O recurso de logon único (doravante SSO) fornece segurança em escala controlando o acesso e gerenciando credenciais de login ao usar o IdP da sua empresa por meio de SAML 2.0 e OAuth 2.0 (OIDC) (Office 365, Okta, Azure, Active Directory, Google, OneLogin…).
Este é uma ferramenta paga, que você pode ativar atualizando seu espaço de trabalho para o plano Enterprise.
Para usar o SSO, primeiro você precisa mover seu espaço de trabalho para o subdomínio. Depois de fazer isso, você pode definir as configurações de SSO e desabilitar outros métodos de login.
Antes de configurar e começar a usar o SSO para autorização, você precisa mover o domínio do aplicativo Clockify para um subdomínio personalizado.
Depois de atualizar o Clockify para o plano Enterprise, você obterá a guia Autenticação nas configurações do Espaço de trabalho. Lá você pode inserir o subdomínio que deseja usar e mover seu espaço de trabalho
Depois de criar seu subdomínio, você será automaticamente desconectado de qualquer aplicativo em que tenha feito login com sua conta Clockify. Você terá acesso ao aplicativosomente através do subdomínio que você criou (ex.: https://mycompany.clockify.me/login).
O subdomínio está vinculado a apenas um espaço de trabalho. Os usuários de um subdomínio não podem ter vários espaços de trabalho: não há alternador de espaço de trabalho, não há espaços de trabalho na barra lateral e o espaço de trabalho do subdomínio não pode ser acessado a partir do domínio principal.
Para acessar outros espaços de trabalho, entre no domínio principal do Clockify.
Por motivos de segurança, cada usuário em um subdomínio recebe uma chave de API separada que funciona apenas para esse espaço de trabalho, o que significa que ninguém pode acessar seus dados no subdomínio, a menos que tenha a devida autorização.
Se, por exemplo, houver um usuário com dois espaços de trabalho diferentes, ambos no plano Enterprise, os proprietários do espaço de trabalho não poderão ver ou acessar os dados da conta um do outro.
Assim que estiver em um subdomínio, você pode convidar usuários um por um usando e-mail (como antes) ou pode permitir que qualquer pessoa participe sem precisar convidá-los manualmente.
Para permitir que qualquer pessoa participe, marque a caixa Usuários podem ingressar sem um convite.
Se você usar o SSO e alguém sem uma conta fazer login, uma conta será criada automaticamente para essa pessoa e para que ela possa entrar.
Se você permitir Entrar com login com e-mail, as pessoas poderão criar uma conta e ingressar automaticamente no seu espaço de trabalho.
Se você quiser usar o SSO por meio de seus dispositivos móveis (Android ou iOS), todas as configurações de SSO suportadas pelo Clockify devem conter links [subdomíniodasuaempresa].clockify.me. Por exemplo, na seção URL de redirecionamento, adicione o link https://subdomíniodasuaempresa.clockify.me/login/android/oauth2 ou https://subdomíniodasuaempresa.clockify.me/login/ios/oauth2.
Clockify é compatível com todos os principais provedores de identidade SSO:
Somente o proprietário do espaço de trabalho pode visualizar a guia Autorização gerenciar o subdomínio, configurar e ativar/desativar o SSO.
Se você deseja forçar todos a fazer login com SSO, simplesmente desative a opção Entrar com e-mail. Depois que essa alteração for salva, todas as senhas conectadas às contas de seus integrantes não funcionarão e eles terão que usar o SSO
Os dados na configuração SSO sempre podem ser editados ou excluídos. Se excluídos, seus usuários terão que voltar a fazer login usando e-mail.
O proprietário sempre pode fazer login usando o e-mail original em https://mysubdomain.clockify.me/login-owner
Para adicionar o estado de retransmissão padrão, use os parâmetros abaixo.
Certifique-se de usar chaves e colocar aspas retas em vez de curvilíneas, ou não funcionará.
