A ferramenta de logon único (SSO) oferece segurança, removendo senhas de usuários e controlando o acesso e gerenciamento de credenciais de login usando o IdP da sua empresa, tanto por SAML quanto por oAuth (Office 365, Okta, Azure, Active Directory, Google, OneLogin… ).
Esta é uma ferramenta adicional, que você pode ativar atualizando eu espaço de trabalho para o plano Enterprise.
Dependendo do tipo de hospedagem, existem diferentes formas de configurá-la no Clockify:
Para usar o SSO, primeiro você precisa mover seu espaço de trabalho para um subdomínio. Em seguida, você pode adicionar as configurações de SSO e desativar outros modos de login.
Antes de configurar e começar a usar o SSO para autorização, você precisa mover o domínio do aplicativo Clockify para um subdomínio personalizado.
Depois de atualizar o Clockify para o plano Enterprise, você obterá a guia Autenticação nas configurações do Espaço de trabalho. Lá você pode inserir o subdomínio que deseja usar e mover seu espaço de trabalho
Para configurar um subdomínio:
Navegue até a guia Autenticação nas Configurações do espaço de trabalho
Digite seu subdomínio personalizado no campo fornecido
Clique no ícone de Criar subdomínio e Criar para confirmar a ação
Depois de criar seu subdomínio e mover seu espaço de trabalho, o login do Google não funcionará mais para você e seus usuários.
No entanto, se você quiser usar o login do Google, precisará configurá-lo manualmente configurando o OAuth2 para SSO.
Depois de criar seu subdomínio, você será automaticamente desconectado de qualquer aplicativo em que tenha feito login com sua conta Clockify. Você terá acesso ao aplicativosomente através do subdomínio que você criou (ex.: https://mycompany.clockify.me/login).
O subdomínio está vinculado a apenas um espaço de trabalho. Os usuários de um subdomínio não podem ter vários espaços de trabalho: não há alternador de espaço de trabalho, não há espaços de trabalho na barra lateral e o espaço de trabalho do subdomínio não pode ser acessado a partir do domínio principal.
Para acessar outros espaços de trabalho, entre no domínio principal do Clockify.
Por motivos de segurança, cada usuário em um subdomínio recebe uma chave de API separada que funciona apenas para esse espaço de trabalho, o que significa que ninguém pode acessar seus dados no subdomínio, a menos que tenha a devida autorização.
Se, por exemplo, houver um usuário com dois espaços de trabalho Enterprise diferentes, os proprietários do espaço de trabalho não poderão ver ou acessar os dados da conta um do outro.
Assim que estiver em um subdomínio, você pode convidar usuários um por um usando e-mail (como antes) ou pode permitir que qualquer pessoa participe sem precisar convidá-los manualmente.
Para permitir que qualquer pessoa participe, marque a caixa Usuários podem ingressar sem um convite.
Se você usar o SSO e alguém sem uma conta fazer login, uma conta será criada automaticamente para essa pessoa e poderá entrar.
Se você permitir Login com e-mail e senha, as pessoas poderão criar uma conta e ingressar automaticamente no seu espaço de trabalho.
O aplicativo Android foi migrado do domínio clockify.me para o subdomínio app.clockify.me. Portanto, todas as configurações SSO mantidas no Clockify também devem existir em links com app.clockify.me. Por exemplo, na seção URL de redirecionamento seção adicione https://app.clockify.me/login/android/oauth2 ao https://clockify.me/login/android/oauth2 .
Clockify é compatível com todos os principais provedores de identidade SSO:
Somente o proprietário do espaço de trabalho pode visualizar a guia Autorização gerenciar o subdomínio, configurar e ativar/desativar o SSO.
Se você deseja forçar todos a entrar com SSO, desmarque Entrar com e-mail e senha. Depois que essa alteração for salva, todas as senhas conectadas às contas de seus integrantes não funcionarão e eles terão que usar o SSO.
Os dados nas configurações de SSO sempre podem ser editados ou excluídos. Se forem removidos, as pessoas terão que fazer login usando seu e-mail e senha.
