Inicio de sesión único (SSO)
La función de inicio de sesión único (en adelante, SSO) proporciona la seguridad a escala eliminando las contraseñas de usuarios y controlando el acceso y gestión de las credenciales del inicio de sesión utilizando el IDP de tu empresa, tanto a través de SAML 2.0 como de oAuth 2.0 (OIDC) (Office 365, Okta, Azure, Active Directory, Google, OneLogin…).
Esto es una función de pago, que puedes activar actualizando tu espacio de trabajo al plan Enterprise.
Para utilizar SSO, primero debes mover tu espacio de trabajo al subdominio. Una vez hecho esto, puedes configurar los ajustes de SSO y desactivar otros métodos de inicio de sesión.
Establecimiento de un dominio personalizado #
Traslado a un subdominio #
Antes de que puedas configurar y empezar a usar SSO para la autorización, tienes que trasladar Clockify a un subdominio personalizado.
Una vez al actualizar Clockify al plan Enterprise, obtendrás la pestaña de Autenticación en la Configuración del espacio de trabajo. Allí puedes introducir el subdominio que deseas usar y trasladar tu espacio de trabajo.
Para establecer un subdominio:
- Navega a la pestaña de Autenticación en la Configuración del espacio de trabajo
- Escribe tu subdominio personalizado en el campo proporcionado
- Haz clic en Crear subdominio y Crear para confirmar la acción
Una vez al crear tu subdominio y trasladar tu espacio de trabajo, el inicio de sesión de Google ya no funcionará para ti y tus usuarios.
Sin embargo, si te gustaría usar el inicio de sesión de Google, tendrás que configurarlo manualmente a través de OAuth 2.0 (OIDC) para SSO.
Para obtener más información, consulta la sección OAuth 2.0 (OIDC) con Google a continuación.
Acceso a Clockify desde un subdominio #
Después de crear tu subdominio, saldrás automáticamente de cualquier aplicación en la que hayas iniciado sesión con tu cuenta de Clockify. Tendrás acceso a ellas solo a través del subdominio que hayas creado (por ejemplo, https://mycompany.clockify.me/login).
Espacios de trabajo en subdominio #
El subdominio está vinculado solo a un espacio de trabajo. Los usuarios de un subdominio no pueden tener varios espacios de trabajo: no existe un conmutador de espacios de trabajo, no hay espacios de trabajo en la barra lateral y no se puede acceder al espacio de trabajo de subdominio desde el dominio principal.
Para acceder a otros espacios de trabajo, inicia sesión en el dominio principal de Clockify.
Cambio de subdominio #
Puedes cambiar la URL del subdominio en cualquier momento.
Una vez que cambies tu URL, tus usuarios se desconectarán y tendrán que usar el espacio de trabajo a través de la nueva URL.
Si cancelas la suscripción al plan Enterprise:
- serás trasladado al dominio principal cuando expire la suscripción
- tu subdominio estará disponible para que otros lo usen
- tus usuarios tendrán que iniciar sesión con su correo electrónico
Claves API en subdominio #
Por razones de seguridad, cada usuario de un subdominio recibe una clave API independiente que funciona solo para ese espacio de trabajo, lo que significa que nadie puede acceder a tus datos en el subdominio a menos que tengan la autorización adecuada.
Si, por ejemplo, existe un usuario con dos distintos espacios de trabajo Empresariales, los propietarios de los espacios de trabajo no pueden ver ni acceder a los datos de las cuentas de los demás.
Invitar a nuevos usuarios #
Una vez que estés en un subdominio, puedes invitar a usuarios uno por uno utilizando el correo electrónico (como antes), o puedes dejar que cualquiera se una sin tener que invitarlo manualmente.
Para dejar que cualquiera se una, marca la casilla Los usuarios pueden unirse sin invitación.
Si utilizas el SSO y alguien sin una cuenta inicia sesión, una cuenta se creará automáticamente para él y se conectará.
