La fonctionnalité d'authentification unique (ci-après SSO) offre une sécurité à grande échelle en éliminant les mots de passe des utilisateurs, en contrôlant l'accès et en gérant les informations de connexion en utilisant l'IdP de votre entreprise via SAML et OAuth 2.0 (OIDC) (Office 365, Okta, Azure, Active Directory, Google, OneLogin...).
Il s'agit d'une fonctionnalité payante, que vous pouvez activer en mettant à niveau votre espace de travail vers le plan Enterprise.
Pour utiliser le SSO, vous devez d'abord déplacer votre espace de travail vers un sous-domaine. Une fois cela fait, vous pouvez configurer les paramètres SSO et désactiver les autres méthodes de connexion.
Avant de pouvoir configurer et commencer à utiliser le SSO pour l'autorisation, vous devez déplacer votre domaine Clockify appli vers un sous-domaine personnalisé.
Lorsque vous passez votre abonnement Clockify au plan Enterprise, vous obtenez un onglet Authentication dans les Paramètres del'espace de travail. Vous pourrez y entrer le sous-domaine que vous souhaitez utiliser et y déplacer votre espace de travail.
Saisissez votre sous-domaine personnalisé dans le champ prévu à cet effet
Cliquez sur Créer un sous-domaine et Créer pour confirmer l'action
Après avoir créé votre sous-domaine et y avoir déplacé votre espace de travail, la connexion Google ne fonctionnera plus pour vous et vos utilisateurs.
Si vous souhaitez toutefois utiliser la connexion Google, vous devez l'installer manuellement en configurant OAuth 2.0 (OIDC) pour le SSO.
Après avoir créé votre sous-domaine, vous serez automatiquement déconnecté de toutes les applications auxquelles vous étiez connecté avec votre compte Clockify. Vous n'y aurez accès qu'à travers le sous-domaine que vous avez créé (p. ex. https://yourcompanysubdomain.clockify.me/login).
Le sous-domaine est lié à un seul espace de travail. Les utilisateurs d'un sous-domaine ne peuvent pas avoir plusieurs espaces de travail : ils n'ont pas de sélecteur d'espace de travail, n'ont pas d'espace de travail dans la barre latérale, et ne peuvent pas accéder à l'espace de travail du sous-domaine depuis le domaine principal.
Si vous avez plusieurs espaces de travail, vous devez vous connecter au domaine principal de Clockify afin d'y accéder.
Pour des raisons de sécurité, chaque utilisateur d'un sous-domaine reçoit une clé API distincte qui ne fonctionne que pour cet espace de travail. En d'autres termes, personne ne peut accéder à vos données sur le sous-domaine à moins de disposer de l'autorisation appropriée.
Si, par exemple, vous avez un utilisateur avec deux espaces de travail Entreprise distincts, les propriétaires de ces espaces de travail ne peuvent pas voir ou obtenir les données de leurs comptes respectifs.
Une fois que vous êtes dans l'espace de travail du sous-domaine, vous pouvez inviter les utilisateurs un par un en utilisant l'email (comme auparavant), ou laisser n'importe qui se joindre sans avoir à les inviter manuellement.
Pour permettre à quiconque de se joindre à vous, cochez la case Les utilisateurs peuvent se joindre sans invitation.
Si vous utilisez le SSO et qu'une personne sans compte se connecte, un compte sera automatiquement créé pour elle et elle sera connectée.
Si vous autorisez l’option Se connecter avec l'adresse email, les utilisateurs pourront créer un compte et rejoindre automatiquement votre espace de travail.
Si vous souhaitez utiliser le SSO via vos appareils mobiles (android ou iOS), toutes les configurations SSO supportées par Clockify doivent contenir les liens [sous-domaine de votre société].clockify.me Par exemple, dans la section URL de redirection ajoutez le lien https://sousdomainedevotresociete.clockify.me/login/android/oauth2 ou https://sousdomainedevotresociete.clockify.me/login/ios/oauth2.
