Weitere Attribute zur Synchronisierung hinzufügen
Troubleshooting und häufig gestellte Fragen
Über die Integration
Unsere Integration mit Okta ermöglicht es dir, eine automatische Userbereitstellung und/oder Single Sign-On (SSO) mit Okta für Leapsome einzurichten.
Die automatische Userbereitstellung mit Okta ermöglicht dir folgende Funktionen:
- Neue User in Leapsome übertragen: Wenn du in Okta einen neuen User erstellst und diesen der Leapsome-Anwendung zuweist, wird in Leapsome ein neuer User erstellt.
- Aktualisieren von Userprofilen: Aktualisierungen für einen User in Okta werden auch an Leapsome gesendet.
- User deaktivieren: Durch Deaktivieren des Users oder des Zugriffs des Users auf Leapsome in Okta wird der User in Leapsome deaktiviert.
- Importieren neuer User: In Leapsome erstellte User können in Okta übertragen und als neue AppUser erstellt werden, um sie mit vorhandenen Okta-Usern abzugleichen.
- Gruppen in Leapsome übertragen: In Okta erstellte Gruppen können in Leapsome übertragen werden. Zu den übertragenen Attributen gehören der Name der Gruppe und deren Mitglieder.
- Gruppen aus Leapsome übertragen: In Leapsome erstellte Gruppen können in Okta übertragen und dort als Referenz verwendet werden.
Aufsetzen der Integration
Bevor du loslegst
-
Füge die Leapsome App aus dem Okta App Catalog hinzu und konfiguriere die 'General Settings'. Bestätige deine Einstellungen mit Klick auf 'Done'
- Erstelle Zugriffsdaten in Leapsome1. Logge dich als Admin ein und navigiere zu 'Admin-Einstellungen' > 'Integrationen' > 'HRIS Integrationen'
2. Wähle den Reiter 'SCIM (Azure, Okta, OneLogin)'
3. Klicke auf 'Speichern & Synchronisieren'
4. Kopiere den SCIM-Authentifizierungstoken
Aktiviere die Integration in Okta
- Navigiere in Okta zu 'Applications' und klicke auf die Leapsome App.
- Gehe zum Reiter 'Provisioning' und klicke auf 'Configure API Integration'.
- Setze einen Haken in der Box 'API Token'.
- Trage in des Textfeld 'API Token' den SCIM-Authentifizierungstoken ein, den du zuvor in Leapsome erstellt hast.
- Wenn du einen Haken bei 'Import Groups' setzt, hast du die Möglichkeit, bereits in Leapsome vorhandene Teams zu Okta zu importieren. Da Du dies auch nach Aufsetzen der Integration noch erledigen kannst, lasse diese Box für den Moment gern leer.
- Klicke auf 'Test API Credentials', um zu überprüfen, ob dein Token korrekt funktioniert.
- Sofern der Test erfolgreich war, speichere deine Einstellunen mit einem Klick auf 'Save'.
Richte die Nutzerbereitstellung in Okta ein
1. Einstellungen im 'To App' Reiter
Aktiviere im 'To App' Reiter die folgenden Optionen durch Klick auf 'Edit':
- 'Create Users' (Der 'Default username' sollte dabei die Email sein - du kannst dies durch Kick auf 'Default username' anpassen)
- 'Update Users'
- 'Deactivate Users'
Wähle im Abschnitt 'Leapsome attribute mappings' die folgenden Einstellungen:
Zusätzlich zu diesem Mapping kann Leapsome automatisch 'Teams' auf Basis von Gruppen in Okta anlegen. Hier erfährst du mehr dazu.
2. Einstellungen im 'To Okta' Reiter
Wähle im 'To Okta' Reiter die folgenden Einstellungen:
- 'Schedule import': 'Never'
- 'Okta username format': 'Email Address'
3. User auf die Leapsome App zuweisen
Du kannst der App jetzt Personen zuweisen und das Setup abschließen. Für die initiale Userbereitstellung empfehlen wir zwei erzwungene Synchronisierungen: mit dem ersten Sync werden die User erstellt, und mit dem zweiten Sync werden die Berichtslininen aktualisiert sowie Führungskräfte zugewiesen.
