Single Sign-On (SSO) is an authentication method that lets your team log in to Clockify using existing company credentials (e.g., Okta, Azure, Google). This eliminates the need for separate passwords and centralizes access control.
Observação
Este é uma ferramenta paga, que você pode ativar atualizando seu espaço de trabalho para o plano Enterprise.
What happens when SSO is activated?
Once SSO is enabled and configured for your workspace:
Users will no longer use a Clockify-specific password. Instead, they will be authenticated through your organization’s Identity Provider (IdP).
If enabled, new users who log in via SSO for the first time will have a Clockify account automatically created and added to your workspace.
Your team will access Clockify through your custom subdomain (e.g., yourcompany.clockify.me).
Activating SSO changes how your team accesses their accounts:
1. Users go to your workspace’s custom subdomain, such as acmecorp.clockify.me. 2. Clicking on Log in with SSO redirects to your company’s sign-in page (like Okta or Microsoft). 3. After entering their company credentials, they are instantly redirected back to Clockify, fully logged in.
Aviso
If you disable Log in with email, users will be required to use SSO, preventing any logins via standard email/password combinations for maximum security.
Configurando um domínio personalizado
Observação
To use SSO, you first need to move your workspace to subdomain. Once you do that, you can configure SSO settings and disable other login methods.
Movendo para um subdomínio
Antes de configurar e começar a usar o SSO para autorização, você precisa mover o domínio do aplicativo Clockify para um subdomínio personalizado.
Depois de atualizar o Clockify para o plano Enterprise, você obterá a guia Autenticação nas configurações do Espaço de trabalho. Lá você pode inserir o subdomínio que deseja usar e mover seu espaço de trabalho
Digite seu subdomínio personalizado no campo fornecido
Click Create subdomain and Create to confirm the action
Depois de criar seu subdomínio e mover seu espaço de trabalho, o login do Google não funcionará mais para você e seus usuários.
No entanto, se você quiser usar o login do Google, precisará configurá-lo manualmente configurando o OAuth 2.0 (OIDC) para SSO.
Acessando Clockify de um subdomínio
Depois de criar seu subdomínio, você será automaticamente desconectado de qualquer aplicativo em que tenha feito login com sua conta Clockify. Você terá acesso ao aplicativosomente através do subdomínio que você criou (ex.: https://mycompany.clockify.me/login).
Espaços de trabalho no subdomínio
O subdomínio está vinculado a apenas um espaço de trabalho. Os usuários de um subdomínio não podem ter vários espaços de trabalho: não há alternador de espaço de trabalho, não há espaços de trabalho na barra lateral e o espaço de trabalho do subdomínio não pode ser acessado a partir do domínio principal.
Para acessar outros espaços de trabalho, entre no domínio principal do Clockify.
Alterando o subdomínio
Informação
Depois de alterar sua URL, seus usuários serão desconectados e terão que usar o espaço de trabalho através da nova URL.
Você pode alterar o URL do subdomínio a qualquer momento.
Se você cancelar a assinatura do plano Enterprise:
você será movido para o domínio principal quando a assinatura expirar
seu subdomínio estará disponível para outros usarem
seus usuários terão que fazer login com seus e-mails
Chaves de API no subdomínio
Por motivos de segurança, cada usuário em um subdomínio recebe uma chave de API separada que funciona apenas para esse espaço de trabalho, o que significa que ninguém pode acessar seus dados no subdomínio, a menos que tenha a devida autorização.
Se, por exemplo, houver um usuário com dois espaços de trabalho diferentes, ambos no plano Enterprise, os proprietários do espaço de trabalho não poderão ver ou acessar os dados da conta um do outro.
Convidar novos usuários
Once you’re in the subdomain workspace, you can invite users one by one using email (like before), or let anyone join without you having to manually invite them.
Para permitir que qualquer pessoa participe, marque a caixa Usuários podem ingressar sem um convite.
Se você usar o SSO e alguém sem uma conta fazer login, uma conta será criada automaticamente para essa pessoa e para que ela possa entrar.
