Sehr geehrte Damen und Herren,
aktuell bin ich dabei, Single Sign On für Microsoft Azure einzurichten bzw. auszurollen. Den dazugehörigen Helpdesk Artikel habe ich mir bereits angeschaut. Meine Fragen hierzu wären:
Vielen Dank vorab und freundliche Grüße! :)
Hallo
ich wandele Deine Frage in eine Diskussion um, damit sich alle User dazu noch besser austauschen können ;) Ich hör mich auch gerne einmal intern nach Erfahrungswerten um und teile sie dann anschließend hier mit Euch.
LG
Viktoria
Hallo
ich habe das mit Azure AD eingerichtet, funktioniert total schnukelig mit Conditional Access und MFA über Microsoft. Wenn du fragen hast, dann meld dich gerne.
Gruß
Oliver Mark
Hallo
kannst Du uns auch die Lösung sharen. Wir versuchen gerade die Anbindung mit ADFS 4.0 und kommen nicht weiter :-(
Danke und Grüße
+4
Lg, Thomas
Wir stehen vor der selben Herausforderung. Die SSO Integration mit dem AzureAD. Es wäre toll hier eine Hilfestellung z. B. das Dokument von
Hallo
anbei findet Ihr die von 
.
LG
Phillip
Hallo zusammen.
Weiß jemand, wie es sich bei Bestandsdaten verhält?
Wir planen die Einführung nachträglich. Nun gibt es die Mitarbeiter aber schon in getrennten Datensätzen. Ist ein Verschmelzen möglich? Was ist mit Backups, wenn es schiefgeht?
Grüße, Jonas
Hallo Zusammen,
das funktioniert aber nur sauber wenn man auch das Exchange von O365 benutzt, weil sonst das Feld Email im Azure nicht gesetzt ist. Die anderen Attribute, die über Oauth im Scope openID abgefragt werden, sind nicht Teil im Azure Active Directory.
Da wir zum Bespiel Gmail als Email client benutzen haben aktuell genau das Problem und können somit nur Google als SSO Anbieter an binden, wobei die SSO bei uns über Azure läuft. Hier wäre es ratsam noch den UPN mit den openID Stack aufzunehmen oder direkt auf SAML2.0 in Verbindung mit SCIM zu gehen.
Es sei denn jemand hat eine schlaue Lösung, wie das auch ohne das Email Feld funktioniert. Leider lassen sich die Attribute bei Oauth auch nicht customizen, wie eben bei SAML.
Cheers,
Mirco
Ich will ebenfalls die Integration bei uns nachträglich durchführen.
Ja, es hat bei mir tatsächlich reibungslos funktioniert.
Die Anleitung von
Im Endergebnis sieht es bei mir so aus, dass sich meine Kollegen wahlweise mit Zugangsdaten oder mit dem Microsoft-Account einloggen können. Verluste gab es keine und das System hat sogar von alleine gemerkt, wenn bei einem Mitarbeiter das Microsoft-Konto die gleiche Mailadresse wie im Personioprofil hatte und hat diese dann automatisch verknüpft.
Später sind wir übrigens so weit gegangen, dass wir die ID des Personio-Kontos aus der URL in der AAD als Mitarbeiter-Nummer hinterlegt haben. Ein selbst geschriebenes Script zieht sich täglich aus Personio bestimmte Daten wie Vorgesetzter, Abteilung und Location. Daraus stricken wir dann bei AAD dynamische Mail-Gruppen, die sich automatisch bestücken. Und auch Freigabe-Rechte in Sharepoint via Vorgesetzter läuft damit sehr glatt. Allerdings setzt all das voraus, dass die HR-Abteilung die Personio-Profile penibel pflegt.
Grüße, Jonas
Eine Frage hab ich aber noch. Die Anmeldung am Handy mit oAuth wird noch nicht unterstützt, richtig?
Ich erhalte bei der Anmeldung am Handy den Fehler, dass Microsoft mich nicht anmelden konnte.
Anbei ein Screenshot meiner Fehlermeldung:
Liebe Grüße
Joerg
Eine Frage hab ich aber noch. Die Anmeldung am Handy mit oAuth wird noch nicht unterstützt, richtig?