Si permites Iniciar sesión con correo electrónico, la gente podrá crear una cuenta y unirse automáticamente a tu espacio de trabajo.
Configurar SSO #
Si quieres utilizar SSO a través de tus dispositivos móviles (Android o iOS), todas las configuraciones de SSO compatibles con Clockify deben contener enlaces [yourcompany subdomain].clockify.me. Por ejemplo, en la sección URL de redireccionamiento añade el enlace https://yourcompanysubdomain.clockify.me/login/android/oauth2 o https://yourcompanysubdomain.clockify.me/login/ios/oauth2.
Clockify es compatible con todos principales proveedores de identidad SSO:
- SAML 2.0 (Google, OneLogin, Okta, Azure, Rippling, JumpCloud)
- OAuth 2.0 (OIDC) (Google, Azure, Okta)
Solo el propietario del espacio de trabajo puede ver la pestaña de Autorización , gestionar el subdominio, configurar el SSO y activar/desactivar el SSO.
Si quieres obligar a todos que inicien sesión con SSO, desmarca Iniciar sesión con correo electrónico. Una vez guardado este cambio, cualquier contraseña conectada con las cuentas de tus miembros ya no funcionará y tendrán que utilizar el SSO.
Los datos en la configuración del SSO siempre se pueden editar o eliminar. Si se eliminan, la gente tendrá que ingresar utilizando el correo electrónico.
El propietario siempre puede iniciar sesión usando credenciales originales en
Para añadir el Estado de relé predeterminado, usa los parámetros siguientes.
Asegúrate de usar las llaves y poner las comillas rectas en lugar de las curvadas, o no funcionará.
Ejemplo de un Estado de relé predeterminado:
{"location":"https://subdominiodetuempresa.clockify.me", "organizationName":"subdominiodetuempresa"}Paso 1: Crea un subdominio en Clockify #
Para obtener más información, echa un vistazo a la sección Establecimiento de un subdominio personalizado.
Paso 2: Crea la aplicación en Okta #
- Ve a Aplicaciones en la barra lateral
- Haz clic en el botón Crear integración de aplicación
- Selecciona SAML 2.0 en el modal
- Haz clic en Siguiente
Crear integración SAML 2.0 #
En el formulario Ajustes generales, introduce la siguiente información y haz clic en Siguiente
- Nombre de app, por ejemplo, Clockify
- Logotipo: por ejemplo, sube el logotipo de Clockify
En Configurar SAML formulario, introduce la siguiente información:
- URL de inicio de sesión único (o ACS): URL específica a la que deben enviarse las aserciones SAML de Okta (por ejemplo, https://global.api.clockify.me/auth/saml2)
- URI de la audiencia (ID de entidad en tu aplicación): Identificador único de tu aplicación personalizada; el mismo que el ID de entidad en el campo de autenticación SAML (por ejemplo, https://nombredetusubdominio.clockify.me)
- Estado de relé predeterminado: autenticación IdP-iniciada para que los usuarios puedan iniciar sesión en Clockify justo desde el panel de Okta
Ejemplo de un Estado de relé predeterminado:
{"location":"https://subdominiodetuempresa.clockify.me", "organizationName":"subdominiodetuempresa"}Asegúrate de usar las llaves y poner las comillas rectas en lugar de las curvadas, o no funcionará.
Deja todo lo demás como está y haz clic en Siguiente.
En Feedback marca Soy un cliente de Okta añadiendo una aplicación interna y haz clic en Terminar.
Deberías ver una pantalla que se parece a esto:
Como el paso final en esta sección, haz clic en el botón de Ver instrucciones de configuración (View Setup Instructions) que aparece en la captura de pantalla arriba.
En Cómo configurar SAML 2.0 para la aplicación de Clockify, obtendrás una lista de datos que necesitas para configurar tu aplicación de Clockify.
