Solución de problemas de inicio de sesión SSO en Clockify (SAML 2.0 y OAuth2)
Si tú o tu equipo tenéis problemas al iniciar sesión en Clockify con SSO (a través de SAML 2.0 u OAuth2), utiliza esta guía para identificar y resolver rápidamente los problemas más comunes.
| Problema | Causa posible | Solución |
| No tienes permiso para acceder a este espacio de trabajo | Usuario no añadido al espacio de trabajo Clockify | Invita al usuario manualmente, comprueba si el usuario está asignado a la app Clockify en IdP, o habilita el aprovisionamiento automático |
| Autenticación SAML fallida/Respuesta inválida | Mala configuración de los metadatos SAML o reclamación de correo electrónico faltante | Comprueba el ID de entidad, la URL de SSO y asegúrate de que el atributo de correo electrónico esté incluido |
| Correo electrónico no recibido en la respuesta SAML | Reclamación de correo electrónico no configurada en IdP | Añade una reclamación denominada correo electrónico asignado a user.mail o user.userprincipalname |
| Inicio de sesión OAuth2 redirige, pero falla silenciosamente | Faltan ámbitos o el URI de redireccionamiento está mal configurado | Verifica que el usuario esté añadido al espacio de trabajo Clockify correcto |
| El usuario existe, pero no puede iniciar sesión vía SSOs | El usuario pertenece a otro espacio de trabajo | Verifica que el usuario esté añadido al espacio de trabajo Clockify correcto |
| Certificado o token caducado | Certificado/token IdP no renovado | Gira el certificado o regenera los tokens según sea necesario |
Owner can always log in using the original credentials at https://mysubdomain.clockify.me/login-owner.
Solución de problemas con SAML 2.0 #
"No tienes permiso para acceder a este espacio de trabajo" #
Clockify no puede autenticar al usuario porque no se ha añadido al espacio de trabajo.
Solución:
- Invitar al usuario manualmente desde Equipo → Invitar
- O habilitar el Aprovisionamiento automático en la Configuración de SSO
Configuración de SAML incorrecta o incompleta #
Verifica lo siguiente tanto en Clockify como en tu IdP:
- El ID de entidad, la URL de SSO SAML, la URL de metadatos, el estado de retransmisión y el certificado X.509 son correctos
- El atributo de correo electrónico está incluido en la aserción SAML
- El dominio del espacio de trabajo de Clockify coincide con la configuración en el IdP
- El formato de NameID está configurado como emailAddress
Reclamación de correo electrónico faltante #
Solución (ejemplo de Azure AD)::
- Ve a Aplicaciones empresariales → tu app → Inicio de sesión único
- En Atributos y reclamaciones, añade una reclamación:
- Nombre: email
- Atributo de origen: user.mail
El usuario pertenece a un espacio de trabajo diferente #
Solución:
- Confirmar que el usuario está invitado al espacio de trabajo correcto
- La configuración de SSO del espacio de trabajo solo se aplica a ese espacio de trabajo específico
"Error de autenticación SAML" o "Respuesta inválida” #
- Comprueba si la firma es válida
- NameID está configurado como correo electrónico
- La respuesta se encuentra dentro de un rango de tiempo válido (NotBefore, NotOnOrAfter)
Solución de problemas de OAuth2 (por ejemplo Google, Microsoft) #
El usuario no puede iniciar sesión a través de OAuth2 #
- Comprueba si el correo electrónico utilizado con OAuth2 coincide con el de Clockify
El URI de redirección no coincide #
Si utilizas una aplicación OAuth2 personalizada (por ejemplo, para el inicio de sesión empresarial de Microsoft), es posible que el URI de redirección no esté configurado correctamente.
Solución:
- Ve a la configuración de la aplicación de tu proveedor de OAuth2
- Asegúrate de añadir el URI de redirección relevante:
https://app.clockify.me/login/android/oauth2 para Android
https://clockify.me/login/ios/oauth2 para iOS
Token no válido / Sesión caducada #
Los tokens emitidos por el proveedor pueden caducar o volverse inválidos.
Solución:
- Intenta cerrar sesión y volver a iniciarla
- Si utilizas Microsoft, asegúrate de que se haya otorgado el consentimiento para los ámbitos requeridos (como OpenID, correo electrónico y perfil)
Recomendaciones para administradores: #
- Comprueba periódicamente la caducidad del certificado
- Siempre empareja a los usuarios por su dirección de correo electrónico en todas las plataformas
¿Necesitas más ayuda? #
Si sigues teniendo problemas, ponte en contacto con el soporte de Clockify e incluye:
- Una captura de pantalla del error
- Una captura de pantalla de la consola de herramientas para desarrolladores
- La dirección de correo electrónico del usuario
- La marca de tiempo del intento de inicio de sesión
- (Para SAML) Una copia de la respuesta SAML o el registro de depuración