Logon único (SSO)
A ferramenta de logon único (doravante SSO) fornece segurança em escala controlando o acesso e gerenciando credenciais de login ao usar o IdP da sua empresa por meio de SAML 2.0 e OAuth 2.0 (OIDC) (Office 365, Okta, Azure, Active Directory, Google, OneLogin…).
Este é uma ferramenta paga, que você pode ativar atualizando seu espaço de trabalho para o plano Enterprise.
Para usar o SSO, primeiro você precisa mover seu espaço de trabalho para o subdomínio. Depois de fazer isso, você pode definir as configurações de SSO e desabilitar outros métodos de login.
Configurando um domínio personalizado #
Movendo para um subdomínio #
Antes de configurar e começar a usar o SSO para autorização, você precisa mover o domínio do aplicativo Clockify para um subdomínio personalizado.
Depois de atualizar o Clockify para o plano Enterprise, você obterá a guia Autenticação nas configurações do Espaço de trabalho. Lá você pode inserir o subdomínio que deseja usar e mover seu espaço de trabalho
Para configurar um subdomínio:
- Navegue até a aba Autenticação em Configurações do espaço de trabalho
- Digite seu subdomínio personalizado no campo fornecido
- Clique em Criar subdomínio e Criar para confirmar a ação
Depois de criar seu subdomínio e mover seu espaço de trabalho, o login do Google não funcionará mais para você e seus usuários.
No entanto, se você quiser usar o login do Google, precisará configurá-lo manualmente configurando o OAuth 2.0 (OIDC) para SSO.
Para obter mais informações, confira a seção OAuth 2.0 (OIDC) com Google abaixo.
Acessando Clockify de um subdomínio #
Depois de criar seu subdomínio, você será automaticamente desconectado de qualquer aplicativo em que tenha feito login com sua conta Clockify. Você terá acesso ao aplicativosomente através do subdomínio que você criou (ex.: https://mycompany.clockify.me/login).
Espaços de trabalho no subdomínio #
O subdomínio está vinculado a apenas um espaço de trabalho. Os usuários de um subdomínio não podem ter vários espaços de trabalho: não há alternador de espaço de trabalho, não há espaços de trabalho na barra lateral e o espaço de trabalho do subdomínio não pode ser acessado a partir do domínio principal.
Para acessar outros espaços de trabalho, entre no domínio principal do Clockify.
Alterando o subdomínio #
Você pode alterar o URL do subdomínio a qualquer momento.
Depois de alterar sua URL, seus usuários serão desconectados e terão que usar o espaço de trabalho através da nova URL.
Se você cancelar a assinatura do plano Enterprise:
- você será movido para o domínio principal quando a assinatura expirar
- seu subdomínio estará disponível para outros usarem
- seus usuários terão que fazer login com seus e-mails
Chaves de API no subdomínio #
Por motivos de segurança, cada usuário em um subdomínio recebe uma chave de API separada que funciona apenas para esse espaço de trabalho, o que significa que ninguém pode acessar seus dados no subdomínio, a menos que tenha a devida autorização.
Se, por exemplo, houver um usuário com dois espaços de trabalho diferentes, ambos no plano Enterprise, os proprietários do espaço de trabalho não poderão ver ou acessar os dados da conta um do outro.
Convidar novos usuários #
Assim que estiver em um subdomínio, você pode convidar usuários um por um usando e-mail (como antes) ou pode permitir que qualquer pessoa participe sem precisar convidá-los manualmente.
Para permitir que qualquer pessoa participe, marque a caixa Usuários podem ingressar sem um convite.
Se você usar o SSO e alguém sem uma conta fazer login, uma conta será criada automaticamente para essa pessoa e para que ela possa entrar.
Se você permitir Entrar com login com e-mail, as pessoas poderão criar uma conta e ingressar automaticamente no seu espaço de trabalho.
Configurando SSO #
Se você quiser usar o SSO por meio de seus dispositivos móveis (Android ou iOS), todas as configurações de SSO suportadas pelo Clockify devem conter links [subdomíniodasuaempresa].clockify.me. Por exemplo, na seção URL de redirecionamento, adicione o link https://subdomíniodasuaempresa.clockify.me/login/android/oauth2 ou https://subdomíniodasuaempresa.clockify.me/login/ios/oauth2.