Paso 3: Añade la configuración de SSO a Clockify #
Ahora, en Clockify, en la pantalla Autenticación:
- Haz clic en Añadir la configuración SSO en la parte inferior de la pantalla
- Selecciona SAML2 como tipo de autenticación
- Selecciona Okta como Plantilla de IdP
Aparece el formulario de autenticación SAML2:
Introduce los siguientes campos:
- ID de entidad (URI de audiencia en Okta) : por ejemplo, https://subdominiodetuempresa.clockify.me
- URL de metadatos:
- Vuelve a Okta
- Copia el enlace de los Metadatos del proveedor de identidades desde el apartado Configuración en Okta
- Guárdalo como un archivo .xml y súbelo a Clockify
- SAML SSO URL: Copia/pega la URL de inicio de sesión único del proveedor de identidades de Cómo configurar SAML 2.0 para la aplicación Clockify de Okta
Por ejemplo:
https://okta.ops.clockify.me/app/dev05335506_clockifytempsaml2_1/exk4erumfseHaalgs5d7/sso/saml- Avanzado: Copia/pega X.509 Certificado de Okta
Finalmente, tu pantalla en Clockify debería verse algo como esto:
y
Después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso y habilita Iniciar sesión con SAML2. Opcionalmente, deshabilita Iniciar sesión con correo electrónico y contraseña.
Paso 4: Asigna la aplicación en Okta #
En Okta:
- Navega a Aplicaciones
- Selecciona Clockify
- En la pestaña Asignaciones haz clic en Asignar
- Selecciona Asignar a personas/grupos dependiendo de quién de tu cuenta Okta te gustaría poder acceder a Clockify
¡Y ya está! Ahora tú y los usuarios de tu espacio de trabajo podéis iniciar sesión en él con SAML2.
SAML 2.0 con Google #
Paso 1: Crea un subdominio en Clockify
Para obtener más información, consulta la sección Configuración de subdominio personalizado.
Clockify:
- Navega a la pestaña de Autenticación
- Elige Añadir la configuración de SSO
- Elige SAML2 como proveedor de identidad en la ventana de Tipo de autenticación
- Haz clic en Siguiente
- Choose Google as IdP template
Paso 2: Crea aplicación en Google #
Google:
- Crea una cuenta de Google y ve a la página de Administrador
- Elige Añadir aplicación SAML personalizada en Añadir aplicación
- Introduce lo siguiente
– Nombre de app: por ejemplo https://yourcompanysubdomain.clockify.me/
– Descripción: por ejemplo: Aplicación de demostración Clockify SAML2
– Ícono de app: opcionalmente añade un ícono - Haz clic en Continuar
- Pasarás a la pantalla de Detalles del proveedor de identidad de Google
Lado de Google: - Descarga la URL de metadatos de IdP y cárgala en el campo URL de metadatos de Clockify/IdP
- Copia la URL de SSO y pégala en el campo URL de inicio de sesión en Clockify
Lado de Clockify:
- Haz clic en Continuar
Lado de Google: - Pasarás a los Detalles del proveedor de servicios
- Introduce lo siguiente:
– URL de ACS: Copia/pega URL de respuesta de Clockify, por ejemplo, https://global.api.clockify.me/auth/saml2
ID de entidad: Identificador único de tu aplicación personalizada, por ejemplo Clockify
– URL de inicio: copia/pega Estado de relé predeterminado de Clockify, por ejemplo:
{“location”:”https://yourcompanysubdomain.clockify.me”,”organizationName”:”yourcompanysubdomain”, “appName”: “WEB”}
- Haz clic en Continuar
- Pasarás a la pantalla de Mapeo de atributos
- Haz clic en Terminar para completar el proceso
Después de ingresar todos los datos requeridos, en el lado de Clockify, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón de Probar configuración será reemplazado por un botón de Finalizar configuración.