Clockify supporte tous les principaux fournisseurs d'identité SSO :
Seul le propriétaire de l'espace de travail peut voir l'ongle Autorisation , gérer le sous-domaine, configurer le SSO et activer/désactiver le SSO.
Si vous souhaitez obliger tout le monde à se connecter avec le SSO, décochez la case Se connecter avec l'adresse email. Une fois cette modification enregistrée, les comptes des membres de votre espace de travail devront utiliser le SSO pour se connecter.
Les données de la configuration SSO peuvent toujours être modifiées ou supprimées. Si elles sont supprimées, vos utilisateurs devront revenir à la connexion par email ou par mot de passe de l’email.
Le propriétaire peut toujours se connecter en utilisant les informations d'identification originales à l'adresse https://mysubdomain.clockify.me/login-owner
Pour ajouter l'État de relais par défaut, utilisez les paramètres ci-dessous.
Veillez à utiliser des guillemets droits au lieu des crochets, sinon cela ne fonctionnera pas.
Dans le formulaire Paramètres généraux , entrez les informations suivantes et cliquez sur Suivant
Nom de l'appli: ex. Clockify
Logo: p. ex. télécharger le logo Clockify
Dans Configurer SAML , entrez les informations suivantes :
URL d'authentification unique (ou ACS) : URL spécifique à laquelle les assertions SAML d'Okta doivent être envoyées (p. ex. https://global.api.clockify.me/auth/saml2)
URI de l'audience (ID de l'entité dans votre application) : Identificateur unique de votre application personnalisée ; identique à l'ID de l'entité dans le champ d'authentification SAML (p. ex. https://yourcompanysubdomain.clockify.me)
l'État de relais par défaut: Authentification initiée par l'IDP afin que les utilisateurs puissent se connecter à Clockify directement depuis le tableau de bord Okta
Veillez à mettre des guillemets droits au lieu des crochets, sinon cela ne fonctionnera pas.
Laissez tout le reste tel quel et cliquez sur Suivant.
Dans Feedback, cochez Je suis un client Okta qui ajoute une application interne et cliquez sur Terminer.
Vous devriez obtenir un écran qui ressemble à ceci :
Comme dernière étape de cette section, cliquez sur le bouton Afficher les instructions d’installation (voir la capture d'écran ci-dessus).
Dans Comment configurer SAML 2.0 pour l'application Clockify, vous obtiendrez la liste des données dont vous avez besoin pour configurer votre application Clockify.
Étape 3 : Ajouter la configuration SSO dans Clockify #
Maintenant, dans Clockify, dans l'écran : Authentication
Cliquez sur Ajouter une configuration SSO en bas de l'écran
Choisissez SAML2 comme type d'authentification
Choisissez Okta comme modèle IdP
Le formulaire d'authentication SAML2 apparaît :
Saisissez les éléments suivants :
Id d’entité (URI d'audience dans Okta) : p. ex. https://yourcompanysubdomain.clockify.me
Url de métadonnées:
Retournez sur Okta
Copiez le lien du fournisseur d'identité des métadonnées depuis la section Paramètres dans Okta
Sauvegardez-le en tant que fichier .xml et téléchargez-le sur Clockify
SAML SSO URL : Copier/coller l'URL de l'authentification unique du fournisseur d'identité depuis Okta intitulé Comment configurer SAML 2.0 pour l'application Clockify
Avancé : Copier/coller le certificat X.509 depuis Okta
Enfin, votre écran dans Clockify devrait ressembler à quelque chose comme ceci :
et
Après avoir saisi toutes les données requises, vous pouvez choisir de vérifier votre configuration en cliquant sur le bouton Tester la configuration. Cette action permet de s'assurer de l'exactitude des informations fournies. Si tout est correct, le bouton Tester la configuration sera remplacé par le bouton Terminer le configuration.
Cliquez sur Terminer la configuration pour terminer le processus et activer la Connexion avec SAML2. En option, désactivez l'option Se connecter avec l'adresse email et le mot de passe.