Exemplo de um estado de retransmissão pré definido:
No formato de Configurações gerais insira as seguintes informações e clique em Avançar:
Nome do aplicativo: ex.: Clockify
Logo: por exemplo baixe o logotipo do Clockify
Em Configurar SAML insira as seguintes informações:
URL de logon único (ou ACS) – URL específica para qual as asserções SAML do Okta devem ser enviadas (ex.: https://global.api.clockify.me/auth/saml2)
Audiência URI (ID da entidade no seu aplicativo): Identificador exclusivo do seu app personalizado; o mesmo que o ID da entidade no campo de autenticação SAML (ex.: https://yoursubdomainname.clockify.me)
Estado de Retransmissão Pré Definido: autenticação iniciada por IdP para que os usuários possam fazer login no Clockify diretamente do painel Okta
Finalmente, sua tela no Clockify deve se parecer com isto:
e
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar Fazer login com SAML2. Opcionalmente, desative Fazer login com e-mail e senha.
Vá para Usuários (é aqui que você escolhe quais usuários da sua conta OneLogin poderão acessar o Clockify).
Clique em um usuário específico
Em Aplicativos, clique no sinal + para adicionar um aplicativo
Escolha Clockify
Clique em Continuar e Salvar
No Clockify, após inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar o Login com SAML 2.0. Opcionalmente, você pode desativar Fazer login com e-mail e senha.
E é isso! Agora você e os usuários do seu espaço de trabalho podem fazer login com o SAML 2.0.
Crie uma conta do Google e vá para a página Administrador
Escolha Adicionar aplicativo SAML personalizado em Adicionar aplicativo
Insira o seguinte – Nome do aplicativo: por exemplo https://yourcompanysubdomain.clockify.me/ – Descrição: por exemplo Aplicativo de demonstração Clockify SAML2 – Ícone do aplicativo: opcionalmente adicione ícone
Clique em Continuar
Você prosseguirá para a tela de detalhes do provedor de identidade do Google do lado do Google:
Baixe o URL de metadados do IdP e carregue-o no campo Clockify/IdP Metadata URL
Copie URL do SSO e cole-o no campo URL de login no Clockify ao lado do Clockify:
Clique em Continuar do lado do Google:
Você prosseguirá para Detalhes do provedor de serviços
Insira o seguinte: – URL ACS: Copiar/colar URL de resposta do Clockify, por ex.: https://global.api.clockify.me/auth/saml2 – ID da entidade: identificador exclusivo do seu aplicativo personalizado, por exemplo. Clockifiy – URL inicial: copiar/colar Estado de Retransmissão Pré Definido do Clockify, por exemplo
Você prosseguirá para a tela Mapeamento de atributos
Clique em Concluir para concluir o processo
Depois de inserir todos os dados necessários, no lado do Clockify, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Agora que você concluiu todas as etapas e criou o aplicativo, abra as configurações do aplicativo e em Status do serviço habilite o aplicativo para todos.
O aplicativo que você criou aparecerá no espaço de trabalho do Google para todos os usuários desse espaço de trabalho.
Dê um nome descritivo ao aplicativo, selecione a categoria e carregue um logotipo
Verifique o Logon único (SAML)
Clique em Continuar
Confirme que você é o administrador do aplicativo
Uma nova página com instruções SSO é aberta e você pode prosseguir com a próxima etapa. A página contém instruções de configuração de SSO que incluem o arquivo IdP Metadata XML.
Faça o download dos metadados IDP da Rippling.
3º Passo: Adicione configuração de SSO ao Clockify #
Na aba Autenticação na qual você criou seu subdomínio:
Clique em Adicionar configuração de SSO
Escolha SAML2 como tipo de autenticação e clique em Avançar
Escolha Rippling como modelo de IdP
Em formulário de autenticação SAML2 que aparece digite as seguintes informações:
Carregue o arquivo XML de metadados do IdP que você baixou na Etapa 2 ou
Copie/cole URL de metadados do IdP do Rippling
URL de login: copiar/colar URL de login único/URL de destino do Rippling
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar Fazer login com SAML2. Opcionalmente, desative Fazer login com e-mail e senha.
