Die Funktion für die Einmalige Anmeldung (Single Sign-on, abgekürzt SSO) ermöglicht skalierbare Sicherheit, indem Benutzerpasswörter eliminiert werden sowie der Zugriff kontrolliert wird und Anmeldeinformationen verwaltet werden, indem der IdP (Identitätsanbieter) deines Unternehmens sowohl über SAML als auch über OAuth (Office 365, Okta, Azure, Active Directory, Google, OneLogin…) benutzt wird.
Das ist eine zusätzliche Funktion, die du aktivieren kannst, indem du deinen Arbeitsbereich auf den Enterprise-Planaktualisierst.
Je nach dem Hosting-Typ gibt es verschiedene Weisen, wie du sie in Clockify einrichten kannst:
Um SSO zu verwenden, solltest du deinen Arbeitsbereich in eine Subdomain verschieben. Danach kannst du die SSO-Konfiguration hinzufügen und andere Formen der Anmeldung deaktivieren.
Bevor du SSO konfigurieren und für die Autorisierung verwenden kannst, solltest du deine Clockify-App-Domain in eine benutzerdefinierte Subdomain verschieben.
Wenn du dein Clockify-Abonnement auf den Enterprise-Plan aktualisierst, erhältst du die Registerkarte "Authentifizierung" in den Einstellungen deines Arbeitsbereichs. Da kannst du die Subdomain, die du verwenden möchtest, eingeben und deinen Arbeitsbereich verschieben.
So kannst du eine Subdomain einrichten:
Zur Registerkarte "Authentifizierung" in Arbeitsbereichseinstellungen navigieren
In das angegebene Feld deine benutzerdefinierte Subdomain eingeben
Auf "Subdomain erstellen" und "Erstellen" klicken, um die Aktion zu bestätigen
Nachdem du deine Subdomain erstellst hast und deinen Arbeitsbereich dorthin verschoben hast, funktioniert die Google-Anmeldung für dich und deine Benutzer nicht weiter.
Wenn du die Google-Anmeldung trotzdem verwenden möchtest, solltest du die manuell einrichten, indem du OAuth2 für SSO konfigurierst.
Nachdem du deine Subdomain erstellt hast, wirst du aus allen Apps, in denen du mit deinem Clockify-Konto angemeldet warst, automatisch abgemeldet. Du hast den Zugriff auf sie nur über die Subdomain, die du erstellt hast (z. B. https://yourcompanysubdomain.clockify.me/login).
Eine Subdomain ist mit nur einem Arbeitsbereich verbunden. Benutzer auf einer Subdomain können nicht mehrere Arbeitsbereiche haben: es gibt keinen Arbeitsbereich-Umschalter, keine Arbeitsbereiche in der Randleiste und keinen Zugriff auf den Subdomain-Arbeitsbereich aus der Hauptdomain.
Um auf mehrere Arbeitsbereiche zuzugreifen, solltest du dich bei der Clockify-Hauptdomain anmelden.
Aus Sicherheitsgründen erhält jeder Benutzer auf Subdomain seinen eigenen API-Schlüssel, der nur für diesen Arbeitsbereich funktioniert - das bedeutet, dass niemand auf deine Daten auf deiner Subdomain zugreifen kann, wenn sie die richtige Autorisierung nicht haben.
Wenn es beispielsweise einen Benutzer mit zwei getrennten Enterprise-Arbeitsbereichen gibt, können Besitzer der Arbeitsbereiche keine Daten von ihren Konten gegenseitig sehen oder auf sie zugreifen.
Wenn du im Subdomain-Arbeitsbereich bist, kannst du einzelne Benutzer über E-Mail einladen (wie vorher), oder sie beizutreten lassen, ohne jeden Benutzer manuell einladen zu müssen.
Um jeden beitreten zu lassen, solltest du das Kontrollkästchen "Benutzer können ohne eine Einladung beitreten" markierst.
Wenn du SSO verwendest und eine Person ohne Konto versucht, sich anzumelden, wird das Konto für sie automatisch erstellt und sie kann sich dann anmelden.
Wenn du "Anmeldung mit E-Mail und Passwort" zulässt, können Mitarbeiter ein Konto erstellen und deinem Arbeitsbereich automatisch beitreten.
