La fonctionnalité d'authentification unique (ci-après SSO) offre une sécurité à grande échelle en éliminant les mots de passe
es utilisateurs, en contrôlant l'accès et en gérant les informations de connexion en utilisant l'IdP de votre entreprise via SAML et OAuth (Office 365, Okta, Azure, Active Directory, Google, OneLogin...).
Il s'agit d'une fonctionnalité supplémentaire, que vous pouvez activer en mettant à niveau votre espace de travail vers le plan Entreprise.
En fonction du type d'hébergement, il y a différentes façons de la configurer dans Clockify :
Afin d'utiliser le SSO, vous devez d'abord déplacer votre espace de travail vers un sous-domaine. Après cela, vous pouvez ajouter la configuration SSO et désactiver les autres formes de connexion.
Avant de pouvoir configurer et commencer à utiliser le SSO pour l'autorisation, vous devez déplacer votre domaine Clockify appli vers un sous-domaine personnalisé.
Lorsque vous passez votre abonnement Clockify au plan Entreprise, vous obtenez un onglet Authentication dans les Paramètres del'espace de travail. Vous pourrez y entrer le sous-domaine que vous souhaitez utiliser et y déplacer votre espace de travail.
Pour configurer un sous-domaine :
Accédez à l'onglet Authentication dans les Paramètres de l'espace de travail
Saisissez votre sous-domaine personnalisé dans le champ prévu à cet effet
Cliquez sur Créer un sous-domaine et Créer pour confirmer l'action
Après avoir créé votre sous-domaine et y avoir déplacé votre espace de travail, la connexion Google ne fonctionnera plus pour vous et vos utilisateurs.
Si vous souhaitez toutefois utiliser la connexion Google, vous devez la mettre en place manuellement en configurant OAuth2 pour le SSO.
Après avoir créé votre sous-domaine, vous serez automatiquement déconnecté de toutes les applications auxquelles vous étiez connecté avec votre compte Clockify. Vous n'y aurez accès qu'à travers le sous-domaine que vous avez créé (p. ex. https://yourcompanysubdomain.clockify.me/login).
Le sous-domaine est lié à un seul espace de travail. Les utilisateurs d'un sous-domaine ne peuvent pas avoir plusieurs espaces de travail : ils n'ont pas de sélecteur d'espace de travail, n'ont pas d'espace de travail dans la barre latérale, et ne peuvent pas accéder à l'espace de travail du sous-domaine depuis le domaine principal.
Si vous avez plusieurs espaces de travail, vous devez vous connecter au domaine principal de Clockify afin d'y accéder.
Pour des raisons de sécurité, chaque utilisateur d'un sous-domaine reçoit une clé API distincte qui ne fonctionne que pour cet espace de travail. En d'autres termes, personne ne peut accéder à vos données sur le sous-domaine à moins de disposer de l'autorisation appropriée.
Si, par exemple, vous avez un utilisateur avec deux espaces de travail Entreprise distincts, les propriétaires de ces espaces de travail ne peuvent pas voir ou obtenir les données de leurs comptes respectifs.
Une fois que vous êtes dans l'espace de travail du sous-domaine, vous pouvez inviter les utilisateurs un par un en utilisant l'email (comme auparavant), ou laisser n'importe qui se joindre sans avoir à les inviter manuellement.
Pour permettre à quiconque de se joindre à vous, cochez la case Les utilisateurs peuvent se joindre sans invitation.
Si vous utilisez le SSO et qu'une personne sans compte se connecte, un compte sera automatiquement créé pour elle et elle sera connectée.
Si vous autorisez l’option Se connecter avec l'adresse email et le mot de passe, les utilisateurs pourront créer un compte et rejoindre automatiquement votre espace de travail.
L'application Android a été migrée du domaine clockify.me vers le sous-domaine app.clockify.me. Par conséquent, toutes les configurations SSO supportées par Clockify, doivent également contenir des liens vers app.clockify.me. Par exemple, dans la section URL de redirection ajoutez le lien https://app.clockify.me/login/android/oauth2 de fin https://clockify.me/login/android/oauth2 .
