La función de inicio de sesión único (en adelante, SSO) proporciona la seguridad a escala eliminando las contraseñas de usuarios y controlando el acceso y gestión de las credenciales del inicio de sesión utilizando el IDP de tu empresa, tanto a través de SAML 2.0 como de oAuth 2.0 (OIDC) (Office 365, Okta, Azure, Active Directory, Google, OneLogin…).
Esto es una función de pago, que puedes activar actualizando tu espacio de trabajo al plan Enterprise.
Para utilizar SSO, primero debes mover tu espacio de trabajo al subdominio. Una vez hecho esto, puedes configurar los ajustes de SSO y desactivar otros métodos de inicio de sesión.
Antes de que puedas configurar y empezar a usar SSO para la autorización, tienes que trasladar Clockify a un subdominio personalizado.
Una vez al actualizar Clockify al plan Enterprise, obtendrás la pestaña de Autenticación en la Configuración del espacio de trabajo. Allí puedes introducir el subdominio que deseas usar y trasladar tu espacio de trabajo.
Después de crear tu subdominio, saldrás automáticamente de cualquier aplicación en la que hayas iniciado sesión con tu cuenta de Clockify. Tendrás acceso a ellas solo a través del subdominio que hayas creado (por ejemplo, https://mycompany.clockify.me/login).
El subdominio está vinculado solo a un espacio de trabajo. Los usuarios de un subdominio no pueden tener varios espacios de trabajo: no existe un conmutador de espacios de trabajo, no hay espacios de trabajo en la barra lateral y no se puede acceder al espacio de trabajo de subdominio desde el dominio principal.
Para acceder a otros espacios de trabajo, inicia sesión en el dominio principal de Clockify.
Por razones de seguridad, cada usuario de un subdominio recibe una clave API independiente que funciona solo para ese espacio de trabajo, lo que significa que nadie puede acceder a tus datos en el subdominio a menos que tengan la autorización adecuada.
Si, por ejemplo, existe un usuario con dos distintos espacios de trabajo Empresariales, los propietarios de los espacios de trabajo no pueden ver ni acceder a los datos de las cuentas de los demás.
Una vez que estés en un subdominio, puedes invitar a usuarios uno por uno utilizando el correo electrónico (como antes), o puedes dejar que cualquiera se una sin tener que invitarlo manualmente.
Para dejar que cualquiera se una, marca la casilla Los usuarios pueden unirse sin invitación.
Si utilizas el SSO y alguien sin una cuenta inicia sesión, una cuenta se creará automáticamente para él y se conectará.
Si permites Iniciar sesión con correo electrónico, la gente podrá crear una cuenta y unirse automáticamente a tu espacio de trabajo.
Si quieres utilizar SSO a través de tus dispositivos móviles (Android o iOS), todas las configuraciones de SSO compatibles con Clockify deben contener enlaces [yourcompany subdomain].clockify.me. Por ejemplo, en la sección URL de redireccionamiento añade el enlace https://yourcompanysubdomain.clockify.me/login/android/oauth2 o https://yourcompanysubdomain.clockify.me/login/ios/oauth2.
Clockify es compatible con todos principales proveedores de identidad SSO:
Solo el propietario del espacio de trabajo puede ver la pestaña de Autorización , gestionar el subdominio, configurar el SSO y activar/desactivar el SSO.
Si quieres obligar a todos que inicien sesión con SSO, desmarca Iniciar sesión con correo electrónico. Una vez guardado este cambio, cualquier contraseña conectada con las cuentas de tus miembros ya no funcionará y tendrán que utilizar el SSO.
Los datos en la configuración del SSO siempre se pueden editar o eliminar. Si se eliminan, la gente tendrá que ingresar utilizando el correo electrónico.
El propietario siempre puede iniciar sesión usando credenciales originales en
Para añadir el Estado de relé predeterminado, usa los parámetros siguientes.
Asegúrate de usar las llaves y poner las comillas rectas en lugar de las curvadas, o no funcionará.
En el formulario Ajustes generales, introduce la siguiente información y haz clic en Siguiente
Nombre de app, por ejemplo, Clockify
Logotipo: por ejemplo, sube el logotipo de Clockify
En Configurar SAML formulario, introduce la siguiente información:
URL de inicio de sesión único (o ACS): URL específica a la que deben enviarse las aserciones SAML de Okta (por ejemplo, https://global.api.clockify.me/auth/saml2)
URI de la audiencia (ID de entidad en tu aplicación): Identificador único de tu aplicación personalizada; el mismo que el ID de entidad en el campo de autenticación SAML (por ejemplo, https://nombredetusubdominio.clockify.me)
Estado de relé predeterminado: autenticación IdP-iniciada para que los usuarios puedan iniciar sesión en Clockify justo desde el panel de Okta
Asegúrate de usar las llaves y poner las comillas rectas en lugar de las curvadas, o no funcionará.