Clockify é compatível com todos os principais provedores de identidade SSO:
- SAML 2.0 (Google, OneLogin, Okta, Azure, Rippling, JumpCloud)
- OAuth 2.0 (OIDC) (Google, Azure, Okta)
Somente o proprietário do espaço de trabalho pode visualizar a guia Autorização gerenciar o subdomínio, configurar e ativar/desativar o SSO.
Se você deseja forçar todos a fazer login com SSO, simplesmente desative a opção Entrar com e-mail. Depois que essa alteração for salva, todas as senhas conectadas às contas de seus integrantes não funcionarão e eles terão que usar o SSO
Os dados na configuração SSO sempre podem ser editados ou excluídos. Se excluídos, seus usuários terão que voltar a fazer login usando e-mail.
O proprietário sempre pode fazer login usando o e-mail original em https://mysubdomain.clockify.me/login-owner
Para adicionar o estado de retransmissão padrão, use os parâmetros abaixo.
Certifique-se de usar chaves e colocar aspas retas em vez de curvilíneas, ou não funcionará.
Exemplo de um estado de retransmissão pré definido:
{"location":"https://yourcompanysubdomain.clockify.me", "organizationName":"yourcompanysubdomain"}1º Passo: Crie um subdomínio no Clockify #
Para obter mais informações sobre isso, confira a seção Configurando subdomínio personalizado .
2º Passo: Crie o aplicativo no Okta #
- Vá para Aplicativos na barra lateral
- Clique no botão Criar integração do aplicativo
- Escolha SAML 2.0 no modal
- Clique em Avançar
Criar integração SAML 2.0 #
No formato de Configurações gerais insira as seguintes informações e clique em Avançar:
- Nome do aplicativo: ex.: Clockify
- Logo: por exemplo baixe o logotipo do Clockify
Em Configurar SAML insira as seguintes informações:
- URL de logon único (ou ACS) – URL específica para qual as asserções SAML do Okta devem ser enviadas (ex.: https://global.api.clockify.me/auth/saml2)
- Audiência URI (ID da entidade no seu aplicativo): Identificador exclusivo do seu app personalizado; o mesmo que o ID da entidade no campo de autenticação SAML (ex.: https://yoursubdomainname.clockify.me)
- Estado de Retransmissão Pré Definido: autenticação iniciada por IdP para que os usuários possam fazer login no Clockify diretamente do painel Okta
Exemplo de Estado de Retransmissão Pré Definido:
{"location":"https://yourcompanysubdomain.clockify.me", "organizationName":"yourcompanysubdomain"}Certifique-se de colocar aspas retas em vez de curvilíneas, ou não funcionará.
Deixe tudo como está e clique em Avançar.
Em Feedback, marque Sou um cliente da Okta e estou adicionando um aplicativo interno e clique em Concluir.
Você deve ver uma tela assim:
Como etapa final nesta seção, clique no botão Exibir instruções de configuração exibido na captura de tela acima.
Em Como configurar SAML 2.0 para o aplicativo Clockify, você obterá uma lista de dados necessários para configurar seu aplicativo Clockify.
3º Passo: Adicione configuração de SSO ao Clockify #
Agora, no Clockify, na tela Autenticação:
- Clique em Adicionar configuração SSO na parte inferior da tela
- Escolha SAML2 como tipo de autenticação
- Escolha Okta como modelo de IdP
O formulário de autenticação SAML2 é exibido:
Digite os seguintes dados:
- ID da entidade (URI de audiência no Okta): ex.: https://yourcompanysubdomain.clockify.me
- URL de Metadados:
- Voltar para Okta
- Copie o link metadados do provedor de identidade da seção Configurações no Okta
- Salvar como um arquivo .xml e carregue-o no Clockify
- URL de SSO SAML: copie/cole o URL de logon único do provedor de identidade do artigo Como configurar o SAML 2.0 para o aplicativo Clockify do Okta.
Por exemplo:
https://okta.ops.clockify.me/app/dev05335506_clockifytempsaml2_1/exk4erumfseHaalgs5d7/sso/saml- Avançado: Copie/cole o Certificado X.509 do Okta
Finalmente, sua tela no Clockify deve se parecer com isto:
e
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar Fazer login com SAML2. Opcionalmente, desative Fazer login com e-mail e senha.