Clockify supporte tous les principaux fournisseurs d'identité SSO :
Seul le propriétaire de l'espace de travail peut voir l'ongle Autorisation , gérer le sous-domaine, configurer le SSO et activer/désactiver le SSO.
Si vous souhaitez obliger tout le monde à se connecter avec le SSO, décochez la case Se connecter avec l'adresse email et le mot de passe. Une fois cette modification enregistrée, tous les mots de passe associés aux comptes de vos membres ne fonctionneront plus et il leur sera demandé d'utiliser le SSO.
Vous pouvez toujours modifier les informations ou supprimer la configuration (dans ce cas, les personnes devront se connecter à l'aide de l'email et du mot de passe).
Le propriétaire peut toujours se connecter en utilisant l'email et le mot de passe d'origine à l'adresse https://mysubdomain.clockify.me/login-owner
Pour ajouter l'État de relais par défaut, utilisez les paramètres ci-dessous.
Veillez à utiliser des guillemets droits au lieu des crochets, sinon cela ne fonctionnera pas.
Dans le formulaire Paramètres généraux , entrez les informations suivantes et cliquez sur Suivant
Nom de l'appli: ex. Clockify
Logo: p. ex. télécharger le logo Clockify
Dans Configurer SAML , entrez les informations suivantes :
URL d'authentification unique (ou ACS) : URL spécifique à laquelle les assertions SAML d'Okta doivent être envoyées (p. ex. https://global.api.clockify.me/auth/saml2)
URI de l'audience (ID de l'entité dans votre application) : Identificateur unique de votre application personnalisée ; identique à l'ID de l'entité dans le champ d'authentification SAML (p. ex. https://yourcompanysubdomain.clockify.me)
l'État de relais par défaut: Authentification initiée par l'IDP afin que les utilisateurs puissent se connecter à Clockify directement depuis le tableau de bord Okta
Veillez à mettre des guillemets droits au lieu des crochets, sinon cela ne fonctionnera pas.
Laissez tout le reste tel quel et cliquez sur Suivant.
Dans Feedback, cochez Je suis un client Okta qui ajoute une application interne et cliquez sur Terminer.
Vous devriez obtenir un écran qui ressemble à ceci :
Comme dernière étape de cette section, cliquez sur le bouton Afficher les instructions d’installation (voir la capture d'écran ci-dessus).
Dans Comment configurer SAML 2.0 pour l'application Clockify, vous obtiendrez la liste des données dont vous avez besoin pour configurer votre application Clockify.
Étape 3 : Ajouter la configuration SSO dans Clockify #
Maintenant, dans Clockify, dans l'écran Authentification où vous avez créé votre sous-domaine :
Cliquez sur Configurer le SSO en bas de l'écran
Choisissez SAML2 comme type d'authentification
Choisissez Okta comme modèle IdP
Le formulaire d'authentication SAML2 apparaît :
Saisissez les éléments suivants :
Id d’entité (URI d'audience dans Okta) : p. ex. https://yourcompanysubdomain.clockify.me
Url de métadonnées:
Retournez sur Okta
Copiez le lien du fournisseur d'identité des métadonnées depuis la section Paramètres dans Okta
Sauvegardez-le en tant que fichier .xml et téléchargez-le sur Clockify
SAML SSO URL : Copier/coller l'URL de l'authentification unique du fournisseur d'identité depuis Okta intitulé Comment configurer SAML 2.0 pour l'application Clockify
Avancé : Copier/coller le certificat X.509 depuis Okta
Enfin, votre écran dans Clockify devrait ressembler à quelque chose comme ceci :
et
Cliquez sur Terminer la configuration pour terminer le processus et activer la Connexion avec SAML2. En option, désactivez l'option Se connecter avec l'adresse email et le mot de passe.