Ahora que has completado todos los pasos y creado la aplicación, abre la configuración de la aplicación y en Estado del servicio habilita la aplicación para todos.
La aplicación que has creado aparecerá en el espacio de trabajo de Google para todos los usuarios de ese espacio de trabajo.
mostrar menosSAML 2.0 con Rippling #
mostrar másOAuth 2.0 (OIDC) con Google #
mostrar másUna vez al trasladarse al subdominio, el inicio de sesión de Google predeterminado dejará de funcionar y tendrás que configurarlo manualmente para poder continuar usándolo.
Configurar el ingreso de Google es rápido y fácil.
Hay que tener una cuenta de G Suite o Cloud Identity para hacer esto.
Deberás Configurar OAuth 2.0 en tu cuenta de Google, crear un proyecto y obtener la identificación de cliente de OAuth 2.0 para una aplicación web.
En la Plataforma de nube de Google navega a API y Servicios y selecciona Credenciales. Abre el proyecto/aplicación que hayas creado y pega https://tusubdominio.clockify.me/login bajo URIs de redireccionamiento autorizados.
También deberías añadir las siguientes URIs para que el inicio de sesión de OAuth funcione en las aplicaciones móviles de Clockify:
- https://yourcompanysubdomain.clockify.me/login
- https://yourcompanysubdomain.clockify.me/login/android/oauth2
- https://yourcompanysubdomain.clockify.me/login/ios/oauth2
Si está utilizando uno de los servidores regionales para alojamiento, ten en cuenta que las URL de los espacios de trabajo que están en el subdominio no contendrán el indicador de la región en cuestión, aunque estén alojados en un servidor regional.
- En Clockify, ve a la pestaña Autenticación
- Haz clic en Añadir Configuración de SSO
- Choose OAuth2 authentication type
- Elige Google en el modal de Plantillas de IdP
- Haz clic en Siguiente
- Copia y pega el ID de cliente y el secreto de cliente de tu aplicación de Google como se ve en el siguiente ejemplo (los campos de la sección Avanzado se completarán previamente)
Tu pantalla en Clockify se debería ver algo como esto:
y
Después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso. Marca la casilla Iniciar sesión con OAuth para comenzar a utilizar el inicio de sesión de Google. Opcionalmente, puedes obligar a todos a utilizar la identidad de Google de tu empresa para iniciar sesión desactivando Iniciar sesión con correo electrónico y contraseña.
mostrar menosPuedes conectar Azure a Clockify configurando OAuth.
Paso 1: Crea un subdominio en Clockify #
Para obtener más información, echa un vistazo a la sección Establecimiento de un subdominio personalizado.
Paso 2: Añade la configuración SSO en Clockify #
- Haz clic en Añadir configuración de SSO
- Selecciona OAuth2 como tipo de autenticación
- Selecciona Azure en el modal de Plantillas de IdP
- Copia el URI de redireccionamiento
Paso 3: Registra la aplicación en AzureAD #
- Navega a Registro de aplicaciones
- Haz clic en Nuevo registro
- Introduce la siguiente información:
- Info:
- Nombre: Clockify
- Tipos de cuentas compatibles: Selecciona lo que prefieras; en nuestro caso es Cuentas en este directorio de organización solamente (Directorio predeterminado solamente - Arrendatario único)
- URL de redireccionamiento: Pega la URL de redireccionamiento que copiaste en el Paso 2; https://yourcompanysubdomain.clockify.me/login (también puede ser: https://yourcompanysubdomain.clockify.me/login/ios/oauth2 o https://yourcompanysubdomain.clockify.me/login/android/oauth2) y haz clic en Registrar para continuar
- Info:
O, si estás utilizando uno de los servidores regionales, debes agregar una de las URL regionales.