Die Android-App wurde von der Domain clockify.me zur Subdomain app.clockify.me migriert. Deshalb sollen alle SSO-Konfigurationen, die von Clockify unterstützt sind, die Links app.clockify.me auch enthalten. Du solltest im "Redirect URL" -Abschnitt https://app.clockify.me/login/android/oauth2 zur Link https://clockify.me/login/android/oauth2 hinzufügen.
Clockify unterstützt alle wichtigen SSO-Identitätsanbieter:
Nur Besitzer des Arbeitsbereichs können die Registerkarte "Autorisierung" ansehen, Subdomain verwalten, SSO konfigurieren und SSO ein-/ausschalten.
Wenn du die Anmeldung mit SSO erzwingen möchtest, solltest du im Kontrollkästchen "Anmeldung mit E-Mail und Passwort" die Markierung einfach aufheben. Sobald diese Änderung gespeichert wird, funktionieren die Passwörter, die mit Konten deiner Mitglieder verbunden sind, nicht weiter und die Verwendung von SSO erforderlich wird.
Die Daten in der SSO-Konfiguration können immer bearbeitet oder gelöscht werden. Wenn sie gelöscht werden, müssen deine Benutzer zur Anmeldung mit E-Mail und Passwort zurückwechseln.
Die Besitzer können sich immer mit der ursprünglichen E-Mail und dem ursprünglichen Passwort unter https://mysubdomain.clockify.me/login-owner anmelden.
Um Default Relay State hinzufügen, solltest du Parameter unten verwenden.
Du solltest sicherstellen, dass du geschweifte Klammern und gerade statt typografische Anführungszeichen verwendest, sonst funktioniert es nicht.
In "Allgemeine Einstellungen" solltest du die folgenden Informationen eingeben und auf "Weiter" klicken:
App-Name:: z. B. Clockify
Logo: Clockify-Logo hochladen
In "SAML konfigurieren" solltest du die folgenden Informationen eingeben:
Single Sign-om-URL (oder ACS): bestimmte URL, zu der SAML-Assertions aus Okta gesendet werden sollen (e.g. https://global.api.clockify.me/auth/saml2)
Audience-URL (Entity ID in deiner App): einheitlicher Bezeichner deiner benutzerdefinierten Anwendung; gleich wie die Entity-ID im SAML-Authentifizierung-Feld (z. B. https://yourcompanysubdomain.clockify.me)
Default Relay State: IdP-initiierte Authentifizierung, damit Benutzer sich an Clockify direkt von dem Okta-Dashboard aus anmelden können
Du solltest sicherstellen, dass du gerade statt typografische Anführungszeichen verwendest, sonst funktioniert es nicht.
Du solltest alles andere so lassen, wie es ist und auf "Weiter" klicken.
In Feedback solltest du "Ich bin Okta-Kunde, der eine interne App hinzufügt" abhaken und auf "Abschließen" klicken.
Dein Bildschirm sollte so aussehen:
Im letzten Schritt in diesem Abschnitt solltest du auf die Schaltfläche “Anweisungen zur Einrichtung ansehen” klicken, die du im Bildschirmfoto oben sehen kannst.
In "So wird SAML 2.0 für Clockify-Anwendung konfigurieret"erhältst du eine Liste mit Daten, die du benötigst, um deine Clockify-Anwendung zu konfigurieren.
Schritt 3: SSO-Konfiguration in Clockify hinzufügen #
Jetzt solltest du im Clockify-Bildschirm "Authentifizierung" , in dem du deine Subdomain erstellt hast:
Auf "SSO konfigurieren" unten auf dem Bildschirm klicken
SAML2 als Authentifizierungstyp wählen
Okta als IdP-Vorlage wählen
Im Form SAML2-Authentifizierung wird angezeigt:
Du solltest Folgendes eingeben:
Entity Id (Audience URI in Okta): e.g. https://yourcompanysubdomain.clockify.me
Metadata Url:
Zu Okta zurücknavigieren
Identity Provider metadata-Link aus dem Abschnitt "Einstellungen" in Okta kopieren
Als .xml-Datei speichern und in Clockify hochladen
SAML SSO URL: Identity Provider Single Sign-On URL aus "So wird SAML 2.0 für Clockify-Anwendung konfiguriert" für Okta kopieren und einfügen.