Naviguez vers Utilisateurs (c'est ici que vous choisissez quels utilisateurs de votre compte OneLogin pourront accéder à Clockify)
Cliquez sur l'utilisateur spécifique
Dans Applications, cliquez sur le signe + pour ajouter une application
Choisissez Clockify
Cliquez sur Continuer et Enregistrer
Dans Clockify, après avoir saisi toutes les données requises, vous pouvez choisir de vérifier votre configuration en cliquant sur le bouton Tester la configuration. Cette action permet de s'assurer de l'exactitude des informations fournies. Si tout est correct, le bouton Tester la configuration sera remplacé par le bouton Terminer la configuration.
Cliquez sur Terminer la configuration pour terminer le processus et activer l'option Se connecter avec SAML 2.0. En option, vous pouvez désactiver l'option Se connecter par email et mot de passe.
Et c'est tout ! Vous et les utilisateurs de votre espace de travail pouvez maintenant vous connecter à votre espace de travail avec SAML 2.0.
Choisissez Ajouter une application SAML personnalisée dans Ajouter une application
Insérer ce qui suit – Nom de l'appli: par ex. https://yourcompanysubdomain.clockify.me/ – Description: par exemple Clockify SAML2 demo app – Icône de l'application: ajout facultatif d'une icône
Cliquez sur Continuer
Vous accéderez à l'écran des détails du fournisseur d'identité de Google Côté Google :
Téléchargez l'URL des métadonnées IdP et téléchargez-la dans le champ Clockify/IdP Metadata URL
Copiez l'URL SSO et collez-la dans le champ URL de connexion dans Clockify Côté Clockify :
Cliquez sur Continuer Côté Google :
Vous accéderez aux Détails du fournisseur de services
Insérer ce qui suit : – ACS URL: Copiez/collez URL de réponse de Clockify, par exemple https://global.api.clockify.me/auth/saml2 ID de l'entité : Identifiant unique de votre application personnalisée, par exemple Clockify – Start URL : Copiez/collez l'État de relais par défaut de Clockify, par ex.
Après avoir saisi toutes les données requises, du côté Clockify, vous pouvez choisir de vérifier votre configuration en cliquant sur le bouton Tester la configuration. Cette action permet de s'assurer de l'exactitude des informations fournies. Si tout est correct, le bouton Tester la configuration sera remplacé par le bouton Terminer la configuration.
Maintenant que vous avez effectué toutes les étapes et créé l'application, ouvrez les paramètres de l'application et dans Statut du service , activez l'application pour tout le monde.
L'application que vous avez créée apparaîtra dans l'espace de travail Google pour tous les utilisateurs de cet espace de travail.
Connectez-vous à Rippling en tant qu'administrateur
Sélectionnez Gestion informatique
Sélectionnez Application personnalisée
Donnez un nom descriptif à l'application, sélectionnez une catégorie et importez un logo
Vérifiez L'authentification unique (SAML)
Cliquez sur Continuer
Confirmez que vous êtes l'administrateur de l'application
Une nouvelle page contenant des instructions SSO s'ouvre et vous pouvez passer à l'étape suivante. La page contient des Instructions de configuration SSO qui incluent le fichier XML de métadonnées IdP.
Téléchargez les métadonnées IDP de Rippling.
Étape 3 : Ajouter la configuration SSO dans Clockify #
Dans la section Authentification dans laquelle vous avez créé votre sous-domaine :
Cliquez sur Ajouter une configuration SSO
Choisissez SAML2 comme type d'authentification et cliquez sur Suivant
Choisissez Rippling comme modèle IdP
Dans le formulaire d'authentification SAML2 qui s'affiche, saisissez les informations suivantes :
Importez le fichier XML des métadonnées IdP que vous avez téléchargé à l'étape 2 ou
Effectuez un copier/coller de l'URL des métadonnées de l'IdP à partir de Rippling
Url de connexion : Effectuez un copier/coller de l'URL de l'authentification unique/l'URL de l'authentification unique de Rippling
Après avoir saisi toutes les données requises, vous pouvez choisir de vérifier votre configuration en cliquant sur le bouton Tester la configuration. Cette action permet de s'assurer de l'exactitude des informations fournies. Si tout est correct, le bouton Tester la configuration sera remplacé par le bouton Terminer le configuration.