Weitere Attribute zur Synchronisierung hinzufügen
Abseits des oben gezeigten Mappings kannst du auch weitere Attribute zur Synchronisierung zwischen Okta und Leapsome hinzufügen.
1. Erstelle die Leapsome Ziel-Attribute in Okta
Wenn du weitere Attribute hinzufügen möchtest, navigiere zum Reiter 'Provisioning' > 'To App' und klicke auf 'Go to Profile Editor' > 'Add attribute'. Innerhalb dieses Menüs wirst du nun zunächst diejenigen Leapsome-Attribute anlegen, an die Okta Daten schicken soll.
Du kannst verschiedenste Standardattribute, aber auch benutzerdefinierte Attribute in Leapsome als Ziel-Attrubut auswählen. Damit Leapsome die Daten auslesen kann, verwende bitte die exakten Namensbezeichnungen, sowie den Namespace (siehe unten):
'External Namespace':
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User
-
Location:
- external name: location
- Notwendiges Format: string
-
Start date
- external name: startDate
- Notwendiges Format: string, YYYY-MM-DD
-
End date
- external name: startDate
- Notwendiges Format: string, YYYY-MM-DD
-
Birthday
- external name: birthday
- Notwendiges Format: string, YYYY-MM-DD
-
Level
- external name: level
- Notwendiges Format: string
-
Zusätzliche Führungskräfte
- external name: additionalManagers
- Notwendiges Format: string; Komma-getrennte Liste der Email-Addressen aller zusätzlichen Führungskräfte eines Users
-
Benutzerdefinierte Attribute
- external name: ID des benutzerdefinierten Attributs aus Leapsome, z.B. 62fdf81aad7b3e32f4040f2e
Wenn du Daten aus Okta an ein benutzerdefiniertes Attribut in Leapsome schicken möchtest, erstelle bitte zunächst das dazugehörige Attribut in Leapsome nach dieser Anleitung. Kopiere dann die ID dieses Attributs, um sie in Okta anzugeben.
2. Definiere das Mapping für die zusätzlichen Attribute
Sobald alle gewünschten Attribute kreiert sind, klicke bitte im 'Profile Editor' auf 'Mappings' und wähle den Reiter 'Okta User to Leapsome'. Wähle dann, welche Daten aus Okta in die neu angelegten Attribute fließen sollen.
Bitte beachte, dass die zusätzlichen Attribute erst mit der zweiten Synchronisierung an Leapsome übertragen werden. Bitte stelle daher sicher, dass du mindestens zwei Synchronisierungen erzwingst, sobald du das Setup fertiggestellt hast.
Troubleshooting und häufig gestellte Fragen
Cost center und Department als 'Team'
Bis Juli 2024 hat Leapsome nicht zwischen verschiedenen Arten von Teams unterschieden. Dadurch wurden Werte von Attributen, die zu costCenter oder department gemapped wurden, in Leapsome als 'Team' angezeigt.
Seit Juli 2024 kann Leapsome zwischen Team, Abteilung, Kostenstelle, Bereich und Geschäftseinheit unterscheiden. Dementsprechend werden seither Werte von Attributen, die zu costCenter oder department gemapped wurden, in Leapsome als 'Kostenstelle' bzw. 'Abteilung' angezeigt.
Möchtest du zusätzliche 'Teams' hinzufügen, nutze dafür am Besten Gruppen, wie hier beschrieben.
Führungskräfte werden nicht synchronisiert
Stelle vor der Userbereitstellung sicher, dass die Führungskraft auch als User in Leapsome vorhanden ist. Leapsome ignoriert alle Führungskraft-Zuordnungen, die Führungskräfte enthalten, welche noch nicht als User in Leapsome vorhanden sind.
Okta sendet die im Feld managerId vorhandenen Informationen zur Führungskraft eines Users. Die Informationen im Feld können folgende sein:
- die E-Mail-Adresse für die Führungskraft
- eine Leapsome ID für den User
- Oktas ID für den User
Stelle sicher, dass dieses Feld ausgefüllt ist. Für die initiale Userbereitstellung empfehlen wir zwei erzwungene Synchronisierungen: mit dem ersten Sync werden die User erstellt, und mit dem zweiten Sync werden die Reporting Lines aktualisiert, und damit die Führungskräfte zugewiesen.