4º Passo: Atribuir o aplicativo no Okta #
Em Okta
- Navegue até Aplicativos
- Escolha Clockify
- Na aba Atribuições clique em Atribuir
- Escolha Atribuir a Pessoas/Grupos dependendo de quem em sua conta Okta você gostaria de permitir o acesso ao Clockify
E é isso! Agora você e os usuários do seu espaço de trabalho podem entrar nele com SAML2.
SAML 2.0 com Google #
1º Passo: Crie um subdomínio no Clockify
Para mais informações, confira a seção Configurando subdomínio personalizado.
Clockify:
- Navegue até a guia Autenticação
- Escolha Adicionar configuração de SSO
- Escolha SAML2 como provedor de identidade na janela Tipo de autenticação
- Clique em Avançar
- Escolha Google como modelo de IdP
2º Passo: criar aplicativo no Google #
Google:
- Crie uma conta do Google e vá para a página Administrador
- Escolha Adicionar aplicativo SAML personalizado em Adicionar aplicativo
- Insira o seguinte
– Nome do aplicativo: por exemplo https://yourcompanysubdomain.clockify.me/
– Descrição: por exemplo Aplicativo de demonstração Clockify SAML2
– Ícone do aplicativo: opcionalmente adicione ícone - Clique em Continuar
- You’ll proceed to the Google Identity Provider details screen
Google side: - Baixe o URL de metadados do IdP e carregue-o no campo Clockify/IdP Metadata URL
- Copie URL do SSO e cole-o no campo URL de login no Clockify
ao lado do Clockify:
- Clique em Continuar
do lado do Google: - You’ll proceed to Service provider details
- Insira o seguinte:
– URL ACS: Copiar/colar URL de resposta do Clockify, por ex.: https://global.api.clockify.me/auth/saml2
– ID da entidade: identificador exclusivo do seu aplicativo personalizado, por exemplo. Clockifiy
– URL inicial: copiar/colar Estado de Retransmissão Pré Definido do Clockify, por exemplo
{“location”:”https://yourcompanysubdomain.clockify.me”,”organizationName”:”yourcompanysubdomain”, “appName”: “WEB”}
- Clique em Continuar
- You’ll proceed to the Attribute mapping screen
- Clique em Concluir para concluir o processo
Depois de inserir todos os dados necessários, no lado do Clockify, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Now that you’ve completed all the steps and created the app, open the app’s settings and in Status do serviço habilite o aplicativo para todos.
O aplicativo que você criou aparecerá no espaço de trabalho do Google para todos os usuários desse espaço de trabalho.
mostra menosSAML 2.0 com o Rippling #
mostrar maisOAuth 2.0 (OIDC) com o Google #
mostrar maisDepois de mudar para o subdomínio, o login padrão do Google deixará de funcionar e você precisará configurá-lo manualmente para continuar a usá-lo.
Configurar o login do Google é rápido e fácil.
Você deve ter uma conta G Suite ou Cloud Identity para fazer isso.
Você precisará Configurar o OAuth 2.0 m sua conta do Google, criar um projeto e obter o ID do cliente OAuth 2.0 para um aplicativo da web.
In Google Cloud Platform navigate to API & Services and choose Credentials. Open the project/application you’ve created and paste https://yoursubdomain.clockify.me/login under the Authorized redirect URIs.
Você também deve adicionar os seguintes URIs para que o login OAuth funcione nos aplicativos móveis Clockify:
- https://yourcompanysubdomain.clockify.me/login
- https://yourcompanysubdomain.clockify.me/login/android/oauth2
- https://yourcompanysubdomain.clockify.me/login/ios/oauth2
If you’re using one of the servidores regionais para hospedagem, observe que as URLs dos espaços de trabalho que estão no subdomínio não conterão o indicador da região em questão, embora estejam hospedados em um servidor regional.
- No Clockify, vá para a guia Autenticação
- Clique em Configuração de SSO do anúncio
- Escolha o tipo de autenticação OAuth2
- Escolha Google no modal Modelos de IdP
- Clique em Avançar
- Copie/cole o ID do cliente e o Segredo do cliente do seu Google app, conforme mostrado no exemplo abaixo (campos na seção Avançado >seção será pré-preenchida)
A tela do Clockify deve se parecer com isto:
e
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo. Marque a caixa de seleção Fazer login com OAuth para começar a usar o login do Google. Opcionalmente, você pode forçar todos a usarem a identidade Google da sua empresa para fazer login, desativando Fazer login com e-mail e senha.
mostra menosVocê pode conectar o Azure ao Clockify configurando o OAuth.