Paso 4: Configuración (Clockify y Azure) #
Configuración de AzureAD #
- Certificados y Secretos:
- Selecciona Secreto de nuevo cliente
- Descripción: Clockify
- Caduca: Nunca
- Haz clic en Añadir
- Selecciona Secreto de nuevo cliente
- Secreto del cliente: Copia/pega el valor del secreto de este cliente
- Permisos de API:
- Añade un permiso
- Microsoft Graph
- Marca openid en Permisos delegados
- Añade permisos (puedes marcar otros permisos como correo electrónico y perfil)
- Añade un permiso
- Actualiza la página
- Vuelve al Resumen
Configuración de Clockify #
- Autenticación OAuth2:
- ID de cliente: Ve a Azure – Resumen – ID de aplicación (cliente): copia el valor y pégalo en Clockify
- Secreto del cliente: esto ya debería estar pegado desde los previos pasos (Certificados y Secretos)
- ID de directorio (arrendatario): Ve a Azure -- Resumen -- ID de directorio -- Copia el valor y pégalo de nuevo en Clockify
Los campos de la sección Avanzado se rellenarán previamente.
Tu pantalla en Clockify se debería ver algo como esto:
y
Después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso. Marca la casilla de Iniciar sesión con OAuth (y opcionalmente desmarca Iniciar sesión con correo electrónico y contraseña).
Como alternativa, puedes conectarte al Azure usando el protocolo de autenticación de SAML2, primero añadiendo una aplicación no listada (de no galería) a tu organización Azure AD y luego configurando el inicio de sesión único basado en SAML para esa aplicación de no galería.
mostrar menosPaso 1: Crea un subdominio en Clockify #
Para obtener más información, echa un vistazo a la sección Establecimiento de un subdominio personalizado.
Paso 2: Añade una aplicación en Azure #
- Navega a Aplicaciones empresariales
- Nueva aplicación (asegúrate de estar en la vista de nueva galería)
- Selecciona Crear tu propia aplicación
- Introduce los siguientes campos:
- Nombre: Clockify
- Integra cualquier otra aplicación que no encuentras en la galería
Haz clic en Crear y navega a Propiedades y rellena los campos:
- Logotipo: por ejemplo, sube el logotipo de Clockify
- Opcionalmente cambia Asignación de usuario requerida y Visible a usuarios si es necesario
Haz clic en Guardar para terminar el proceso.
Paso 3: Clockify #
- Haz clic en Añadir configuración de SSO
- Selecciona SAML2 como tipo de autenticación
- Haz clic en Siguiente
Una vez que obtengas la plantilla de Autenticación SAML2 , vuelve a Azure.
Paso 4: Configuración SSO de Azure #
- Ve a SSO en la barra lateral
- Selecciona SAML
- Configuración básica de SAML (haz clic en el lápiz para editar):
- Identificador (ID de entidad): Aquí es donde pones tu dirección de subdominio, por ejemplo https://subdominiodetuempresa.clockify.me/
- URL de respuesta (URL de servicio de consumidores de afirmaciones): vuelve a Clockify y copia la URL de respuesta previamente generada, por ejemplo: https://global.api.clockify.me/auth/saml2
Haz clic en Guardar y continúa con el Certificado de SAML: (haz clic en el lápiz para editar):
- Nuevo certificado
Guarda los cambios y haz clic en los tres puntos en el certificado Inactivo, selecciona Activar el certificado y haz clic en Sí.
Ahora, actualiza la página para ver los cambios.
Paso 5: Clockify #
- ID de entidad: (esto es donde pones tu dirección de subdominio, en nuestro caso es https://subdominiodetuempresa.clockify.me/)
- Metadatos de federación: Navega a Azure, bajo Certificados de SAML copia o pega la URL de metadatos de la federación de aplicaciones en Clockify
URL de inicio de sesión: Navega a Azure, bajo Configurar Clockify encuentra URL de inicio de sesión y copia/pégalo en Clockify.
Tu pantalla debería verse así:
y así:
Después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración y habilita Iniciar sesión con SAML2 (y opcionalmente deshabilita Iniciar sesión con correo electrónico y contraseña).