Se você permitir Entrar com login com e-mail, as pessoas poderão criar uma conta e ingressar automaticamente no seu espaço de trabalho.
Configurando SSO
Se você quiser usar o SSO por meio de seus dispositivos móveis (Android ou iOS), todas as configurações de SSO suportadas pelo Clockify devem conter links [subdomíniodasuaempresa].clockify.me. Por exemplo, na seção URL de redirecionamento, adicione o link https://subdomíniodasuaempresa.clockify.me/login/android/oauth2 ou https://subdomíniodasuaempresa.clockify.me/login/ios/oauth2.
Clockify é compatível com todos os principais provedores de identidade SSO:
Only workspace owner can see Authorization tab, manage subdomain, configure SSO, and turn SSO on/off.
Se você deseja forçar todos a fazer login com SSO, simplesmente desative a opção Entrar com e-mail. Depois que essa alteração for salva, todas as senhas conectadas às contas de seus integrantes não funcionarão e eles terão que usar o SSO
Os dados na configuração SSO sempre podem ser editados ou excluídos. Se excluídos, seus usuários terão que voltar a fazer login usando e-mail.
O proprietário sempre pode fazer login usando o e-mail original em https://mysubdomain.clockify.me/login-owner
Para adicionar o estado de retransmissão padrão, use os parâmetros abaixo.
Observação
Certifique-se de usar chaves e colocar aspas retas em vez de curvilíneas, ou não funcionará.
Exemplo de um estado de retransmissão pré definido:
No formato de Configurações gerais insira as seguintes informações e clique em Avançar:
App name: e.g. Clockify
Logo: por exemplo baixe o logotipo do Clockify
In Configure SAML form, enter the following information:
Single sign on URL (or ACS): Specific URL that SAML assertions from Okta should be sent to (e.g. https://global.api.clockify.me/auth/saml2)
Audience URI (Entity ID in your app): Unique identifier of your custom application; same as Entity Id in SAML authentication field (e.g. https://yourcompanysubdomain.clockify.me)
Default Relay State: IdP-initiated authentication so that users can log in to Clockify straight from the Okta dashboard
Finalmente, sua tela no Clockify deve se parecer com isto:
e
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar Fazer login com SAML2. Opcionalmente, desative Fazer login com e-mail e senha.
4º Passo: Atribuir o aplicativo no Okta
Em Okta
Navegue até Aplicativos
Escolha Clockify
Na aba Atribuições clique em Atribuir
Escolha Atribuir a Pessoas/Grupos dependendo de quem em sua conta Okta você gostaria de permitir o acesso ao Clockify
E é isso! Agora você e os usuários do seu espaço de trabalho podem entrar nele com SAML2.
3º Passo: Adicione configuração de SSO ao Clockify
Clique em Adicionar configuração de SSO
Escolha SAML2 como tipo de autenticação
Selecione OneLogin como Modelo de IdP e preencha os seguintes campos
Público (ID da entidade): Clockify
URL de metadados: Vá para OneLogin > SSO e copie a URL do emissor e cole-a na URL de metadados no Clockify
URL de login: Copie/cole o ponto de extremidade SAML 2.0 (HTTP) da seção SSO no OneLogin
In Advanced section, enter:
Certificado: copie/cole o Certificado X.509 de Ver detalhes, SSO no OneLogin
4º Passo: Atribua o aplicativo no OneLogin
Em OneLogin:
Vá para Usuários (é aqui que você escolhe quais usuários da sua conta OneLogin poderão acessar o Clockify).
Clique em um usuário específico
Em Aplicativos, clique no sinal + para adicionar um aplicativo
Escolha Clockify
Clique em Continuar e Salvar
No Clockify, após inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar o Login com SAML 2.0. Opcionalmente, você pode desativar Fazer login com e-mail e senha.
E é isso! Agora você e os usuários do seu espaço de trabalho podem fazer login com o SAML 2.0.
