Fehlerbehebung bei SSO-Anmeldeproblemen in Clockify (SAML 2.0 und OAuth2)
Wenn du oder dein Team Probleme beim SSO-Login (SAML 2.0 oder OAuth2) bei Clockify habt, hilft dir dieser Leitfaden, die häufigsten Fehler schnell zu finden und zu beheben.
| Problem | Mögliche Ursache | Lösung |
| Kein Zugriff auf diesen Arbeitsbereich | Benutzer wurde nicht zum Clockify-Arbeitsbereich hinzugefügt | Benutzer manuell einladen, Zuweisung zur Clockify-App im IdP prüfen oder Auto-Provisioning aktivieren. |
| SAML-Authentifizierung fehlgeschlagen / Ungültige Antwort | Falsch konfigurierte SAML-Metadaten oder fehlendes E-Mail-Attribut (Claim) | Entity-ID und SSO-URL prüfen und sicherstellen, dass das E-Mail-Attribut vorhanden ist. |
| Keine E-Mail in SAML-Antwort erhalten | E-Mail-Attribut im IdP nicht konfiguriert | Claim namens „email“ hinzufügen und mit user.mail oder user.userprincipalname verknüpfen. |
| OAuth2-Login leitet weiter, schlägt aber ohne Fehlermeldung fehl | Fehlende Berechtigungen (Scopes) oder falsch konfigurierte Redirect-URI | Client-Einstellungen im OAuth2-Provider prüfen und korrekte Redirect-URI sicherstellen. |
| Benutzer existiert, kann sich aber nicht über SSO anmelden | Benutzer gehört zu einem anderen Arbeitsbereich | Sicherstellen, dass der Benutzer dem korrekten Clockify-Arbeitsbereich hinzugefügt wurde. |
| Abgelaufenes Zertifikat oder Token | IdP-Zertifikat oder Token wurde nicht erneuert | Zertifikat austauschen oder Token bei Bedarf neu generieren. |
Owner can always log in using the original credentials at https://mysubdomain.clockify.me/login-owner.
Fehlerbehebung bei SAML 2.0-Problemen #
"Du hast keine Berechtigung, auf diesen Arbeitsbereich zuzugreifen“
Clockify kann den Benutzer nicht authentifizieren, da dieser dem Arbeitsbereich nicht hinzugefügt wurde.
Lösung:
- Lade den Benutzer manuell über Team → Einladen ein
- Oder aktiviere Auto-Provisioning unter SSO-Einstellungen
Falsche oder unvollständige SAML-Einrichtung
Überprüfe Folgendes sowohl in Clockify als auch in deinem IdP (Identitätsanbieter):
- Entitäts-ID, SAML-SSO-URL, Metadaten-URL, Relay State und das X.509-Zertifikat sind korrekt
- Das Attribut E-Mail ist in der SAML-Assertion enthalten
- Die Arbeitsbereichs-Domain von Clockify stimmt mit der Konfiguration im IdP überein
- Das NameID-Format ist auf emailAdress eingestellt
Fehlender E-Mail-Claim (E-Mail-Anspruch)
Lösung (Beispiel Azure AD):
- Gehe zu Enterprise applications → deine App → Single Sign-On
- Füge unter Attributes & Claims deinen Anspruch hinzu:
- Name: email
- Source attribute: user.mail
Benutzer gehört zu einem anderen Arbeitsbereich
Lösung:
- Bestätige, dass der Benutzer in den korrekten Arbeitsbereich eingeladen wurde
- Die SSO-Einstellungen gelten nur für den jeweiligen Arbeitsbereich
„SAML-Authentifizierung fehlgeschlagen“ oder „Ungültige Antwort“
- Prüfe, ob die Signatur gültig ist
- Stelle sicher, dass NameID auf E-Mail eingestellt ist
- Überprüfe, ob die Antwort innerhalb des gültigen Zeitbereichs liegt (NotBefore, NotOnOrAfter)
Fehlerbehebung bei OAuth2-Problemen (z. B. Google, Microsoft) #
Benutzer kann sich nicht über OAuth2 anmelden
- Überprüfe, ob die E-Mail-Adresse, die für OAuth2 verwendet wird, mit der in Clockify hinterlegten Adresse übereinstimmt
Abweichung der Weiterleitungs-URI
Wenn du eine benutzerdefinierte OAuth2-App verwendest (z. B. für die Enterprise-Anmeldung über Microsoft), ist die Weiterleitungs-URI möglicherweise nicht korrekt festgelegt.
Lösung:
- Gehe zu den App-Einstellungen deines OAuth2-Anbieters
- Stelle sicher, dass die relevanten Weiterleitungs-URIs hinzugefügt wurden:
https://app.clockify.me/login/android/oauth2 (Für Android)
https://clockify.me/login/ios/oauth2 (Für iOS-App)
Ungültiges Token / Abgelaufene Sitzung
Tokens, die vom Anbieter ausgestellt werden, können ablaufen oder ungültig werden.
Lösung:
- Versuche, dich ab- und wieder anzumelden
- Wenn du Microsoft verwendest, stelle sicher, dass die Zustimmung (Consent) für die erforderlichen Scopes erteilt wurde (wie openid, email, profile)
Best Practices für Administratoren #
- Überprüfe regelmäßig das Ablaufdatum der Zertifikate
- Gleiche Benutzer über alle Plattformen hinweg immer anhand der E-Mail-Adresse ab
Benötigst du weitere Hilfe? #
Wenn du immer noch Probleme hast, wende dich an den Clockify-Support mit folgenden Informationen:
- Ein Screenshot des Fehlers
- Ein Screenshot aus der Konsole der Entwicklertools
- Die E-Mail-Adresse des Benutzers
- Der Zeitstempel des Anmeldeversuchs
- (Für SAML) Eine Kopie der SAML-Antwort oder des Debug-Protokolls