Naviguez vers Utilisateurs (c'est ici que vous choisissez quels utilisateurs de votre compte OneLogin pourront accéder à Clockify)
Cliquez sur l'utilisateur spécifique
Dans Applications, cliquez sur le signe + pour ajouter une application
Choisissez Clockify
Cliquez sur Continuer et Enregistrer
Dans Clockify, cliquez sur Terminer la configuration pour terminer le processus et activer la Connexion avec SAML 2.0. En option, vous pouvez désactiver l’option Se connecter avec l'adresse email et le mot de passe.
Et c'est tout ! Vous et les utilisateurs de votre espace de travail pouvez maintenant vous connecter à votre espace de travail avec SAML 2.0.
Insert the following – Nom de l'appli: par ex. https://yourcompanysubdomain.clockify.me/ – Description: e.g. Clockify SAML2 demo app – App icon: optionally add icon
Cliquez sur Continuer
You’ll proceed to the Google Identity Provider details screen Google side:
Download IdP metadata URL and upload it to Clockify/IdP Metadata URL field
Copy SSO URL and paste it to Login URL field in Clockify Clockify side:
Cliquez sur Continuer
You’ll proceed to Service provider details
Insert the following: – ACS URL: Copy/paste URL de réponse from Clockify, e.g. https://global.api.clockify.me/auth/saml2 – Entity ID: Unique identifier of your custom application, e.g. Clockify – Start URL: Copy/paste l'État de relais par défaut de Clockify, par ex.
Connectez-vous à Rippling en tant qu'administrateur
Sélectionnez Gestion informatique
Sélectionnez Application personnalisée
Donnez un nom descriptif à l'application, sélectionnez une catégorie et importez un logo
Vérifiez L'authentification unique (SAML)
Cliquez sur Continuer
Confirmez que vous êtes l'administrateur de l'application
Une nouvelle page contenant des instructions SSO s'ouvre et vous pouvez passer à l'étape suivante. La page contient des Instructions de configuration SSO qui incluent le fichier XML de métadonnées IdP.
Téléchargez les métadonnées IDP de Rippling.
Étape 3 : Ajouter la configuration SSO dans Clockify #
Dans la section Authentification dans laquelle vous avez créé votre sous-domaine :
Cliquez sur Ajouter une configuration SSO
Choisissez SAML2 comme type d'authentification et cliquez sur Suivant
Choisissez Rippling comme modèle IdP
Dans le formulaire d'authentification SAML2 qui s'affiche, saisissez les informations suivantes :
Url de métadonnées: importez le fichier XML des métadonnées IdP téléchargé à l'étape 2
Url de connexion : Copiez/collez l'URL dess métadonnées de l'IdP à partir de Rippling
Cliquez sur Terminer la configuration pour terminer le processus et activer la Connexion avec SAML2. En option, désactivez l'option Se connecter avec l'adresse email et le mot de passe.
Étape 4 : Attribuer une application dans Rippling #
Retournez sur Rippling :
Sur la page des instructions SSO, faites défiler vers le bas et entrez ce qui suit :
URL ACS : Copiez/collez l'URL de réponse de Clockify
ID de l'entité du prestataire de services : Copiez/collez l'ID de l'entité à partir de Clockify
Cliquez sur Passer à l'étape suivante
Choisissez les Règles d'accès souhaitées
Choisissez l'Heure de mise à disposition souhaitée
Configurez le SSO pour les administrateurs si nécessaire
Configurez les attributs de groupe si nécessaire
Cliquez sur Se connecter via Rippling si vous souhaitez vérifier la connexion entre les applis ou simplement sur Continuer
Et c'est tout ! Vous avez installé avec succès votre application dans rippling et vous et vos utilisateurs êtes maintenant en mesure de vous connecter à votre espace de travail avec SAML 2.0.