1º Passo: Crie um subdomínio no Clockify #
Para obter mais informações sobre isso, confira a seção Configurando subdomínio personalizado .
2º Passo: Adicionar configurações de SSO no Clockify #
- Clique em Adicionar configuração de SSO
- Escolha OAuth2 como tipo de autenticação
- Escolha Azure no modal Modelos IdP
- Copiar URL de redirecionamento
3º Passo: Registrar o aplicativo no AzureAD #
- Navegue até Registros de aplicativos
- Clique em Novo registro
- Digite as seguintes informações:
- Informação:
- Nome: Clockify
- Tipos de conta com suporte- Selecione o que você prefere; no nosso caso, são Contas apenas neste diretório da organização (Somente Diretório Padrão - locatário)
- URI de redirecionamento: cole o URL de redirecionamento que você copiou da Etapa 2; https://yourcompanysubdomain.clockify.me/login (também pode ser: https://yourcompanysubdomain.clockify.me/login/ios/oauth2 ou https://yourcompanysubdomain.clockify.me/login/android/oauth2) e clique em Registrar para continuar
- Informação:
Ou, se estiver usando um dos servidores regionais, você deve adicionar uma das URLs regionais.
4º Passo: Configurar (Clockify e Azure) #
Configure AzureAD: #
- Certificados e Segredos:
- Escolha Novo segredo do cliente
- Descrição: Clockify
- Expira: Nunca
- Clique em Adicionar
- Escolha Novo segredo do cliente
- Segredo do cliente: Copie/cole o valor do segredo deste cliente
- Permissões de API:
- Adicionar uma permissão
- Microsoft Graph
- Verifique o openid em Permissões delegadas
- Adicionar permissões (você pode verificar outras permissões como e-mail e perfil)
- Adicionar uma permissão
- Recarregue a página
- Volte para a Visão geral
Configure Clockify: #
- Autenticação OAuth2:
- ID do cliente: Vá para Azure – Resumo – ID do aplicativo (cliente): copie o valor e cole-o no Clockify
- Segredo do cliente: já deve estar colado dos passos anteriores (Certificados e Segredos)
- ID do diretório (locatário): Vá para Azure -- Resumo -- ID do diretório -- Copie o valor e cole-o novamente no Clockify
Os campos na seção Avançado serão preenchidos previamente.
A tela do Clockify deve se parecer com isto:
e
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para terminar o processo. Marque a caixa Entrar com OAuth (e opcionalmente, desmarque Entrar com e-mail e senha).
Como alternativa, você pode se conectar ao Azure usando o protocolo de autenticação SAML2, primeiro adicionando um aplicativo não listado (não-galeria) à sua organização do Azure AD e em seguida configurando o logon único baseado em SAML para esse aplicativo não-galeria.
mostra menos1º Passo: Crie um subdomínio no Clockify #
Para obter mais informações sobre isso, confira a seção Configurando subdomínio personalizado .
2º Passo: Adicionar um aplicativo no Azur #
- Navegue até Aplicativos Corporativos
- Novo aplicativo (certifique-se de estar na nova visualização da galeria)
- Escolha Criar seu próprio aplicativo
- Digite os seguintes dados:
- Nome: Clockify
- Integrar qualquer outro aplicativo que não encontre na galeria
Clique em Criar e navegue até Propriedades e preencha os campos:
- Logo: por exemplo carregar o logotipo do Clockify
- Opcionalmente, altere a atribuição obrigatória do usuário e Visível para os usuários se necessário
Clique em Salvar para concluir o processo.
3º Passo: Clockify #
- Clique em Adicionar configuração de SSO
- Escolha SAML2 como tipo de autenticação
- Clique em Avançar
Depois de obter o modelo de O formulário de autenticação SAML2 volte para o Azure.
4º Passo: Configurar Azure SSO #
- Vá para Logon único na barra lateral
- Escolha SAML
- Configuração básica do SAML (clique no lápis para editar):
- Identificador (ID da entidade): Aqui é onde você coloca o endereço do seu subdomínio, ex.: https://subdomainofyourcompany.clockify.me/
- URL de resposta (URL de serviço do consumidor de asserção): volte para Clockify e copie o URL de resposta pré-gerado, por exemplo. https://global.api.clockify.me/auth/saml2
Clique em Salvar e continue com Certificado SAML: (clique no lápis para editar):
- Novo certificado
Salve as alterações e clique nos 3 pontos no certificado Inativo, escolha Tornar certificado ativo e clique em Sim.