Você prosseguirá para a tela de detalhes do provedor de identidade do Google do lado do Google:
Baixe o URL de metadados do IdP e carregue-o no campo Clockify/IdP Metadata URL
Copie URL do SSO e cole-o no campo URL de login no Clockify ao lado do Clockify:
Clique em Continuar do lado do Google:
Você prosseguirá para Detalhes do provedor de serviços
Insert the following: – ACS URL: Copy/paste Reply URL from Clockify, e.g. https://global.api.clockify.me/auth/saml2 – Entity ID: Unique identifier of your custom application, e.g. Clockify – Start URL: Copy/paste Default Relay State from Clockify, e.g.
Você prosseguirá para a tela Mapeamento de atributos
Clique em Concluir para concluir o processo
Depois de inserir todos os dados necessários, no lado do Clockify, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Now that you’ve completed all the steps and created the app, open the app’s settings and in Service status enable the app for everyone.
O aplicativo que você criou aparecerá no espaço de trabalho do Google para todos os usuários desse espaço de trabalho.
Dê um nome descritivo ao aplicativo, selecione a categoria e carregue um logotipo
Verifique o Single Sign-on (SAML)
Clique em Continuar
Confirme que você é o Administrador do aplicativo
Uma nova página com instruções de SSO será aberta e você poderá prosseguir para a próxima etapa. A página contém as Instruções de configuração de SSO, que incluem o arquivo XML de metadados do IdP.
Baixe os metadados do IdP do Rippling.
3º Passo: Adicione configuração de SSO ao Clockify
Na aba Autenticação na qual você criou seu subdomínio:
Clique em Adicionar configuração de SSO
Escolha SAML2 como tipo de autenticação e clique em Avançar
Escolha Rippling como modelo de IdP
No formulário de autenticação SAML2 que aparece, insira as seguintes informações:
Carregue o arquivo XML de metadados do IdP que você baixou na Etapa 2 ou
Copie/cole URL de metadados do IdP do Rippling
URL de login: copiar/colar URL de login único/URL de destino do Rippling
Após inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Dessa forma, você terá certeza da precisão das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para finalizar o processo e ativar Entrar com SAML2. Opcionalmente, desative Entrar com e-mail e senha.
4º Passo: Atribuir aplicativo no Rippling
Volte para Rippling.
On SSO Instructions page scroll down and enter the following:
URL do ACS: copie/cole o URL de resposta do Clockify
ID da entidade do provedor de serviços: copie/cole o ID da entidade do Clockify
Clique em Ir paraPróxima etapa
Escolha as Acessar regras que você deseja
Escolha o Tempo de Provisionamento que deseja
Configure o SSO para administradores, se necessário
Configure os atributos do grupo, se necessário
Clique em Conectar via Rippling se quiser verificar a conexão entre aplicativos ou simplesmente Continuar
E é isso! Você instalou com sucesso seu aplicativo na rippling e agora você e seus usuários podem fazer login em seu espaço de trabalho com SAML 2.0.
Na aba Autenticação na qual você criou seu subdomínio:
Clique em Adicionar configuração de SSO
Escolha SAML2 como tipo de autenticação e clique em Avançar
Escolha JumpCloud como modelo de IdP
3º Passo: Criar aplicativo no JumpCloud
Vá para SSO na barra lateral à esquerda
Clique em + para adicionar um novo aplicativo
Escolha aplicativo SAML personalizado
Em Informações do aplicativo insira o seguinte:
Display Label: Application name e.g. Clockify
Logo: por exemplo baixe o logotipo do Clockify
In SSO tab you can proceed with the next step. The page contains SSO Setup instructions which include the IdP Metadata XML file. Download IDP Metadata from JumpCloud and save it for later.
Em Mapeamento de atributo do usuário adicione mapeamento de atributos Nome do atributo do provedor de serviços ao Nome do atributo JumpCloud
Clique em Ativar
Abra o aplicativo que você criou
Click on IDP Certificate Valid on the left and download the certificate
Clique em Salvar
Você criou com sucesso seu aplicativo no JumpCloud. Agora você pode decidir quais usuários da sua conta JumpCloud poderão acessar o Clockify e finalizar a configuração no Clockify.