Ich erhalte bei der Anmeldung am Handy den Fehler, dass Microsoft mich nicht anmelden konnte.
Hallo Jörg.
Ich hatte das auch und habe kurz mit dem Support von Personio geschrieben.
Achte mal auf die korrekten Callback-URLs. In meinem Screenshot der obere rote Kasten.
Gruß, Jonas
Danke vielmals für die Unterstützung
Eine abschließende Frage zu diesem Thema hätte ich allerdings noch:
Wenn wir jetzt den Punkt aktivieren, dass die Anmeldung ausschließlich über oAuth stattfindet, wie kann sich dann ein Administrator im Fehlerfall bei Personio anmelden ohne oAuth verwenden zu müssen?
Eine abschließende Frage zu diesem Thema hätte ich allerdings noch:
Wenn wir jetzt den Punkt aktivieren, dass die Anmeldung ausschließlich über oAuth stattfindet, wie kann sich dann ein Administrator im Fehlerfall bei Personio anmelden ohne oAuth verwenden zu müssen?
Da bin ich mir nicht zu 100 Prozent sicher, da ich selbst keinen administrativen Zugang zu Personio bei uns habe. Allerdings denke ich, dass das System clever genug ist, sowas zu berücksichtigen. Im Zweifel würde ich einfach mal ein Admin-Konto bei Personio anlegen, welches kein Pendant in der AD hat. Dann muss ja zwangsläufig eine Anmeldung ohne oAuth erfolgen.
Eine abschließende Frage zu diesem Thema hätte ich allerdings noch:
Wenn wir jetzt den Punkt aktivieren, dass die Anmeldung ausschließlich über oAuth stattfindet, wie kann sich dann ein Administrator im Fehlerfall bei Personio anmelden ohne oAuth verwenden zu müssen?
Wäre gut wenn es hier von Seiten von Personio mal eine Aussage gäbe :)
+31vielen Dank für die Frage und den Hinweis. Markiert uns Moderatoren auch gerne, wenn ihr Rückfragen habt, dann bekommen wir auf jeden Fall eine Benachrichtigung und sehen den Beitrag. :)
Wenn ausschließlich OAuth aktiviert ist, können auch Admins sich ausschließlich mit dieser Login Methode anmelden. Sollte Euer Support-Zugriff offen sein und das Personio Support-Team Zugriff darauf haben, dann können sich die Account- und Kontoinhaber beim Support melden und bspw. eine Änderung in den Einstellungen zum optionalen OAuth anfordern. Sofern der Support Zugriff gegeben ist es an sich technisch möglich Euch zu unterstützen.
Ich hoffe, das hilft Euch weiter, beim Aufsetzen Eurer Einstellungen. :)
Liebe Grüße
Lena
Hallo zusammen,
Kurze Frage zu der Mail und Change vom 17.01.25
bleiben die beiden alten Links bestehen und es kommen nur die beiden dazu
oder werden die alten entfernt ?
(Um sicherzustellen, dass Ihr Euch weiterhin mit der Single Sign-On (SSO) Option anmelden könnt, müsst Ihr die folgenden zwei Callback-URLs vor dem 15. Februar 2025 in das entsprechende Feld in den Einstellungen Eures OAuth-Anbieters einfügen (in der Regel unter „Redirect URI“ oder „Erlaubte Callback-URLs“):)
Bitte benutze für die Registrierung die gleiche E-Mail-Adresse, die Du auch zum Login in Deinem Personio Account benutzt. Dies erleichtert es uns, Dir effektiv und effizient zu helfen, wenn wir z.B. etwas in Deinem Account überprüfen müssen. Bereits registriert? > Anmelden
Achtung: Dein öffentlicher Benutzername darf keine persönlichen Informationen wie E-Mail oder andere private Daten enthalten!
Die Service und Networking Community für alle Personio Kund*innen und HRler*innen. Solltest Du Dich noch nicht registriert haben, klicke bitte unten auf "Benutzerkonto erstellen". Benutzerkonto erstellen
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