Deja todo lo demás como está y haz clic en Siguiente.
En Feedback marca Soy un cliente de Okta añadiendo una aplicación interna y haz clic en Terminar.
Deberías ver una pantalla que se parece a esto:
Como el paso final en esta sección, haz clic en el botón de Ver instrucciones de configuración (View Setup Instructions) que aparece en la captura de pantalla arriba.
En Cómo configurar SAML 2.0 para la aplicación de Clockify, obtendrás una lista de datos que necesitas para configurar tu aplicación de Clockify.
Paso 3: Añade la configuración de SSO a Clockify #
Ahora, en Clockify, en la pantalla Autenticación:
Haz clic en Añadir la configuración SSO en la parte inferior de la pantalla
Selecciona SAML2 como tipo de autenticación
Selecciona Okta como Plantilla de IdP
Aparece el formulario de autenticación SAML2:
Introduce los siguientes campos:
ID de entidad (URI de audiencia en Okta) : por ejemplo, https://subdominiodetuempresa.clockify.me
URL de metadatos:
Vuelve a Okta
Copia el enlace de los Metadatos del proveedor de identidades desde el apartado Configuración en Okta
Guárdalo como un archivo .xml y súbelo a Clockify
SAML SSO URL: Copia/pega la URL de inicio de sesión único del proveedor de identidades de Cómo configurar SAML 2.0 para la aplicación Clockify de Okta
Finalmente, tu pantalla en Clockify debería verse algo como esto:
y
Después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso y habilita Iniciar sesión con SAML2. Opcionalmente, deshabilita Iniciar sesión con correo electrónico y contraseña.
Ve a Usuarios (aquí es donde eliges cuáles usuarios de tu cuenta OneLogin podrán acceder a Clockify).
Haz clic en un Usuario concreto
En Aplicaciones, haz clic en el signo + para añadir una aplicación
Selecciona Clockify
Haz clic en Continuar y Guardar
En Clockify, después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso y habilita Iniciar sesión con SAML 2.0. Opcionalmente, puedes desactivar Iniciar sesión con correo electrónico y contraseña.
¡Y ya está! Ahora tú y los usuarios de tu espacio de trabajo podéis iniciar sesión en él con SAML2.
Crea una cuenta de Google y ve a la página de Administrador
Elige Añadir aplicación SAML personalizada en Añadir aplicación
Introduce lo siguiente – Nombre de app: por ejemplo https://yourcompanysubdomain.clockify.me/ – Descripción: por ejemplo: Aplicación de demostración Clockify SAML2 – Ícono de app: opcionalmente añade un ícono
Haz clic en Continuar
Pasarás a la pantalla de Detalles del proveedor de identidad de Google
Lado de Google:
Descarga la URL de metadatos de IdP y cárgala en el campo URL de metadatos de Clockify/IdP
Copia la URL de SSO y pégala en el campo URL de inicio de sesión en Clockify Lado de Clockify:
Haz clic en Continuar Lado de Google:
Pasarás a los Detalles del proveedor de servicios
Introduce lo siguiente: – URL de ACS: Copia/pega URL de respuesta de Clockify, por ejemplo, https://global.api.clockify.me/auth/saml2 ID de entidad: Identificador único de tu aplicación personalizada, por ejemplo Clockify – URL de inicio: copia/pega Estado de relé predeterminado de Clockify, por ejemplo:
Después de ingresar todos los datos requeridos, en el lado de Clockify, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón de Probar configuración será reemplazado por un botón de Finalizar configuración.
Ahora que has completado todos los pasos y creado la aplicación, abre la configuración de la aplicación y en Estado del servicio habilita la aplicación para todos.
La aplicación que has creado aparecerá en el espacio de trabajo de Google para todos los usuarios de ese espacio de trabajo.
Asigna un nombre descriptivo a la aplicación, selecciona la categoría y carga un logotipo
Elige el Inicio de sesión único (SAML)
Haz clic en Continuar
Confirma que eres administrador de la aplicación
Se abre una nueva página con instrucciones de SSO y puedes continuar con el siguiente paso. La página contiene Instrucciones de configuración de SSO que incluyen el archivo XML de metadatos de IdP.
Descarga los metadatos de IDP de Rippling.
