Die Funktion für die einmalige Anmeldung (Single Sign-on, abgekürzt SSO) ermöglicht die passende Sicherheit, indem Benutzerpasswörter eliminiert werden sowie der Zugriff kontrolliert wird und Anmeldeinformationen verwaltet werden, indem der IdP (Identitätsanbieter) deines Unternehmens sowohl über SAML 2.0 als auch über OAuth 2.0 (Office 365, Okta, Azure, Active Directory, Google, OneLogin…) benutzt wird.
Das ist eine kostenpflichtige Funktion, die aktivieren kannst, indem du deinen Arbeitsbereich auf den Enterprise-Abonnementplanaktualisierst.
Um SSO zu verwenden, solltest du deinen Arbeitsbereich in eine Subdomain verschieben. Danach kannst du die SSO-Einstellungen konfigurieren und andere Formen der Anmeldung deaktivieren.
Bevor du SSO konfigurieren und für die Autorisierung verwenden kannst, solltest du deine Clockify-App-Domain in eine benutzerdefinierte Subdomain verschieben.
Wenn du dein Clockify-Abonnement auf den Enterprise-Plan aktualisierst, erhältst du die Registerkarte "Authentifizierung" in den Einstellungen deines Arbeitsbereichs. Da kannst du die Subdomain, die du verwenden möchtest, eingeben und deinen Arbeitsbereich verschieben.
In das angegebene Feld deine benutzerdefinierte Subdomain eingeben
Klicke auf "Subdomain erstellen" und Erstellen, um die Aktion zu bestätigen
Nachdem du deine Subdomain erstellst hast und deinen Arbeitsbereich dorthin verschoben hast, funktioniert die Google-Anmeldung für dich und deine Benutzer nicht weiter.
Wenn du die Google-Anmeldung trotzdem verwenden möchtest, solltest du die manuell einrichten, indem du OAuth 2.0 (OIDC) für SSO konfigurierst.
Nachdem du deine Subdomain erstellt hast, wirst du aus allen Apps, in denen du mit deinem Clockify-Konto angemeldet warst, automatisch abgemeldet. Du hast den Zugriff auf sie nur über die Subdomain, die du erstellt hast (z. B. https://yourcompanysubdomain.clockify.me/login).
Eine Subdomain ist mit nur einem Arbeitsbereich verbunden. Benutzer auf einer Subdomain können nicht mehrere Arbeitsbereiche haben: es gibt keinen Arbeitsbereich-Umschalter, keine Arbeitsbereiche in der Randleiste und keinen Zugriff auf den Subdomain-Arbeitsbereich aus der Hauptdomain.
Um auf mehrere Arbeitsbereiche zuzugreifen, solltest du dich bei der Clockify-Hauptdomain anmelden.
Aus Sicherheitsgründen erhält jeder Benutzer auf Subdomain seinen eigenen API-Schlüssel, der nur für diesen Arbeitsbereich funktioniert - das bedeutet, dass niemand auf deine Daten auf deiner Subdomain zugreifen kann, wenn sie die richtige Autorisierung nicht haben.
Wenn es beispielsweise einen Benutzer mit zwei getrennten Enterprise-Arbeitsbereichen gibt, können Besitzer der Arbeitsbereiche keine Daten von ihren Konten gegenseitig sehen oder auf sie zugreifen.
Wenn du im Subdomain-Arbeitsbereich bist, kannst du einzelne Benutzer über E-Mail einladen (wie vorher), oder sie beizutreten lassen, ohne jeden Benutzer manuell einladen zu müssen.
Um jeden beitreten zu lassen, solltest du das Kontrollkästchen "Benutzer können ohne eine Einladung beitreten" markierst.
Wenn du SSO verwendest und eine Person ohne Konto versucht, sich anzumelden, wird das Konto für sie automatisch erstellt und sie kann sich dann anmelden.
Wenn du "Anmeldung mit der E-Mail" zulässt, können Mitarbeiter ein Konto erstellen und deinem Arbeitsbereich automatisch beitreten.
Die Android-App wurde von der Domain clockify.me zur Subdomain app.clockify.me migriert. Deshalb sollen alle SSO-Konfigurationen, die von Clockify unterstützt sind, die Links app.clockify.me auch enthalten. Du solltest z. B. im Abschnitt “ "URL umleiten"https://app.clockify.me/login/android/oauth2 zur Link https://clockify.me/login/android/oauth2 hinzufügen.