O proprietário sempre pode fazer login usando o e-mail e a senha originais em https://mysubdomain.clockify.me/login-owner
Para adicionar o estado de retransmissão padrão, use os parâmetros abaixo.
Certifique-se de usar chaves e colocar aspas retas em vez de curvilíneas, ou não funcionará.
Exemplo de um Estado de Retransmissão pré definido:
No formulário Configurações gerais finsira as seguintes informações e clique em Avançar:
Nome do aplicativo: ex.: Clockify
Logo: por exemplo carregar o logotipo do Clockify
Em Configure SAML insira as seguintes informações:
URL de logon único (ou ACS) – URL específica para qual as asserções SAML do Okta devem ser enviadas (ex.: https://global.api.clockify.me/auth/saml2)
Audiência URI (Entity ID in your app): Identificador exclusivo do seu app personalizado; o mesmo que o ID da entidade no campo de autenticação SAML (ex.: https://yoursubdomainname.clockify.me)
Estado Padrão de Retransmissão: autenticação iniciada por IdP para que os usuários possam fazer login no Clockify diretamente do painel Okta
Vá para Usuários (é aqui que você escolhe quais usuários da sua conta OneLogin poderão acessar o Clockify).
Clique em um usuário específico
Em Aplicativos, clique no sinal + para adicionar um aplicativo
Escolha Clockify
Clique em Continuar e Salvar
No Clockify, clique em Concluir configuração para concluir o processo e ativar o Login com SAML 2.0. Opcionalmente, você pode desativar Fazer login com e-mail e senha.
E é isso! Agora você e os usuários do seu espaço de trabalho podem fazer login com o SAML 2.0.
Insert the following – Nome do aplicativo: por exemplo https://yourcompanysubdomain.clockify.me/ – Descrição: e.g. Clockify SAML2 demo app – App icon: optionally add icon
Click Continue
You’ll proceed to the Google Identity Provider details screen Google side:
Download IdP metadata URL and upload it to Clockify/IdP Metadata URL field
Copy SSO URL and paste it to Login URL field in Clockify Clockify side:
Click Continue
You’ll proceed to Service provider details
Insert the following: – ACS URL: Copy/paste URL de resposta from Clockify, e.g. https://global.api.clockify.me/auth/saml2 – Entity ID: Unique identifier of your custom application, e.g. Clockify – Start URL: Copy/paste Estado Padrão de Retransmissão do Clockify, por exemplo
Dê um nome descritivo ao aplicativo, selecione a categoria e carregue um logotipo
Check Single Sign-on (SAML)
Click Continue
Confirme que você é o administrador do aplicativo
Uma nova página com instruções SSO é aberta e você pode prosseguir com a próxima etapa. A página contém instruções de configuração de SSO que incluem o arquivo IdP Metadata XML.
Faça o download dos metadados IDP da Rippling.
3º Passo: adicionar configurações de SSO ao Clockify #
Em guia Autenticação na qual você criou seu subdomínio:
Clique em Adicionar configuração de SSO
Escolha SAML2 como tipo de autenticação e clique em Avançar
Choose Rippling as IdP Template
Em formulário de autenticação SAML2 que aparece digite as seguintes informações:
Clique no ícone de + para adicionar um novo aplicativo
Escolha aplicativo SAML personalizado
Em Informações do aplicativo , insira o seguinte:
Rótulo de exibição: Nome do aplicativo, por exemplo Clockify
Logo: por exemplo carregar o logotipo do Clockify
Na guia SSO, você pode prosseguir com a próxima etapa. A página contém instruções de configuração de SSO que incluem o arquivo IdP Metadata XML. Baixe os metadados IDP do JumpCloud e salve-os para mais tarde.
Em Mapeamento de atributo do usuário adicione mapeamento de atributos Nome do atributo do provedor de serviços ao Nome do atributo JumpCloud
Clique em Ativar
Abra o aplicativo que você criou
Clique em Certificado IDP Válido à esquerda e faça o download do certificado
Clique em Salvar
Você criou com sucesso seu aplicativo no JumpCloud. Agora você pode decidir quais usuários da sua conta JumpCloud poderão acessar o Clockify e finalizar a configuração no Clockify.