Paso 3: Añade la configuración de SSO a Clockify #
En la pestaña Autenticación en la que creaste tu subdominio:
Haz clic en Añadir configuración de SSO
Elige SAML2 como tipo de autenticación y haz clic en Siguiente
Elige Rippling como Plantilla de IdP
En el formulario de Autenticación de SAML2 que aparece, introduce la siguiente información:
Carga el archivo XML de metadatos de IdP que descargaste en el Paso 2 o
Copia/pega URL de metadatos de IdP de Rippling
URL de inicio de sesión:Copia/pega la URL de inicio de sesión único/URL de destino de Rippling
Después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso y habilita Iniciar sesión con SAML2. Opcionalmente, deshabilita Iniciar sesión con correo electrónico y contraseña.
En la página de instrucciones de SSO, desplázate hacia abajo e introduce lo siguiente:
URL de ACS: Copia/pega la URL de respuesta de Clockify
ID de entidad del proveedor de servicios: Copia/pega ID de entidad de Clockify
Haz clic en Ve al siguiente paso
Elige las Reglas de acceso que quieres
Elige el Tiempo de provisión que quieres
Configura SSO para administradores si es necesario
Configura los atributos de grupo si es necesario
Haz clic en Conectar a través de Rippling si quieres verificar la conexión entre aplicaciones o simplemente Continuar
¡Y eso es! Has instalado con éxito tu aplicación en Rippling y tú y tus usuarios ahora podéis iniciar sesión en vuestro espacio de trabajo con SAML 2.0.
En Información de la aplicación introduce lo siguiente:
Etiqueta de visualización: Nombre de la aplicación, por ejemplo Clockify
Logotipo: por ejemplo, sube el logotipo de Clockify
En la pestaña SSO puedes continuar con el siguiente paso. La página contiene Instrucciones de configuración de SSO que incluyen el archivo XML de metadatos de IdP. Descarga los metadatos de IDP de JumpCloud y guárdalos para más adelante.
En la Asignación de atributos de usuario añade atributos que asignen el Nombre del atributo del proveedor de servicios al Nombre del atributo de JumpCloud
Haz clic en Activar
Abre la aplicación que creaste
Haz clic en Certificado de IDP a la izquierda y descarga el certificado
Haz clic en Guardar
Has creado con éxito tu aplicación en JumpCloud. Ahora puedes decidir qué usuarios de tu cuenta de JumpCloud podrán acceder a Clockify y finalizar la configuración en Clockify.
Paso 4: Finaliza la configuración de SSO en Clockify #
Vuelve a Clockify
En Autenticación SAML2 introduce la siguiente información:
URL de metadatos: Carga el archivo XML de metadatos de IdP que descargaste en el paso 3
URL de IdP: Copia/pega la URL de IDP de JumpCloud
Avanzado: Copia/pega el Certificado IDP de JumpCloud
Después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso y habilita Iniciar sesión con SAML2. Opcionalmente, deshabilita Iniciar sesión con correo electrónico y contraseña.
Una vez al trasladarse al subdominio, el inicio de sesión de Google predeterminado dejará de funcionar y tendrás que configurarlo manualmente para poder continuar usándolo.
Configurar el ingreso de Google es rápido y fácil.
Hay que tener una cuenta de G Suite o Cloud Identity para hacer esto.
Deberás Configurar OAuth 2.0 en tu cuenta de Google, crear un proyecto y obtener la identificación de cliente de OAuth 2.0 para una aplicación web.
En la Plataforma de nube de Google navega a API y Servicios y selecciona Credenciales. Abre el proyecto/aplicación que hayas creado y pega https://tusubdominio.clockify.me/login bajo URIs de redireccionamiento autorizados.
También deberías añadir las siguientes URIs para que el inicio de sesión de OAuth funcione en las aplicaciones móviles de Clockify:
Si está utilizando uno de los servidores regionales para alojamiento, ten en cuenta que las URL de los espacios de trabajo que están en el subdominio no contendrán el indicador de la región en cuestión, aunque estén alojados en un servidor regional.
En Clockify, ve a la pestaña Autenticación
Haz clic en Añadir Configuración de SSO
Elige OAuth2
Elige Google en el modal de Plantillas de IdP
Haz clic en Siguiente
Copia y pega el ID de cliente y el secreto de cliente de tu aplicación de Google como se ve en el siguiente ejemplo (los campos de la sección Avanzado se completarán previamente)
Tu pantalla en Clockify se debería ver algo como esto:
y
Después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso. Marca la casilla Iniciar sesión con OAuth para comenzar a utilizar el inicio de sesión de Google. Opcionalmente, puedes obligar a todos a utilizar la identidad de Google de tu empresa para iniciar sesión desactivando Iniciar sesión con correo electrónico y contraseña.