Clockify unterstützt alle wichtigen SSO-Identitätsanbieter:
Nur Besitzer des Arbeitsbereichs können die Registerkarte "Autorisierung" ansehen, Subdomain verwalten, SSO konfigurieren und SSO ein-/ausschalten.
Wenn du die Anmeldung mit SSO erzwingen möchtest, solltest du im Kontrollkästchen "Anmeldung mit der E-Mail" die Markierung einfach aufheben. Sobald diese Änderung gespeichert wird, wird es von Mitgliedern deines Arbeitsbereichs erfordert, sich mit SSO anzumelden.
Die Daten in der SSO-Konfiguration können immer bearbeitet oder gelöscht werden. Wenn sie gelöscht werden, müssen deine Benutzer zur Anmeldung mit der E-Mail oder dem E-Mail-Passwort zurückwechseln.
Die Besitzer können sich immer mit den ursprünglichen Anmeldeinformationen unter https://mysubdomain.clockify.me/login-owner anmelden.
Um Default Relay State hinzufügen, solltest du Parameter unten verwenden.
Du solltest sicherstellen, dass du geschweifte Klammern und gerade statt typografische Anführungszeichen verwendest, sonst funktioniert es nicht.
In "Allgemeine Einstellungen" solltest du die folgenden Informationen eingeben und auf "Weiter" klicken:
App-Name:: z. B. Clockify
Logo: Clockify-Logo hochladen
Im "SAML konfigurieren" solltest du die folgenden Informationen eingeben:
Single-Sing-on-URL (oder ACS): bestimmte URL, zu der SAML-Assertions aus Okta gesendet werden sollen (e.g. https://global.api.clockify.me/auth/saml2)
Audience-URL (Entity ID in deiner App): einheitlicher Bezeichner deiner benutzerdefinierten Anwendung; gleich wie die Entity-ID im SAML-Authentifizierung-Feld (z. B. https://yourcompanysubdomain.clockify.me)
Default Relay State: IdP-initiierte Authentifizierung, damit Benutzer sich an Clockify direkt von dem Okta-Dashboard aus anmelden können
Du solltest sicherstellen, dass du gerade statt typografische Anführungszeichen verwendest, sonst funktioniert es nicht.
Du solltest alles andere so lassen, wie es ist und auf "Weiter" klicken.
In Feedback solltest du "Ich bin Okta-Kunde, der eine interne App hinzufügt" abhaken und auf "Abschließen" klicken.
Dein Bildschirm sollte so aussehen:
Im letzten Schritt in diesem Abschnitt solltest du auf die Schaltfläche “Anweisungen zur Einrichtung ansehen” klicken, die du im Bildschirmfoto oben sehen kannst.
Im "So wird SAML 2.0 für Clockify-Anwendung konfigurieret"erhältst du eine Liste mit Daten, die du benötigst, um deine Clockify-Anwendung zu konfigurieren.
Schritt 3: SSO-Konfiguration in Clockify hinzufügen #
Jetzt solltest du in Clockify, im Bildschirm Authentifizierung:
Auf SSO-Konfiguration hinzufügen unten im Bildschirm klicken
SAML2 als Authentifizierungstyp wählen
Okta als IdP-Vorlage wählen
Im Form SAML2-Authentifizierung wird angezeigt:
Die folgenden Informationen eingeben:
Entity Id (Audience URI in Okta): e.g. https://yourcompanysubdomain.clockify.me
Metadata Url:
Zu Okta zurücknavigieren
Identity Provider metadata-Link aus dem Abschnitt "Einstellungen" in Okta kopieren
Als .xml-Datei speichern und in Clockify hochladen
SAML SSO URL: Identity Provider Single Sign-On URL aus "So wird SAML 2.0 für Clockify-Anwendung konfiguriert" für Okta kopieren und einfügen.