4º Passo: Concluir a configuração do SSO no Clockify
Navegue de volta para Clockify
In SAML2 authentication form enter the following information:
Metadata Url: Upload IdP Metadata XML file you downloaded in Step 3
IdP Url: Copy/paste IDP URL from JumpCloud
Advanced: Copy/paste IDP Certificate from JumpCloud
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar Fazer login com SAML2. Opcionalmente, desative Fazer login com e-mail e senha.
Once you move to subdomain, the default Google login will stop working and you’ll have to configure it manually to continue using it.
Setting up Google login is quick and easy.
You need to have a G Suite or Cloud Identity account in order to do this.
You need to Set up OAuth 2.0 in your Google account, create a project and get OAuth 2.0 client ID for a web application.
In Google Cloud Platform navigate to API & Services and choose Credentials. Open the project/application you’ve created and paste https://yourclockifysubdomain.clockify.me/login under the Authorized redirect URIs.
You should also add then following URIs in order for the OAuth login to work on Clockify mobile apps:
If you’re using one of the regional servers for hosting, please note that the URIs for workspaces that are on subdomain won’t contain the indicator of the region in question, although they are hosted on a regional server.
No Clockify, vá para a guia Autenticação
Clique em Adicionar configuração de SSO
Choose OAuth2 authentication type
Escolha Google no modal Modelos de IdP
Clique em Avançar
Copie/cole o ID do cliente e o Segredo do cliente do seu Google app, conforme mostrado no exemplo abaixo (campos na seção Avançado >seção será pré-preenchida)
A tela do Clockify deve se parecer com isto:
e
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Click Finish configuration to complete the process. Check theLog in with OAuth checkbox to start using Google login. Optionally, you can force everyone to use your company’s Google identity for logging in by disabling Log in with email and password.
2º Passo: Adicionar configurações de SSO no Clockify
Clique em Adicionar configuração de SSO
Escolha OAuth2 como tipo de autenticação
Escolha Azure no modal Modelos IdP
Copiar URL de redirecionamento
3º Passo: Registrar o aplicativo no AzureAD
Navegue até Registros de aplicativos
Clique em Novo registro
Digite as seguintes informações:
Informação:
Name: Clockify
Supported account types: Choose what you prefer; in our case it’s Accounts in this organizational directory only (Default Directory only – Single tenant)
URI de redirecionamento: cole o URL de redirecionamento que você copiou da Etapa 2; https://yourcompanysubdomain.clockify.me/login (também pode ser: https://yourcompanysubdomain.clockify.me/login/ios/oauth2 ou https://yourcompanysubdomain.clockify.me/login/android/oauth2) e clique em Registrar para continuar
Ou, se estiver usando um dos servidores regionais, você deve adicionar uma das URLs regionais.
4º Passo: Configurar (Clockify e Azure)
Configure AzureAD:
Certificados e Segredos:
Escolha Novo segredo do cliente
Descrição: Clockify
Expira: Nunca
Clique em Adicionar
Client Secret: Copy/paste the value of this client secret
Permissões de API:
Adicionar uma permissão
Microsoft Graph
Verifique o openid em Permissões delegadas
Adicionar permissões (você pode verificar outras permissões como e-mail e perfil)
Recarregue a página
Volte para a Visão geral
Configure Clockify:
Autenticação OAuth2:
Client Id: Go to Azure — Overview — Application (client) ID: copy the value and paste it back in Clockify
Client Secret: this should already be pasted from previous steps (Certificates & Secrets)
Directory (tenant) ID: Go to Azure — Overview — Directory (tenant) ID copy the value and paste it back in Clockify
Fields in the Advanced section will be pre-populated.
A tela do Clockify deve se parecer com isto:
e
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Click Finish configuration to complete the process. Check the Log in with OAuth checkbox (and optionally disable Log in with email and password).