Naviguez vers Authentification unique (SSO) dans la barre latérale à gauche
Cliquez sur + pour ajouter une nouvelle application
Choisissez Application SAML personnalisée
Dans Information sur l'application entrez ce qui suit :
Libellé d'affichage: Nom de l'application, par ex. Clockify
Logo: p. ex. télécharger le logo Clockify
Dans l'onglet SSO, vous pouvez passer à l'étape suivante. La page contient les Instructions de configuration SSO qui incluent le fichier XML des métadonnées IdP. Téléchargez les métadonnées IDP de JumpCloud et sauvegardez-les pour plus tard.
Dans Mappage des attributs utilisateur ajoutez le mappage d'attributs Nom d'attribut du fournisseur de services vers Nom d'attribut de JumpCloud
Cliquez sur Activer
Ouvrez l'application que vous avez créée
Cliquez sur l'onglet Certificat IDP Valide à gauche et téléchargez le certificat
Cliquez sur Enregistrer
Vous avez réussi à créer votre application dans JumpCloud. Vous pouvez maintenant décider quels utilisateurs de votre compte JumpCloud pourront accéder à Clockify et terminer la configuration dans Clockify.
Étape 4 : Terminez la configuration du SSO dans Clockify #
Retournez sur Clockify
Dans Le formulaire d'authentification SAML2 entrez les informations suivantes :
Url de métadonnées: importez le fichier XML des métadonnées IdP téléchargé à l'étape 3
IdP Url: Copiez/collez l'URL de l'IDP depuis JumpCloud
Avancé: Copiez/collez le certificat IDP de JumpCloud
Cliquez sur Terminer la configuration pour terminer le processus et activer la Connexion avec SAML2. En option, désactivez l'option Se connecter avec l'adresse email et le mot de passe.
Lorsque vous passez à un sous-domaine, la connexion Google par défaut cesse de fonctionner et vous devez la configurer manuellement pour continuer à l'utiliser.
La configuration de l'identifiant Google est simple et rapide.
Pour y arriver, vous devez disposer d'un compte G Suite ou Cloud Identity .
Vous devez configurer OAuth 2.0 dans votre compte Google, créer un projet et obtenir l'ID client OAuth 2.0 pour une application Web.
Dans Google Cloud Platform naviguez vers API & Services et choisissez Identifiants. Ouvrez le projet/l'application que vous avez créé et collez https://yoursubdomain.clockify.me/login sous URI de redirection autorisées.
Vous devez également ajouter les URIs suivants pour que la connexion OAuth fonctionne sur les applications mobiles Clockify :
Dans Clockify, allez dans l'onglet Authentication et cliquez sur Configurer le SSO
Choisissez le type d'authentification OAuth2
Choisissez Google dans la fenêtre modale Modèles IdP Templates
Cliquez sur Suivant
Copiez/collez Client ID et Client Secret depuis votre Appli Google comme indiqué dans l'exemple ci-dessous (les champs de la section Avancé sont préremplis).
Votre écran dans Clockify devrait ressembler à ceci :
et
Cliquez sur Terminer la configuration pour achever le processus. Cochez la case Se connecter avec OAuth pour commencer à utiliser la connexion Google. Vous pouvez également obliger tout le monde à utiliser l'identité Google de votre entreprise pour se connecter en désactivant l'option Se connecter avec l'adresse email et le mot de passe.
Étape 2 : Ajouter la configuration SSO dans Clockify #
Cliquez sur Configurer SSO
Choisissez OAuth2 comme type d'authentification
Choisissez Azure dans la fenêtre modale Modèles IdP
Copiez l'URL de redirection
Étape 3 : Enregistrer l'application dans AzureAD #
Naviguez vers les Enregistrements d'applications
Cliquez sur Nouvelle inscription
Entrez les informations suivantes :
Info:
Nom: Clockify
Types de comptes supportésChoisissez ce que vous préférez ; dans notre cas, il s’agit de Comptes dans cet annuaire organisationnel uniquement (Annuaire par défaut seulement - monolocataire)
Client Id: Allez dans Azure - Aperçu - Application (client) ID : copiez la valeur et collez-la dans Clockify
Clé secrète client: il devrait déjà être collé depuis les étapes précédentes (Certificats et Secrets)
ID de l’annuaire (locataire): Allez dans Azure - Aperçu - ID de l'annuaire (locataire) copiez la valeur et collez-la dans Clockify
Les champs de la section Avancé seront pré-remplis.