Cliquez sur Terminer la configuration pour terminer le processus et activer la Connexion avec SAML2. En option, désactivez l'option Se connecter avec l'adresse email et le mot de passe.
Étape 4 : Attribuer une application dans Rippling #
Retournez sur Rippling :
Sur la page des instructions SSO, faites défiler vers le bas et entrez ce qui suit :
URL ACS : Copiez/collez l'URL de réponse de Clockify
ID de l'entité du prestataire de services : Copiez/collez l'ID de l'entité à partir de Clockify
Cliquez sur Passer à l'étape suivante
Choisissez les Règles d'accès souhaitées
Choisissez l'Heure de mise à disposition souhaitée
Configurez le SSO pour les administrateurs si nécessaire
Configurez les attributs de groupe si nécessaire
Cliquez sur Se connecter via Rippling si vous souhaitez vérifier la connexion entre les applis ou simplement sur Continuer
Et c'est tout ! Vous avez installé avec succès votre application dans rippling et vous et vos utilisateurs êtes maintenant en mesure de vous connecter à votre espace de travail avec SAML 2.0.
Naviguez vers Authentification unique (SSO) dans la barre latérale à gauche
Cliquez sur + pour ajouter une nouvelle application
Choisissez Application SAML personnalisée
Dans Information sur l'application entrez ce qui suit :
Libellé d'affichage: Nom de l'application, par ex. Clockify
Logo: p. ex. télécharger le logo Clockify
Dans l'onglet SSO, vous pouvez passer à l'étape suivante. La page contient les Instructions de configuration SSO qui incluent le fichier XML des métadonnées IdP. Téléchargez les métadonnées IDP de JumpCloud et sauvegardez-les pour plus tard.
Dans Mappage des attributs utilisateur ajoutez le mappage d'attributs Nom d'attribut du fournisseur de services vers Nom d'attribut de JumpCloud
Cliquez sur Activer
Ouvrez l'application que vous avez créée
Cliquez sur l'onglet Certificat IDP Valide à gauche et téléchargez le certificat
Cliquez sur Enregistrer
Vous avez réussi à créer votre application dans JumpCloud. Vous pouvez maintenant décider quels utilisateurs de votre compte JumpCloud pourront accéder à Clockify et terminer la configuration dans Clockify.
Étape 4 : Terminez la configuration du SSO dans Clockify #
Retournez sur Clockify
Dans Le formulaire d'authentification SAML2 entrez les informations suivantes :
Url de métadonnées: importez le fichier XML des métadonnées IdP téléchargé à l'étape 3
IdP Url: Copiez/collez l'URL de l'IDP depuis JumpCloud
Avancé: Copiez/collez le certificat IDP de JumpCloud
Après avoir saisi toutes les données requises, vous pouvez choisir de vérifier votre configuration en cliquant sur le bouton Tester la configuration. Cette action permet de s'assurer de l'exactitude des informations fournies. Si tout est correct, le bouton Tester la configuration sera remplacé par le bouton Terminer le configuration.
Cliquez sur Terminer la configuration pour terminer le processus et activer la Connexion avec SAML2. En option, désactivez l'option Se connecter avec l'adresse email et le mot de passe.
Lorsque vous passez à un sous-domaine, la connexion Google par défaut cesse de fonctionner et vous devez la configurer manuellement pour continuer à l'utiliser.
La configuration de l'identifiant Google est simple et rapide.
Pour y arriver, vous devez disposer d'un compte G Suite ou Cloud Identity .