New application (then make sure you’re on the new gallery view)
Escolha Criar seu próprio aplicativo
Digite os seguintes dados:
Name: Clockify
Integrar qualquer outro aplicativo que não encontre na galeria
Click Create and navigate to Properties and fill out the fields:
Logo: por exemplo carregar o logotipo do Clockify
Opcionalmente, altere a atribuição obrigatória do usuário e Visível para os usuários se necessário
Clique em Salvar para concluir o processo.
3º Passo: Clockify
Clique em Adicionar configuração de SSO
Escolha SAML2 como tipo de autenticação
Clique em Avançar
Once you get the SAML2 authentication template, go back to Azure.
4º Passo: Configurar Azure SSO
Navegue até Login único na barra lateral
Escolha SAML
Basic SAML Configuration (click the pencil to edit):
Identifier (Entity ID): This is where you put your subdomain address, e.g. https://yourcompanysubdomain.clockify.me/
URL de resposta (URL de serviço do consumidor de asserção): volte para Clockify e copie o URL de resposta pré-gerado, por exemplo. https://global.api.clockify.me/auth/saml2
Clique em Salvar e continue com Certificado SAML: (clique no lápis para editar):
Novo certificado
Salve as alterações e clique nos 3 pontos no certificado Inativo, escolha Tornar certificado ativo e clique em Sim.
Agora atualize a página para ver as alterações.
5º Passo: Clockify
Entity Id: (this is where you put your subdomain address, in our case it’s https://yourcompanysubdomain.clockify.me/)
Metadados da Federação: navegue até o Azure, em Certificados SAML copie/cole Url de metadados da federação do aplicativo no Clockify
URL de login: navegue até o Azure, em Configurar Clockify encontre URL de login e copie/cole-o no Clockify
Sua tela deverá ficar assim:
e assim:
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração e ative Fazer login com SAML2 (e opcionalmente desative Fazer login com e-mail e senha).
6º Passo: Atribuir o aplicativo no Azure
Navigate to Users and Groups in the sidebar (where you choose which users from your Azure account will be able to access Clockify)
Clique em Adicionar usuário/grupo
Em Usuários e grupos selecione os usuários que deseja
ou, se estiver usando um dos servidores regionais, você deve adicionar uma das URLs regionais.
Então, role para baixo e na seção Atribuições marque Permitir o acesso de todos os integrantes da sua organização. Clique em Salvar para concluir a ação.
Você deve ver uma tela assim:
3º Passo: Adicione configuração de SSO ao Clockify
Now, in Clockify, in Authentication screen where you created your subdomain:
Clique em Adicionar configuração SSO na parte inferior da tela
Escolha OAuth2 como tipo de autenticação
Escolha Okta como modelo de IdP
Clique em Avançar
No formulário de autenticação OAuth 2.0 (OIDC), insira as seguintes informações:
Client ID: Generated in Okta in the previous step; copy it from the Client Credentials section
Client Secret: Same as Client ID; copy it from the Client Credentials section
Domínio Okta: Copie-o do campo Okta, Configurações gerais, Domínio Okta (Observação: o domínio Okta requer apenas um nome de domínio, por exemplo: doamin_name.okta.com em vez de: https://domain_name.okta.com)
Logout Url: Optionally add a logout URL to set up redirection after logging out
A seção Avançado é pré-preenchida (gerada automaticamente)
A tela deve ser semelhante a esta:
e
4º Passo: Atribuir o aplicativo no Okta
Em Okta
Navegue até Aplicativos
Escolha Clockify
Na aba Atribuições clique em Atribuir
Escolha Atribuir a Pessoas/Grupos dependendo de quem em sua conta Okta você gostaria de permitir o acesso ao Clockify
Depois de inserir todos os dados necessários, no lado do Clockify, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar o Login com OAuth. Opcionalmente, você pode desativar Fazer login com e-mail e senha.
Finalmente, sua tela no Clockify deve se parecer com isto:
E é isso! Agora você e os usuários do seu espaço de trabalho podem fazer login no seu espaço de trabalho com o OAuth 2.0 (OIDC).