Erweitert: X.509 Zertifikat von Oktay kopieren und einfügen
Dein Bildschirm in Clockify sollte etwa so aussehen:
und
Du solltest auf "Konfiguration abschließen" klicken, um den Vorgang abzuschließen und "Anmeldung mit SAML2" zu ermöglichen. Optional kannst du "Anmeldung mit E-Mail und Passwort" deaktivieren.
Zu Benutzer navigieren (du solltest hier einen Benutzer von deinem OneLogin-Konto auswählen, der auf Clockify zugreifen kann)
Auf den bestimmten Benutzer klicken
Auf + in "Anwendungen" klicken, um eine App hinzufügen
Clockify wählen
Auf "Weiter" und "Speichern" klicken
In Clockify solltest du auf "Konfiguration abschließen" klicken, um den Vorgang abzuschließen und Anmeldung mit SAML 2.0 zu ermöglichen. Optional kannst du Anmeldung mit E-Mail und Passwort" deaktivieren.
Das ist alles! Jetzt können Benutzer deines Arbeitsbereichs und du mit SAML2 in eurem Arbeitsbereich anmelden.
"Benutzerdefinierte SAML-App hinzufügen" in "App hinzufügen" wählen
Folgendes eingeben – App-Name:: z. B. https://yourcompanysubdomain.clockify.me/ – Beschreibung: z. B. Clockify SAML2 Demo-App – App-Symbol: Symbol optional hinzufügen
Auf "Weiter" klicken
You’ll proceed to the Google Identity Provider details screen Google side:
IdP-Metadata-URL herunterladen und ins Feld Clockify/IdP Metadata URL hochladen
SSO-URL kopieren und ins Clockify-Feld Anmelde-URL hochladen Auf der Clockify-Seite:
Auf "Weiter" klicken
Du wirst zu "Dienstanbieter-Details" weitergeleitet
Das Folgende eingeben: – ACS URL: Reply URL , z.B. https://global.api.clockify.me/auth/saml2, aus Clockify kopieren/einfügen – Entity ID: ein einzigartiger Identifier deiner benutzerdefinierten Anwendung, z. B. Clockify – Start URL: Default Relay State aus Clockify kopieren/einfügen, z. B.
Auf "Beenden" klicken, um den Vorgang abzuschließen
Nachdem du alle Schritte beendet und die App erstellt hast, solltest du die App-Einstellungen öffnen und in "Service status" die App für alle aktivieren.
Die App, die du erstellt hast, wird im Google-Arbeitsbereich für alle Benutzer des Arbeitsbereichs angezeigt.
App einen beschreibenden Namen geben, Kategorie auswählen und ein Logo hochladen
Single Sign-on (SAML) auswählen
Auf "Weiter" klicken
Bestätige, dass du Anwendungsadministrator bist
Eine neue Seite mit SSO-Anweisungen wird geöffnet und du kannst mit dem nächsten Schritt fortfahren. Die Seite enthält "SSO-Anweisungen zur Einrichtung" mit der IdP Metadata XML Datei.
Du solltest IDP Metadata von Rippling herunterladen.
Schritt 3: SSO-Konfiguration in Clockify hinzufügen #
In der Registerkarte "Authentifizierung" , in der du deine Subdomain erstellt hast, solltest du:
Auf "SSO-Konfiguration hinzufügen" klicken
SAML2 als Authentifizierungstyp wählen und auf "Weiter" klicken
Rippling als IdP-Vorlage wählen
In SAML2-Authentifizierung sollten die folgenden Informationen eingegeben werden:
Metadata Url: die IdP Metadata XML Datei hochladen, die du im Schritt 2 heruntergeladen hast
Anmelde-Url: : IdP Metadata URL aus Rippling kopieren/einfügen
Du solltest auf "Konfiguration abschließen" klicken, um den Vorgang abzuschließen und "Anmeldung mit SAML2" zu ermöglichen. Optional kannst du "Anmeldung mit E-Mail und Passwort" deaktivieren.