Erweitert: X.509 Zertifikat von Oktay kopieren und einfügen
Dein Bildschirm in Clockify sollte etwa so aussehen:
und
Nach der Eingabe aller erforderlichen Daten kannst du dich entscheiden, deine Konfiguration zu testen, indem du auf die Schaltfläche Konfiguration testen klickst. Diese Aktion stellt die Genauigkeit der angegebenen Informationen sicher. Wenn alles korrekt ist, wird die Schaltfläche Konfiguration testen mit der Schaltfläche Konfiguration abschließen gewechselt.
Du solltest auf "Konfiguration abschließen" klicken, um den Vorgang abzuschließen und "Anmeldung mit SAML2" zu ermöglichen. Optional kannst du "Anmeldung mit E-Mail und Passwort" deaktivieren.
Zu Benutzer navigieren (du solltest hier einen Benutzer von deinem OneLogin-Konto auswählen, der auf Clockify zugreifen kann)
Auf den bestimmten Benutzer klicken
Auf + in "Anwendungen" klicken, um eine App hinzufügen
Clockify wählen
Auf "Weiter" und "Speichern" klicken
Nach der Eingabe aller erforderlichen Daten kannst du dich entscheiden, deine Konfiguration zu testen, indem du auf die Schaltfläche Konfiguration testen klickst. Diese Aktion stellt die Genauigkeit der angegebenen Informationen sicher. Wenn alles korrekt ist, wird die Schaltfläche Konfiguration testen mit der Schaltfläche Konfiguration abschließen gewechselt.
In Clockify solltest du auf "Konfiguration abschließen" klicken, um den Vorgang abzuschließen und Anmeldung mit SAML 2.0 zu ermöglichen. Optional kannst du Anmeldung mit E-Mail und Passwort" deaktivieren.
Das ist alles! Jetzt können Benutzer deines Arbeitsbereichs und du mit SAML2 in eurem Arbeitsbereich anmelden.
Google-Konto erstellen und zur Seite "Admin" gehen
"Benutzerdefinierte SAML-App hinzufügen" in "App hinzufügen" wählen
Das Folgende eingeben – App-Name:: z. B. https://yourcompanysubdomain.clockify.me/ – Beschreibung: z. B. Clockify SAML2 Demo-App – App-Symbol: Symbol optional hinzufügen
Klicke auf "Weiter"
Du wirst zum Bildschirm Google-Identitätsanbieter-Details weitergeleitet Auf der Google-Seite:
IdP-Metadata-URL herunterladen und ins Feld Clockify/IdP Metadata URL hochladen
SSO URL kopieren und im Feld Login URL in Clockify einfügen In Clockify:
Auf Weiter klicken In Google:
Du wirst zu "Dienstanbieter-Details" weitergeleitet
Das Folgende eingeben: – ACS URL: Reply URL , z.B. https://global.api.clockify.me/auth/saml2, aus Clockify kopieren/einfügen – Entity ID: ein einzigartiger Identifier deiner benutzerdefinierten Anwendung, z. B. Clockify – Start URL: Default Relay State aus Clockify kopieren/einfügen, z. B.
Du wirst zum Bildschirm "Attribute mapping" weitergeleitet
Klicke auf "Beenden" an, um den Vorgang abzuschließen
Nach der Eingabe aller erforderlichen Daten kannst du dich entscheiden, deine Konfiguration zu testen, indem du auf die Schaltfläche Konfiguration testen klickst. Diese Aktion stellt die Genauigkeit der angegebenen Informationen sicher. Wenn alles korrekt ist, wird die Schaltfläche Konfiguration testen mit der Schaltfläche Konfiguration abschließen gewechselt.
Nachdem du alle Schritte beendet und die App erstellt hast, solltest du die App-Einstellungen öffnen und in "Service status" die App für alle aktivieren.
Die App, die du erstellt hast, wird im Google-Arbeitsbereich für alle Benutzer des Arbeitsbereichs angezeigt.
App einen beschreibenden Namen geben, Kategorie auswählen und ein Logo hochladen
Single Sign-on (SAML) auswählen
Klicke auf "Weiter"
Bestätige, dass du Anwendungsadministrator bist
Eine neue Seite mit SSO-Anweisungen wird geöffnet und du kannst mit dem nächsten Schritt fortfahren. Die Seite enthält "SSO-Anweisungen zur Einrichtung" mit der IdP Metadata XML Datei.
Du solltest IDP Metadata von Rippling herunterladen.