Ein erzwungener Sync behebt mein Problem nicht. Was kann ich noch probieren?
In manchen Fällen behebt auch ein erzwungener Sync in Okta bestehende Probleme (wie z.B. dass bestimmte Attribute nicht an Leapsome übergeben werden oder User nicht korrekt (de-) aktiviert werden) nicht.
Wenn eine erzwungene Synchronisierung nicht das gewünschte Resultat erzielt, befolge die folgenden Schritte und stoße dann eine neue Synchronisierung an:
- Deaktivere User de-provisioning in Okta
- Hebe die Zuwisung der Leapsome-App für alle User in Okta auf
- Weise die Leapsome-App allen Usern in Okta wieder zu
- Reaktiviere User de-provisioning in Okta
'userName' eines Users ändern
Leapsome hängt von der Eindeutigkeit der E-Mail-Adresse eines Users ab. Daher schlägt die User-Bereitstellung fehl, wenn der userName eines Users aktualisiert wird, die E-Mail-Adresse jedoch nicht.
Aktualisierungen oder De-Provisioning funktioniert bei einigen Usern nicht
Dieses Problem kann auftreten, wenn ein User manuell oder vor der Aktivierung von SCIM zu Leapsome hinzugefügt wurde. Weitere Informationen findest du unter 'Manuell zu Leapsome hinzugefügte User' weiter unten.
'Email address already in use?' Fehler-Meldung beim Erstellen eines Users
Dieses Problem kann auftreten, wenn ein User manuell oder vor der Aktivierung von SCIM zu Leapsome hinzugefügt wurde. Weitere Informationen findest du unter 'Manuell zu Leapsome hinzugefügte User' weiter unten.
Manuell zu Leapsome hinzugefügte User
User, die manuell oder vor der Aktivierung von SCIM zu Leapsome hinzugefügt wurden, werden möglicherweise nicht von Okta getrackt. Damit Okta die Mitgliedschaft dieser User zum Leapsome Account erkennt, führe einen 'Import' in Okta durch. Navigiere zur Leapsome-App in Okta, und dort zum Tab 'Import' und klicke auf 'Import now'.
Eine Liste der Leapsome User und möglichen Übereinstimmungen mit Okta Usern wird unten aufgeführt. Klicke auf 'Confirm Assignments'. Diese User werden nun von Okta getrackt, aktualisiert und beim De-Provisioning berücksichtigt. Stelle sicher, dass alle User, die du aus Leapsome importieren möchtest, aktiv sind, da inaktive User nicht von Okta importiert werden.
Gruppen in Okta nutzen, um 'Teams' in Leapsome zu erstellen und aktualisieren
Wir empfehlen, zuerst Gruppen in Okta zu erstellen und diese Gruppen dann über den 'Push Groups' Button in Okta an Leapsome zu übertragen.
Wenn du bereits Gruppen in Leapsome angelegt hast und diese Gruppen denen in Okta zuordnen möchtest, führe die folgenden Schritte aus:
- Erstelle in Okta eine gleichnamige Gruppe. Wenn beispielsweise in Leapsome ein 'Strategie' Team vorhanden ist, erstelle diese 'Strategie' Gruppe ebenfalls in Okta.
- Füge die Mitglieder zu der Gruppe in Okta hinzu.
- Übertrage die Gruppe in die Leapsome App (nur der Name der Gruppe und ihre Mitglieder werden übertragen).
Wenn eine Gruppe in Okta denselben Namen wie eine vorhandene Gruppe in Leapsome hat, wird durch Übertragen der Gruppe von Okta nach Leapsome keine neue Gruppe erstellt. Stattdessen die Gruppe in Leapsome inkl. ihrer Mitglieder durch die Gruppe in Okta überschrieben.
Single Sign-On (SSO) mit Okta
Möchtest du Single Sign-On durch Okta aufzusetzen, findest du innerhalb Okta eine Schritt für Schritt Anleitung. Diese beinhaltet auch die Felder, die in Leapsome eingetragen werden müssen: SSO Login URL und Base64-encoded certificate. Du findest die Anleitung in der Leapsome application in Okta > Sign-On > Klick auf "View SAML setup instructions" auf der rechten Seite.