Auf der Seite mit SSO-Anweisungen nach unten scrollen und Folgendes eingeben:
ACS URL: Reply URL aus Clockify kopieren/einfügen
Service Provider Entity ID: Entity ID aus Clockify kopieren/einfügen
Auf "Zum nächsten Schritt wechseln" klicken
Zugriffsregeln beliebig auswählen
Bereitstellzeit beliebig auswählen
SSO für Admins bei Bedarf konfigurieren
Gruppenattribute bei Bedarf konfigurieren
Auf "Über Rippling verbinden" klicken, wenn du die Verbindung zwischen Apps überprüfen möchtest oder einfach auf "Weiter" klicken
Das ist alles! Jetzt hast du deine Anwendung in Rippling erfolgreich installiert und du und deine Benutzer seid bereit, euch mit SAML2 im Arbeitsbereich anzumelden.
Anzeigebeschriftung: Anwendungsname z. B. Clockify
Logo: z. B. Clockify-Logo hochladen
In der SSO-Registerkarte kannst du mit dem nächsten Schritt fortfahren. Die Seite enthält "SSO-Anweisungen zur Einrichtung" mit der IdP Metadata XML Datei. Du solltest IDP Metadata von JumpCloud herunterladen und für später speichern.
Du kannst fortfahren, indem du die folgenden Felder ausfüllst:
In "Benutzerattribute Mapping" Attribute hinzufügen, die den Attributnamen des Dienstanbieters zum JumpCloud Attributnamen zuordnen
Auf "Aktivieren" klicken
Anwendung, die du erstellt hast, öffnen
Auf "IDP-Zertifikat gültig" links klicken und das Zertifikat herunterladen
Auf "Speichern" klicken
Du hast deine Anwendung in JumpCloud erfolgreich erstellt. Jetzt kannst du festlegen, welche Benutzer von deinem JumpCloud-Konto auf Clockify zugreifen können und die Konfiguration in Clockify abschließen.
Schritt 4: SSO-Konfiguration in Clockify abschließen #
Zu Clockify zurücknavigieren
In "SAML2 Authentifizierung" die folgenden Informationen eingeben:
Metadata Url: die IdP Metadata XML Datei hochladen, die du im Schritt 3 heruntergeladen hast
IdP Url: IDP URL aus JumpCloud kopieren/einfügen
"Erweitert": IDP Zertifikat aus JumpCloud kopieren/einfügen
Du solltest auf "Konfiguration abschließen" klicken, um den Vorgang abzuschließen und "Anmeldung mit SAML2" zu ermöglichen. Optional kannst du "Anmeldung mit E-Mail und Passwort" deaktivieren.
Wenn du auf Subdomain umziehst, funktioniert die Google-Anmeldung nicht mehr und du sollst es manuell konfigurieren, um mit der Verwendung weiterzumachen.
Die Einrichtung von Google-Anmeldung ist schnell und einfach.
Du solltest ein G Suite- oder Cloud Identity -Konto haben, um das zu erledigen.
Du solltest OAuth 2.0 in deinem Google-Konto einrichten, ein Projekt erstellen und OAuth-Kunde-ID für eine Web-Anwendung erhalten.
In der Google-Cloud-Plattform solltest du zu "API und Dienste" navigieren und "Anmeldeinformationen" wählen. Öffne das Projekt/die Anwendung, das/die du erstellt hast und füge https://yoursubdomain.clockify.me/login in Autorisierte Umleitungs -URIs ein.
Außerdem solltest du die folgenden URIs hinzufügen, damit die OAuth-Anmeldung in mobilen Clockify-Apps funktioniert:
In Clockify zur Registerkarte "Authentifizierung" gehen und auf "SSO konfigurieren" klicken
OAuth2-Authentifizierungstyp wählen
Google im Fenster "IdP-Vorlagen" wählen
Auf "Weiter" klicken
Kunde-ID und den geheimen Kundenschlüssel aus deiner Google-App wie im Beispiel unten (Felder im Abschnitt "Erweitert" werden vorausgefüllt) kopieren/einfügen
Dein Bildschirm in Clockify sollte so aussehen:
und
Du solltest auf "Konfiguration abschließen" klicken, um den Vorgang zu vervollständigen. Um mit der Verwendung der Google-Anmeldung zu starten, solltest du das Kontrollkästchen "Mit OAuth einloggen" wählen. Optional kannst du alle Mitarbeiter daran hindern, die Google-Identität deiner Firma zum Einloggen zu benutzen, indem du "Anmeldung mit E-Mail und Passwort" deaktivierst.