Schritt 3: SSO-Konfiguration in Clockify hinzufügen #
Auf die drei Punkte im Fenster Authentifizierung, , in der du deine Subdomain erstellt hast, solltest du:
SSO-Konfiguration hinzufügen anklicken
SAML2 als Authentifizierungstyp wählen und auf "Weiter" klicken
Rippling als IdP-Vorlage wählen
In SAML2-Authentifizierung sollten die folgenden Informationen eingegeben werden:
Die IdP Metadata XML Datei hochladen, die du im Schritt 2 heruntergeladen hast oder
IdP Metadata URL aus Rippling kopieren/einfügen
Anmelde-Url: : Single Sign on-URL/Target URL aus Rippling kopieren/einfügen
Nach der Eingabe aller erforderlichen Daten kannst du dich entscheiden, deine Konfiguration zu testen, indem du auf die Schaltfläche Konfiguration testen klickst. Diese Aktion stellt die Genauigkeit der angegebenen Informationen sicher. Wenn alles korrekt ist, wird die Schaltfläche Konfiguration testen mit der Schaltfläche Konfiguration abschließen gewechselt.
Du solltest auf "Konfiguration abschließen" klicken, um den Vorgang abzuschließen und "Anmeldung mit SAML2" zu ermöglichen. Optional kannst du "Anmeldung mit E-Mail und Passwort" deaktivieren.
Auf der Seite mit SSO-Anweisungen nach unten scrollen und Folgendes eingeben:
ACS URL: Reply URL aus Clockify kopieren/einfügen
Service Provider Entity ID: Entity ID aus Clockify kopieren/einfügen
Auf "Zum nächsten Schritt wechseln" klicken
Zugriffsregeln beliebig auswählen
Bereitstellzeit beliebig auswählen
SSO für Admins bei Bedarf konfigurieren
Gruppenattribute bei Bedarf konfigurieren
Auf "Über Rippling verbinden" klicken, wenn du die Verbindung zwischen Apps überprüfen möchtest oder einfach auf "Weiter" klicken
Das ist alles! Jetzt hast du deine Anwendung in Rippling erfolgreich installiert und du und deine Benutzer seid bereit, euch mit SAML2 im Arbeitsbereich anzumelden.
Anzeigebeschriftung: Anwendungsname z. B. Clockify
Logo: z. B. Clockify-Logo hochladen
In der SSO-Registerkarte kannst du mit dem nächsten Schritt fortfahren. Die Seite enthält "SSO-Anweisungen zur Einrichtung" mit der IdP Metadata XML Datei. Du solltest IDP Metadata von JumpCloud herunterladen und für später speichern.
Du kannst fortfahren, indem du die folgenden Felder ausfüllst:
In "Benutzerattribute Mapping" Attribute hinzufügen, die den Attributnamen des Dienstanbieters zum JumpCloud Attributnamen zuordnen
Auf "Aktivieren" klicken
Anwendung, die du erstellt hast, öffnen
Klicke auf "IDP-Zertifikat gültig" links und lade das Zertifikat herunter
Auf "Speichern" klicken
Du hast deine Anwendung in JumpCloud erfolgreich erstellt. Jetzt kannst du festlegen, welche Benutzer von deinem JumpCloud-Konto auf Clockify zugreifen können und die Konfiguration in Clockify abschließen.
Schritt 4: SSO-Konfiguration in Clockify abschließen #
Zu Clockify zurücknavigieren
Im "SAML2 Authentifizierung" die folgenden Informationen eingeben:
Metadata Url: die IdP Metadata XML Datei hochladen, die du im Schritt 3 heruntergeladen hast
IdP Url: IDP URL aus JumpCloud kopieren/einfügen
Erweitert: IDP Zertifikat aus JumpCloud kopieren/einfügen
Nach der Eingabe aller erforderlichen Daten kannst du dich entscheiden, deine Konfiguration zu testen, indem du auf die Schaltfläche Konfiguration testen klickst. Diese Aktion stellt die Genauigkeit der angegebenen Informationen sicher. Wenn alles korrekt ist, wird die Schaltfläche Konfiguration testen mit der Schaltfläche Konfiguration abschließen gewechselt.
Du solltest auf "Konfiguration abschließen" klicken, um den Vorgang abzuschließen und "Anmeldung mit SAML2" zu ermöglichen. Optional kannst du "Anmeldung mit E-Mail und Passwort" deaktivieren.
