leider keine alternative Lösung oder Konfiguration anbieten, z. B. eine API-basierte Einladung oder unterschiedliche Einladungstypen für SSO. Sollten sich hier künftig neue Möglichkeiten ergeben, werden diese wie gewohnt über unsere Release Notes kommuniziert.

Vielleicht trittst Du auch mit dem Support in Kontakt, das scheint hier ja doch einige Kunden zu betreffen?

Beste Grüße

Ole