Votre écran dans Clockify devrait ressembler à ceci :
et
Cliquez sur Terminer la configuration pour terminer le processus. Cochez la case Se connecter avec OAuth (et désactivez éventuellement Se connecter avec l'adresse email et le mot de passe).
Naviguez vers Authentification unique dans la barre latérale
Choisissez SAML
Configuration de base de SAML (cliquez sur le crayon pour modifier) :
Identifiant (ID de l'entité) : C'est ici que vous mettez l'adresse de votre sous-domaine, par exemple https://acmecompany.clockify.me/
URL de réponse ( URL du service consommateur d'assertions) : retournez sur Clockify et copiez l'URL de réponse, ré-générée, par exemple : https://global.api.clockify.me/auth/saml2
Cliquez sur Enregistrer et continuez avec le Certificat de signature SAML: (cliquez sur le crayon pour modifier) :
Nouveau certificat
Enregistrez les modifications et cliquez sur les 3 points du certificat Inactif, choisissez Rendre le certificat actif et cliquez sur Oui.
Maintenant, rechargez la page pour voir les changements.
l'ID de l'entité: (c'est ici que vous mettez l'adresse de votre sous-domaine, dans notre cas il s'agit
https://yourcompanysubdomain.clockify.me/)
Métadonnées de la fédération : naviguez vers Azure, sous SAML Certificats copiez/collez Url des métadonnées de la fédération d'applications dans Clockify
Url de connexion : Naviguer vers Azure, sous Configurer Clockify trouver l'URL de connexion et copiez/collez dans Clockify
Cliquez sur Terminer la configuration et activez Se connecter avec SAML2 (et désactivez éventuellement Se connecter avec l'email et le mot de passe).
ou, si vous utilisez l'un des serveurs régionaux, vous devez ajouter l'une des URL régionales.
Ensuite, faites défiler l'écran vers le bas et, dans la section Affectations, cochez l'option Autoriser l'accès à tous les membres de votre organisation. Cliquez sur Enregistrer pour terminer l'action.
Vous devriez obtenir un écran qui ressemble à celui-ci :
Étape 3 : Ajouter la configuration SSO dans Clockify #
Maintenant, dans Clockify, dans l'écran Authentification où vous avez créé votre sous-domaine :
Cliquez sur Configurer le SSO en bas de l'écran
Choisissez OAuth2 comme type d'authentification
Choisissez Okta comme modèle IdP
Cliquez sur Suivant
Dans le formulaire d'authentification OAuth, entrez les informations suivantes :
ID du client: Généré dans Okta à l'étape précédente ; copiez-le depuis la section Informations d'identification du client .
Clé secrète client: identique à l'ID du client ; copiez-le depuis la section Informations d'identification du client .
Domaine Okta : Copiez depuis Okta, Paramètres généraux, champ Domaine Okta (Remarque : le domaine Okta nécessite un nom de domaine uniquement, par exemple : doamin_name.okta.com au lieu de : https://domain_name.okta.com)
La section Avancée est pré-remplie (générée automatiquement)
Choisissez Attribuer à des personnes/groupes en fonction des personnes de votre compte Okta à qui vous souhaitez donner accès à Clockify
Dans Clockify, cliquez sur Terminer la configuration pour terminer le processus et activer la connexion avec OAuth. En option, vous pouvez désactiver la connexion avec l'email et le mot de passe.
Enfin, votre écran dans Clockify devrait ressembler à quelque chose comme ceci :
Et c'est tout ! Désormais, vous et les utilisateurs de votre espace de travail êtes en mesure de vous connecter à votre espace de travail avec OAuth.