Wenn du auf Subdomain umziehst, funktioniert die Google-Anmeldung nicht mehr und du sollst es manuell konfigurieren, um mit der Verwendung weiterzumachen.
Die Einrichtung von Google-Anmeldung ist schnell und einfach.
Du solltest ein G Suite- oder Cloud Identity -Konto haben, um das zu erledigen.
Du solltest OAuth 2.0 in deinem Google-Konto einrichten, ein Projekt erstellen und OAuth-Kunde-ID für eine Web-Anwendung erhalten.
In der Google-Cloud-Plattform solltest du zu "API und Dienste" navigieren und "Anmeldeinformationen" wählen. Öffne das Projekt/die Anwendung, das/die du erstellt hast und füge https://yoursubdomain.clockify.me/login in Autorisierte Umleitungs -URIs ein.
Außerdem solltest du die folgenden URIs hinzufügen, damit die OAuth-Anmeldung in mobilen Clockify-Apps funktioniert:
In Clockify zur Registerkarte Authentifizierung gehen
Auf SSO-Konfiguration hinzufügen klicken
OAuth2-Authentifizierungstyp wählen
Google im Fenster "IdP-Vorlagen" wählen
Auf "Weiter" klicken
Kunde-ID und den geheimen Kundenschlüssel aus deiner Google-App wie im Beispiel unten (Felder im Abschnitt "Erweitert" werden vorausgefüllt) kopieren/einfügen
Dein Bildschirm in Clockify sollte so aussehen:
und
Nach der Eingabe aller erforderlichen Daten kannst du dich entscheiden, deine Konfiguration zu testen, indem du auf die Schaltfläche Konfiguration testen klickst. Diese Aktion stellt die Genauigkeit der angegebenen Informationen sicher. Wenn alles korrekt ist, wird die Schaltfläche Konfiguration testen mit der Schaltfläche Konfiguration abschließen gewechselt.
Du solltest auf "Konfiguration abschließen" klicken, um den Vorgang zu vervollständigen. Um mit der Verwendung der Google-Anmeldung zu starten, solltest du das Kontrollkästchen "Mit OAuth einloggen" wählen. Optional kannst du alle Mitarbeiter daran hindern, die Google-Identität deiner Firma zum Einloggen zu benutzen, indem du "Anmeldung mit E-Mail und Passwort" deaktivierst.
Unterstützte Kontotypen: Wähle, was du bevorzugst; das ist in unserem Fall “Nur Konten in diesem Organisationsverzeichnis" (Nur Standardverzeichnis - Single Tenant) (Default Directory only – Single tenant)
Kunde-ID: Zu Azure navigieren - Übersicht - Anwendung(Client)-ID: die Wert kopieren und in Clockify einfügen
Clientschlüssel (Client Secret): das sollte in vorigen Schritten schon eingefügt werden (Zertifikate und Geheimnisse)
Directory (tenant) ID: Zu Azure navigieren - Übersicht - Directory(Tenant)-ID-Wert kopieren und in Clockify einfügen
Die Felder im Abschnitt Erweitert sind bereits ausgefüllt.
Dein Bildschirm in Clockify sollte so aussehen:
und
Nach der Eingabe aller erforderlichen Daten kannst du dich entscheiden, deine Konfiguration zu testen, indem du auf die Schaltfläche Konfiguration testen klickst. Diese Aktion stellt die Genauigkeit der angegebenen Informationen sicher. Wenn alles korrekt ist, wird die Schaltfläche Konfiguration testen mit der Schaltfläche Konfiguration abschließen gewechselt.
Klicke auf "Konfiguration abschließen" klicken, um den Prozess abzuschließen. Markiere das Kästchen "Mit OAuth anmelden" (und deaktiviere optional "Anmeldung mit E-Mail und Passwort").
Basic SAML Configuration (zur Bearbeitung auf den Schift klicken)
Identifier (Entity ID): Das ist, wo du deine Subdomain-Adresse eingibst, z. B. https://yourcompanysubdomain.clockify.me/
Reply URL (Assertion Consumer Service URL): zu Clockify zurücknavigieren und die bereits erstellte Reply URL kopieren, z. B. https://global.api.clockify.me/auth/saml2
Klicke Speichern an und mache mit SAML-Zertifikat weiter (zur Bearbeitung auf den Stift klicken):
Neues Zertifikat
Du solltest Änderungen speichern und auf die 3 Punkte beim Inaktiv-Zertifikat klicken, "Zertifikat als aktiv festlegen" wählen und "Ja" anklicken.