4º Passo: Concluir a configuração do SSO no Clockify #
Navegue de volta para Clockify
Em O formulário de autenticação SAML2 insira as seguintes informações:
Depois de mudar para o subdomínio, o login padrão do Google deixará de funcionar e você precisará configurá-lo manualmente para continuar a usá-lo.
Configurar o login do Google é rápido e fácil.
Você deve ter uma conta G Suite ou Cloud Identity ara fazer isso.
Você precisará Configurar o OAuth 2.0 m sua conta do Google, criar um projeto e obter o ID do cliente OAuth 2.0 para um aplicativo da web.
No Google Cloud Platform navegue até API e serviços e escolha Credenciais. Abra o projeto/aplicativo que você criou e cole https://yoursubdomain.clockify.me/login em URIs de redirecionamento autorizados.
Você também deve adicionar os seguintes URIs para que o login OAuth funcione nos aplicativos móveis Clockify:
No Clockify, vá para a guia Autenticação e clique em Configurar SSO
Escolha o tipo de autenticação OAuth2
Escolha Google no modal Modelos de IdP
Clique em Avançar
Copie/cole o ID do cliente e o Segredo do cliente do seu Google app, conforme mostrado no exemplo abaixo (campos na seção Avançado >seção será pré-preenchida)
A tela do Clockify deve se parecer com isto:
e
Clique em Concluir configuração para concluir o processo. Marque a caixa de seleçãoFazer login com OAuthpara começar a usar o login do Google. Opcionalmente, você pode forçar todos a usarem a identidade Google da sua empresa para fazer login, desativando Fazer login com e-mail e senha.
Tipos de conta com suporteSelecione o que você prefere; no nosso caso, são Contas apenas neste diretório da organização (Somente Diretório Padrão - locatário)
ID do cliente: Vá para Azure – Resumo – ID do aplicativo (cliente): copie o valor e cole-o no Clockify
Segredo do cliente: já deve estar colado dos passos anteriores (Certificados e Segredos)
ID do diretório (locatário): Vá para Azure -- Resumo -- ID do diretório -- Copie o valor e cole-o novamente no Clockify
Os campos na seção Avançado serão preenchidos previamente.
A tela do Clockify deve se parecer com isto:
e
Clique no ícone de Concluir configuração para terminar o processo. Marque a caixa Entrar com OAuth (e opcionalmente, desmarque Entrar com e-mail e senha).
ou, se estiver usando um dos servidores regionais, você deve adicionar um dos URLs regionais.
Então, role para baixo e na seção Atribuições marque Permitir o acesso de todos os integrantes da sua organização. Clique em Salvar para concluir a ação.
Você deve ver uma tela assim:
3º Passo: adicionar configurações de SSO ao Clockify #
Agora, no Clockify, na tela Autenticação onde você criou seu subdomínio:
Clique no ícone de Configurar SSO na parte inferior da tela
Escolha OAuth2 como tipo de autenticação
Escolha Okta como modelo de IdP
Clique em Avançar
No formulário de autenticação OAuth, insira as seguintes informações:
ID do Cliente: Gerado no Okta na etapa anterior; copie-o da seção de Credenciais do cliente .
Segredo do cliente: Igual ao ID do cliente; copie-o da seção de Credenciais do cliente .
Domínio Okta: copie-o do campo Okta, Configurações gerais, Domínio Okta (Observação: o domínio Okta requer apenas um nome de domínio, por exemplo: doamin_name.okta.com em vez de: https://domain_name.okta.com)
A seção Avançado é pré-preenchida (gerada automaticamente)
Escolha Atribuir a pessoas/grupos dependendo de quem da sua conta Okta você gostaria que pudesse acessar o Clockify
No Clockify, clique em Concluir configuração para concluir o processo e ativar Fazer login com OAuth. Opcionalmente, você pode desativar Fazer login com e-mail e senha.
Finalmente, sua tela no Clockify deve se parecer com isto:
E é isso! Agora você e os usuários do seu espaço de trabalho podem fazer login nele com OAuth.