Tipos de cuentas compatibles: Selecciona lo que prefieras; en nuestro caso es Cuentas en este directorio de organización solamente (Directorio predeterminado solamente - Arrendatario único)
URL de redireccionamiento: Pega la URL de redireccionamiento que copiaste en el Paso 2;
https://yourcompanysubdomain.clockify.me/login (también puede ser: https://yourcompanysubdomain.clockify.me/login/ios/oauth2 o https://yourcompanysubdomain.clockify.me/login/android/oauth2) y haz clic en Registrar para continuar
O, si estás utilizando uno de los servidores regionales, debes agregar una de las URL regionales.
ID de cliente: Ve a Azure – Resumen – ID de aplicación (cliente): copia el valor y pégalo en Clockify
Secreto del cliente: esto ya debería estar pegado desde los previos pasos (Certificados y Secretos)
ID de directorio (arrendatario): Ve a Azure -- Resumen -- ID de directorio -- Copia el valor y pégalo de nuevo en Clockify
Los campos de la sección Avanzado se rellenarán previamente.
Tu pantalla en Clockify se debería ver algo como esto:
y
Después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso. Marca la casilla de Iniciar sesión con OAuth (y opcionalmente desmarca Iniciar sesión con correo electrónico y contraseña).
Configuración básica de SAML (haz clic en el lápiz para editar):
Identificador (ID de entidad): Aquí es donde pones tu dirección de subdominio, por ejemplo https://subdominiodetuempresa.clockify.me/
URL de respuesta (URL de servicio de consumidores de afirmaciones): vuelve a Clockify y copia la URL de respuesta previamente generada, por ejemplo: https://global.api.clockify.me/auth/saml2
Haz clic en Guardar y continúa con el Certificado de SAML: (haz clic en el lápiz para editar):
Nuevo certificado
Guarda los cambios y haz clic en los tres puntos en el certificado Inactivo, selecciona Activar el certificado y haz clic en Sí.
ID de entidad: (esto es donde pones tu dirección de subdominio, en nuestro caso es https://subdominiodetuempresa.clockify.me/)
Metadatos de federación: Navega a Azure, bajo Certificados de SAML copia o pega la URL de metadatos de la federación de aplicaciones en Clockify
URL de inicio de sesión: Navega a Azure, bajo Configurar Clockify encuentra URL de inicio de sesión y copia/pégalo en Clockify.
Tu pantalla debería verse así:
y así:
Después de ingresar todos los datos requeridos, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón Probar configuración será reemplazado por un botón Finalizar configuración.
Haz clic en Finalizar configuración y habilita Iniciar sesión con SAML2 (y opcionalmente deshabilita Iniciar sesión con correo electrónico y contraseña).
o, si estás utilizando uno de los servidores regionales, debes agregar una de las URL regionales.
Luego, desplázate hacia abajo y en la sección Tareas marca la opción Permitir que todos los miembros de tu organización accedan. Haz clic en Guardar para completar la acción.
Deberías ver una pantalla así:
Paso 3: Añade la configuración de SSO a Clockify #
Ahora, en Clockify, en la pantalla Autenticación donde has creado tu subdominio:
Haz clic en Añadir la configuración SSO en la parte inferior de la pantalla
Selecciona OAuth2 como tipo de autenticación
Selecciona Okta como Plantilla de IdP
Haz clic en Siguiente
Ahora, en Clockify, en la pantalla de Autenticación donde has creado tu subdominio:
ID del cliente: Generado en Okta en el paso anterior; cópialo desde Credenciales de cliente sección.
Secreto del cliente: Lo mismo que el ID de cliente; cópialo desde Credenciales de cliente sección.
Dominio Okta: Cópialo desde Okta, Ajustes generales, campo de Dominio Okta ((Nota: El dominio Okta requiere solo el nombre de dominio, por ejemplo, nombre_dominio.okta.com en lugar de: https://nombre_dominio.okta.com)
La sección Avanzado se rellena previamente (se genera automáticamente)
Selecciona Asignar a personas/grupos dependiendo de quién de tu cuenta Okta te gustaría poder acceder a Clockify
Después de ingresar todos los datos requeridos, en el lado de Clockify, puedes optar por verificar tu configuración haciendo clic en el botón Probar configuración. Esta acción garantiza la exactitud de la información proporcionada. Si todo es correcto, el botón de Probar configuración será reemplazado por un botón de Finalizar configuración.
Haz clic en Finalizar configuración para completar el proceso y habilita Iniciar sesión con OAuth. Opcionalmente, puedes deshabilitar Iniciar sesión con correo electrónico y contraseña.
Finalmente, tu pantalla en Clockify debería verse algo como esto:
¡Y ya está! Ahora tú y los usuarios de tu espacio de trabajo podéis iniciar sesión en él con OAuth 2.0 (OIDC).