Agora atualize a página para ver as alterações.
5º Passo: Clockify #
- ID da entidade: (é aqui que você coloca o endereço do seu subdomínio, no nosso caso é https://subdomainofyourcompany.clockify.me/)
- Metadados da Federação: navegue até o Azure, em Certificados SAML copie/cole Url de metadados da federação do aplicativo no Clockify
URL de login: navegue até o Azure, em Configurar Clockify encontre URL de login e copie/cole-o no Clockify
Sua tela deverá ficar assim:
e assim:
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração e ative Fazer login com SAML2 (e opcionalmente desative Fazer login com e-mail e senha).
6º Passo: Atribuir o aplicativo no Azure #
- Vá para Usuários e grupos na barra lateral (onde você pode escolher quais usuários da sua conta do Azure poderão acessar o Clockify)
- Clique em Adicionar usuário/grupo
- Em Usuários e grupos selecione os usuários que deseja
- Clique em Selecionar e Atribuir
1º Passo: Crie um subdomínio no Clockify #
Para obter mais informações sobre isso, confira a seção Configurando subdomínio personalizado .
2º Passo: Crie o aplicativo no Okta #
- Navegue até Aplicativos na barra lateral
- Clique no botão Criar integração do aplicativo
- Selecione OIDC – OpenID Connect na na seção Método de login
- Selecione Aplicativo da Web na seção Tipo de aplicativo
- Clique em Avançar
Crie a integração OIDC #
No formulário Nova integração de aplicativos da Web, Configurações gerais, insira as seguintes informações e clique em Salvar.
- Nome da integração do aplicativo ex.: Clockify
- Logo: por exemplo carregar o logotipo do Clockify
- URIs de redirecionamento de login: Copie/cole o URL do URL de redirecionamento seção (Avançado) nas configurações de SSO do Clockify
Você também deve adicionar os seguintes URIs para que o login do OAuth 2.0 (OIDC) funcione em aplicativos móveis Clockify:
- https://yourcompanysubdomain.clockify.me/login/android/oauth2
- https://yourcompanysubdomain.clockify.me/login/ios/oauth2
ou, se estiver usando um dos servidores regionais, você deve adicionar uma das URLs regionais.
Então, role para baixo e na seção Atribuições marque Permitir o acesso de todos os integrantes da sua organização. Clique em Salvar para concluir a ação.
Você deve ver uma tela assim:
3º Passo: Adicione configuração de SSO ao Clockify #
Agora, no Clockify, na tela Autenticação onde você criou seu subdomínio:
- Clique em Adicionar configuração SSO na parte inferior da tela
- Escolha OAuth2 como tipo de autenticação
- Escolha Okta como modelo de IdP
- Clique em Avançar
No formulário de autenticação OAuth 2.0 (OIDC), insira as seguintes informações:
- ID do Cliente: Gerado no Okta na etapa anterior; copie-o da seção de Credenciais do cliente .
- Segredo do cliente: Igual ao ID do cliente; copie-o da seção de Credenciais do cliente .
- Domínio Okta: copie-o do campo Okta, Configurações gerais, Domínio Okta (Observação: o domínio Okta requer apenas um nome de domínio, por exemplo: doamin_name.okta.com em vez de: https://domain_name.okta.com)
- Logout Url: Optionally add a logout URL to set up redirection after logging out
- A seção Avançado é pré-preenchida (gerada automaticamente)
A tela deve ser semelhante a esta:
e
4º Passo: Atribuir o aplicativo no Okta #
Em Okta
- Navegue até Aplicativos
- Escolha Clockify
- Na aba Atribuições clique em Atribuir
- Escolha Atribuir a Pessoas/Grupos dependendo de quem em sua conta Okta você gostaria de permitir o acesso ao Clockify
Depois de inserir todos os dados necessários, no lado do Clockify, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar o Login com OAuth. Opcionalmente, você pode desativar Fazer login com e-mail e senha.
Finalmente, sua tela no Clockify deve se parecer com isto:
E é isso! Agora você e os usuários do seu espaço de trabalho podem fazer login no seu espaço de trabalho com o OAuth 2.0 (OIDC).