Vous devez configurer OAuth 2.0 dans votre compte Google, créer un projet et obtenir l'ID client OAuth 2.0 pour une application Web.
Dans Google Cloud Platform naviguez vers API & Services et choisissez Identifiants. Ouvrez le projet/l'application que vous avez créé et collez https://yoursubdomain.clockify.me/login sous URI de redirection autorisées.
Vous devez également ajouter les URIs suivants pour que la connexion OAuth fonctionne sur les applications mobiles Clockify :
If you’re using one of the serveurs régionaux for hosting, please note that the URLs for workspaces that are on subdomain won’t contain the indicator of the region in question, although they are hosted on a regional server.
In Clockify, go to Authentication tab
Click Add SSO Configiuration
Choisissez le type d'authentification OAuth2
Choisissez Google dans la fenêtre modale Modèles IdP Templates
Cliquez sur Suivant
Copiez/collez Client ID et Client Secret depuis votre Appli Google comme indiqué dans l'exemple ci-dessous (les champs de la section Avancé sont préremplis).
Votre écran dans Clockify devrait ressembler à ceci :
et
Après avoir saisi toutes les données requises, vous pouvez choisir de vérifier votre configuration en cliquant sur le bouton Tester la configuration. Cette action permet de s'assurer de l'exactitude des informations fournies. Si tout est correct, le bouton Tester la configuration sera remplacé par le bouton Terminer le configuration.
Cliquez sur Terminer la configuration pour achever le processus. Cochez la case Se connecter avec OAuth pour commencer à utiliser la connexion Google. Vous pouvez également obliger tout le monde à utiliser l'identité Google de votre entreprise pour se connecter en désactivant l'option Se connecter avec l'adresse email et le mot de passe.
Étape 2 : Ajouter la configuration SSO dans Clockify #
Cliquez sur Ajouter une configuration SSO
Choisissez OAuth2 comme type d'authentification
Choisissez Azure dans la fenêtre modale Modèles IdP
Copiez l'URL de redirection
Étape 3 : Enregistrer l'application dans AzureAD #
Naviguez vers les Enregistrements d'applications
Cliquez sur Nouvelle inscription
Entrez les informations suivantes :
Info:
Nom: Clockify
Types de comptes supportés: Choisissez ce que vous préférez ; dans notre cas, il s’agit de Comptes dans cet annuaire organisationnel uniquement (Annuaire par défaut seulement - monolocataire)
URI de redirection : Collez l'URL de redirection que vous avez copiée à l'étape 2 ; https://sousdomainedevotresociete.clockify.me/login (il peut également s'agir de : https://sousdomainedevotresociete.clockify.me/login/ios/oauth2 ou https://sousdomainedevotresociete.clockify.me/login/android/oauth2) et cliquez sur Enregistrer pour continuer
Ou, si vous utilisez l'un des serveurs régionaux, vous devez ajouter l'une des URL régionales.
Client Id: Allez dans Azure - Aperçu - Application (client) ID : copiez la valeur et collez-la dans Clockify
Clé secrète client: il devrait déjà être collé depuis les étapes précédentes (Certificats et Secrets)
ID de l’annuaire (locataire): Allez dans Azure - Aperçu - ID de l'annuaire (locataire) copiez la valeur et collez-la dans Clockify
Les champs de la section Avancé seront pré-remplis.
Votre écran dans Clockify devrait ressembler à ceci :
et
Après avoir saisi toutes les données requises, vous pouvez choisir de vérifier votre configuration en cliquant sur le bouton Tester la configuration. Cette action permet de s'assurer de l'exactitude des informations fournies. Si tout est correct, le bouton Tester la configuration sera remplacé par le bouton Terminer le configuration.
Cliquez sur Terminer la configuration pour terminer le processus. Cochez la case Se connecter avec OAuth (et désactivez éventuellement Se connecter avec l'adresse email et le mot de passe).