Jetzt solltest du die Seite erneut laden, um die Änderungen zu sehen.
Entity-ID: (das ist, wo du deine Subdomain-Adresse eingibst, falls sie https://yourcompanysubdomain.clockify.me/ ist)
Federation Metadata: zu Azure navigieren, unter "SAML-Zertifikat""App Federation Metadata Url" kopieren und in Clockify einfügen.
Anmelde-Url: zu Azure navigieren, unter "Clockify einrichten"Anmelde-URL finden und kopieren und in Clockify einfügen.
Der Bildschirm sollte so aussehen:
und so:
Nach der Eingabe aller erforderlichen Daten kannst du dich entscheiden, deine Konfiguration zu testen, indem du auf die Schaltfläche Konfiguration testen klickst. Diese Aktion stellt die Genauigkeit der angegebenen Informationen sicher. Wenn alles korrekt ist, wird die Schaltfläche Konfiguration testen mit der Schaltfläche Konfiguration abschließen gewechselt.
Du solltest auf "Konfiguration abschließen" klicken, "Mit SAML2 anmelden" aktivieren (und "Anmeldung mit E-Mail und Passwort") deaktivieren).
Oder, wenn du einen regionalen Server verwendest, solltest du eine der regionalen URLs hinzufügen.
Dann solltest du im Abschnitt "Aufträge" nach unten scrollen, die Option "Zugriff jedem Benutzer in deiner Organisation zulassen" markieren und auf "Speichern" klicken, um die Aktion abzuschließen.
Dein Bildschirm sollte so aussehen:
Schritt 3: SSO-Konfiguration in Clockify hinzufügen #
Jetzt solltest du im Clockify-Bildschirm Authentifizierung, in dem du deine Subdomain erstellt hast:
Auf SSO-Konfiguration hinzufügen unten im Bildschirm klicken
OAuth2 als Authentifizierungstyp wählen
Okta als IdP-Vorlage wählen
Auf "Weiter" klicken
Im OAuth 2.0 (OIDC)-Authentifizierung-Form solltest du die folgenden Informationen eingeben:
Kunde-ID: sie wurde in Okta im vorigen Schritt generiert; du solltest sie aus dem Abschnitt "Anmeldeinformationen des Kunden" scrollen
Clientschlüssel (Client Secret): gleich wie die Kunde-ID; du solltest ih aus "Anmeldeinformationen des Kunden" scrollen
Okta-Domain: Die aus Okta, "Allgemeine Einstellungen", Okta -Domain-Feld kopieren (Hinweis: Für die Okta-Domain ist nur ein Domain-Name erforderlich, zum Beispiel: doamin_name.okta.com statt https://domain_name.okta.com)
Der Abschnitt "Erweitert" ist bereits ausgefüllt (automatisch generiert)
In der Registerkarte "Aufträge" auf "Zuweisen" klicken
"Personen/Gruppen zuweisen" wählen, anhängig davon, wer von deinem Okta-Konto auf Clockify zugreifen möchte
Nach der Eingabe aller erforderlichen Daten kannst du dich entscheiden, deine Konfiguration zu testen, indem du auf die Schaltfläche Konfiguration testen klickst. Diese Aktion stellt die Genauigkeit der angegebenen Informationen sicher. Wenn alles korrekt ist, wird die Schaltfläche Konfiguration testen mit der Schaltfläche Konfiguration abschließen gewechselt.
In Clockify solltest du auf "Konfiguration abschließen" klicken, um den Vorgang zu vervollständigen und "Anmeldung mit OAuth" zu ermöglichen. Du kannst "Anmeldung mit E-Mail und Passwort" optional deaktivieren.
Dein Bildschirm in Clockify sollte etwa so aussehen:
Das ist alles! Jetzt können sich Benutzer deines Arbeitsbereichs und du bei deinem Arbeitsbereich mit OAuth 2.0 (OIDC) anmelden.