Unterstützte Kontotypen: Wähle, was du bevorzugst; das ist in unserem Fall “Nur Konten in diesem Organisationsverzeichnis" (Nur Standardverzeichnis - Single Tenant) (Default Directory only – Single tenant)
Kunde-ID: Zu Azure navigieren - Übersicht - Anwendung(Client)-ID: die Wert kopieren und in Clockify einfügen
Clientschlüssel (Client Secret): das sollte in vorigen Schritten schon eingefügt werden (Zertifikate und Geheimnisse)
Directory (tenant) ID: Zu Azure navigieren - Übersicht - Directory(Tenant)-ID-Wert kopieren und in Clockify einfügen
Die Felder im Abschnitt "Erweitert" sind bereits ausgefüllt.
Dein Bildschirm in Clockify sollte so aussehen:
und
Auf "Konfiguration abschließen" to complete the process. Check the Log in with OAuth checkbox (and optionally disable "Anmeldung mit E-Mail und Passwort").
Zu Einmalige Anmeldung in der Randleiste navigieren
SAML wählen
Basic SAML Configuration (zur Bearbeitung auf den Schift klicken)
Identifier (Entity ID): Das ist, wo du deine Subdomain-Adresse eingibst, z. B. https://yourcompanysubdomain.clockify.me/
Reply URL (Assertion Consumer Service URL): zu Clockify zurücknavigieren und die bereits erstellte Reply URL kopieren, z. B. https://global.api.clockify.me/auth/saml2
Auf "Speichern" klicken und mit SAML-Zerfitikat: (zur Bearbeitung auf den Stift klicken):
Neues Zertifikat
Du solltest Änderungen speichern und auf die 3 Punkte beim Inaktiv-Zertifikat klicken, auf "Zertifikat als aktiv festlegen" und "Ja" klicken.
Jetzt solltest du die Seite erneut laden, um die Änderungen zu sehen.
Oder, wenn du einen regionalen Server verwendest, solltest du eine der regionalen URLs hinzufügen.
Dann solltest du im Abschnitt "Aufträge" nach unten scrollen, die Option "Zugriff jedem Benutzer in deiner Organisation zulassen" markieren und auf "Speichern" klicken, um die Aktion abzuschließen.
Dein Bildschirm sollte so aussehen:
Schritt 3: SSO-Konfiguration in Clockify hinzufügen #
Jetzt solltest du im Clockify-Bildschirm "Authentifizierung" , in dem du deine Subdomain erstellt hast:
Auf "SSO konfigurieren" unten auf dem Bildschirm klicken
OAuth2 als Authentifizierungstyp wählen
Okta als IdP-Vorlage wählen
Auf "Weiter" klicken
Im OAuth-Authentifizierung-Form solltest du die folgenden Informationen eingeben:
Kunde-ID: sie wurde in Okta im vorigen Schritt generiert; du solltest sie aus dem Abschnitt "Anmeldeinformationen des Kunden" kopieren
Clientschlüssel (Client Secret): gleich wie die Kunde-ID; du solltest ih aus "Anmeldeinformationen des Kunden" kopieren
Okta-Domain: Die aus Okta, "Allgemeine Einstellungen", Okta -Domain-Feld kopieren (Hinweis: Für die Okta-Domain ist nur ein Domain-Name erforderlich, zum Beispiel: doamin_name.okta.com statt https://domain_name.okta.com)
Der Abschnitt "Erweitert" ist bereits ausgefüllt (automatisch generiert)
In der Registerkarte "Aufträge" auf "Zuweisen" klicken
"Personen/Gruppen zuweisen" wählen, anhängig davon, wer von deinem Okta-Konto auf Clockify zugreifen möchte
In Clockify solltest du auf "Konfiguration abschließen" klicken, um den Vorgang zu vervollständigen und "Anmeldung mit OAuth" zu ermöglichen. Du kannst "Anmeldung mit E-Mail und Passwort" optional deaktivieren.
Dein Bildschirm in Clockify sollte etwa so aussehen:
Das ist alles! Jetzt können sich Benutzer deines Arbeitsbereichs und du bei deinem Arbeitsbereich mit OAuth anmelden.