Naviguez vers Authentification unique dans la barre latérale
Choisissez SAML
Configuration de base de SAML (cliquez sur le crayon pour modifier) :
Identifiant (ID de l'entité) : C'est ici que vous mettez l'adresse de votre sous-domaine, par exemple https://acmecompany.clockify.me/
URL de réponse ( URL du service consommateur d'assertions) : retournez sur Clockify et copiez l'URL de réponse, ré-générée, par exemple : https://global.api.clockify.me/auth/saml2
Cliquez sur Enregistrer et continuez avec Certificat SAML : (cliquez sur le crayon pour modifier) :
Nouveau certificat
Enregistrez les modifications et cliquez sur les 3 points du certificat Inactif, choisissez Rendre le certificat actif et cliquez sur Oui.
Maintenant, rechargez la page pour voir les changements.
l'ID de l'entité: (c'est ici que vous mettez l'adresse de votre sous-domaine, dans notre cas il s'agit
https://yourcompanysubdomain.clockify.me/)
Métadonnées de la fédération : naviguez vers Azure, sous SAML Certificats copiez/collez Url des métadonnées de la fédération d'applications dans Clockify
Url de connexion : naviguez vers Azure, sous Configurer Clockify trouvez l'URL de connexion et copiez/collez dans Clockify
Votre écran devrait ressembler à ceci :
et comme ceci :
Après avoir saisi toutes les données requises, vous pouvez choisir de vérifier votre configuration en cliquant sur le bouton Tester la configuration. Cette action permet de s'assurer de l'exactitude des informations fournies. Si tout est correct, le bouton Tester la configuration sera remplacé par le bouton Terminer le configuration.
Cliquez sur Terminer la configuration et activez Se connecter avec SAML2 (et désactivez éventuellement Se connecter avec l'email et le mot de passe).
ou, si vous utilisez l'un des serveurs régionaux, vous devez ajouter l'une des URL régionales.
Ensuite, faites défiler l'écran vers le bas et, dans la section Affectations, cochez l'option Autoriser l'accès à tous les membres de votre organisation. Cliquez sur Enregistrer pour terminer l'action.
Vous devriez obtenir un écran qui ressemble à celui-ci :
Étape 3 : Ajouter la configuration SSO dans Clockify #
Maintenant, dans Clockify, dans l'écran Authentification où vous avez créé votre sous-domaine :
Cliquez sur Ajouter une configuration SSO en bas de l'écran
Choisissez OAuth2 comme type d'authentification
Choisissez Okta comme modèle IdP
Cliquez sur Suivant
In OAuth 2.0 (OIDC) authentication form enter the following information:
ID du client: Généré dans Okta à l'étape précédente ; copiez-le depuis la section Informations d'identification du client .
Clé secrète client: identique à l'ID du client ; copiez-le depuis la section Informations d'identification du client .
Domaine Okta : Copiez depuis Okta, Paramètres généraux, champ Domaine Okta (Remarque : le domaine Okta nécessite un nom de domaine uniquement, par exemple : doamin_name.okta.com au lieu de : https://domain_name.okta.com)
La section Avancée est pré-remplie (générée automatiquement)
Choisissez Attribuer à des personnes/groupes en fonction des personnes de votre compte Okta à qui vous souhaitez donner accès à Clockify
Après avoir saisi toutes les données requises, du côté Clockify, vous pouvez choisir de vérifier votre configuration en cliquant sur le bouton Tester la configuration. Cette action permet de s'assurer de l'exactitude des informations fournies. Si tout est correct, le bouton Tester la configuration sera remplacé par le bouton Terminer la configuration.
Cliquez sur Terminer la configuration pour achever le processus et activer la connexion avec OAuth. En option, vous pouvez désactiver la connexion avec l'email et le mot de passe.
Enfin, votre écran dans Clockify devrait ressembler à quelque chose comme ceci :
Et c'est tout ! Vous et les utilisateurs de votre espace de travail pouvez désormais vous connecter à votre espace de travail avec OAuth 2.0 (OIDC).