Paso 6: Asigna la aplicación en Azure #
- Ve a Usuarios y Grupos en la barra lateral (donde puedes elegir qué usuarios de tu cuenta de Azure podrán acceder al Clockify)
- Haz clic en Añadir usuario/grupo
- En Usuarios y grupos selecciona usuarios que deseas
- Haz clic en Seleccionar y Asignar
Paso 1: Crea un subdominio en Clockify #
Para obtener más información, echa un vistazo a la sección Establecimiento de un subdominio personalizado.
Paso 2: Crea la aplicación en Okta #
- Navega a Aplicaciones en la barra lateral
- Haz clic en el botón Crear integración de aplicación
- Elige OIDC – OpenID Connect en la sección Iniciar sesión método
- Elige Aplicación web en la sección Tipo de aplicación
- Haz clic en Siguiente
Crea la integración OIDC #
En Integración de nueva aplicación web, formulario de Ajustes generales introduce la siguiente información y haz clic en Guardar.
- Nombre de la integración de aplicación : por ejemplo, Clockify
- Logotipo: por ejemplo, sube el logotipo de Clockify
- URIs de redireccionamiento: Copia/pega la URL de la URL de redireccionamiento (sección Avanzado) en la Configuración SSO de Clockify
También deberías añadir los siguientes URIs para que el inicio de sesión OAuth 2.0 (OIDC) funcione en las aplicaciones móviles de Clockify:
- https://yourcompanysubdomain.clockify.me/login/android/oauth2
- https://yourcompanysubdomain.clockify.me/login/ios/oauth2
o, si estás utilizando uno de los servidores regionales, debes agregar una de las URL regionales.
Luego, desplázate hacia abajo y en la sección Tareas marca la opción Permitir que todos los miembros de tu organización accedan. Haz clic en Guardar para completar la acción.
Deberías ver una pantalla así:
Paso 3: Añade la configuración de SSO a Clockify #
Ahora, en Clockify, en la pantalla Autenticación donde has creado tu subdominio:
- Haz clic en Añadir la configuración SSO en la parte inferior de la pantalla
- Selecciona OAuth2 como tipo de autenticación
- Selecciona Okta como Plantilla de IdP
- Haz clic en Siguiente
Ahora, en Clockify, en la pantalla de Autenticación donde has creado tu subdominio:
- ID del cliente: Generado en Okta en el paso anterior; cópialo desde Credenciales de cliente sección.
- Secreto del cliente: Lo mismo que el ID de cliente; cópialo desde Credenciales de cliente sección.
- Dominio Okta: Cópialo desde Okta, Ajustes generales, campo de Dominio Okta ((Nota: El dominio Okta requiere solo el nombre de dominio, por ejemplo, nombre_dominio.okta.com en lugar de: https://nombre_dominio.okta.com)
- Logout Url: Optionally add a logout URL to set up redirection after logging out
- La sección Avanzado se rellena previamente (se genera automáticamente)
La pantalla debería parecerse a esta:
y
Paso 4: Asigna la aplicación en Okta #
En Okta:
- Navega a Aplicaciones
- Selecciona Clockify
- En la pestaña Asignaciones haz clic en Asignar
- Selecciona Asignar a personas/grupos dependiendo de quién de tu cuenta Okta te gustaría poder acceder a Clockify
Después de ingresar todos los datos requeridos, en el lado de Clockify, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón de Probar configuración será reemplazado por un botón de Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso y habilita Iniciar sesión con OAuth. Opcionalmente, puedes deshabilitar Iniciar sesión con correo electrónico y contraseña.
Finalmente, tu pantalla en Clockify debería verse algo como esto:
¡Y ya está! Ahora tú y los usuarios de tu espacio de trabajo podéis iniciar sesión en él con OAuth 2.0 (OIDC).