Rótulo de exibição: Nome do aplicativo, por exemplo Clockify
Logo: por exemplo carregar o logotipo do Clockify
Na guia SSO, você pode prosseguir com a próxima etapa. A página contém instruções de configuração de SSO que incluem o arquivo IdP Metadata XML. Baixe os metadados IDP do JumpCloud e salve-os para mais tarde.
Em Mapeamento de atributo do usuário adicione mapeamento de atributos Nome do atributo do provedor de serviços ao Nome do atributo JumpCloud
Clique em Ativar
Abra o aplicativo que você criou
Clique em Certificado IDP Válido à esquerda e faça o download do certificado
Clique em Salvar
Você criou com sucesso seu aplicativo no JumpCloud. Agora você pode decidir quais usuários da sua conta JumpCloud poderão acessar o Clockify e finalizar a configuração no Clockify.
4º Passo: Concluir a configuração do SSO no Clockify #
Navegue de volta para Clockify
Em O formulário de autenticação SAML2 insira as seguintes informações:
URL de Metadadosfaça upload do arquivo IdP Metadata XML que você baixou no 3º passo
URL do IdP: copiar/colar o URL do IDP do JumpCloud
Avançado: copiar/colar o certificado IDP do JumpCloud
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar Fazer login com SAML2. Opcionalmente, desative Fazer login com e-mail e senha.
Depois de mudar para o subdomínio, o login padrão do Google deixará de funcionar e você precisará configurá-lo manualmente para continuar a usá-lo.
Configurar o login do Google é rápido e fácil.
Você deve ter uma conta G Suite ou Cloud Identity para fazer isso.
Você precisará Configurar o OAuth 2.0 m sua conta do Google, criar um projeto e obter o ID do cliente OAuth 2.0 para um aplicativo da web.
No Google Cloud Platform navegue até API e serviços e escolha Credenciais. Abra o projeto/aplicativo que você criou e cole https://yoursubdomain.clockify.me/login em URIs de redirecionamento autorizados.
Você também deve adicionar os seguintes URIs para que o login OAuth funcione nos aplicativos móveis Clockify:
Se você estiver usando um dos servidores regionais para hospedagem, observe que as URLs dos espaços de trabalho que estão no subdomínio não conterão o indicador da região em questão, embora estejam hospedados em um servidor regional.
No Clockify, vá para a guia Autenticação
Clique em Configuração de SSO do anúncio
Escolha o tipo de autenticação OAuth2
Escolha Google no modal Modelos de IdP
Clique em Avançar
Copie/cole o ID do cliente e o Segredo do cliente do seu Google app, conforme mostrado no exemplo abaixo (campos na seção Avançado >seção será pré-preenchida)
A tela do Clockify deve se parecer com isto:
e
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo. Marque a caixa de seleção Fazer login com OAuth para começar a usar o login do Google. Opcionalmente, você pode forçar todos a usarem a identidade Google da sua empresa para fazer login, desativando Fazer login com e-mail e senha.
Tipos de conta com suporte- Selecione o que você prefere; no nosso caso, são Contas apenas neste diretório da organização (Somente Diretório Padrão - locatário)
URI de redirecionamento: cole o URL de redirecionamento que você copiou da Etapa 2; https://yourcompanysubdomain.clockify.me/login (também pode ser: https://yourcompanysubdomain.clockify.me/login/ios/oauth2 ou https://yourcompanysubdomain.clockify.me/login/android/oauth2) e clique em Registrar para continuar
Ou, se estiver usando um dos servidores regionais, você deve adicionar uma das URLs regionais.
ID do cliente: Vá para Azure – Resumo – ID do aplicativo (cliente): copie o valor e cole-o no Clockify
Segredo do cliente: já deve estar colado dos passos anteriores (Certificados e Segredos)
ID do diretório (locatário): Vá para Azure -- Resumo -- ID do diretório -- Copie o valor e cole-o novamente no Clockify
Os campos na seção Avançado serão preenchidos previamente.
A tela do Clockify deve se parecer com isto:
e
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para terminar o processo. Marque a caixa Entrar com OAuth (e opcionalmente, desmarque Entrar com e-mail e senha).
Configuração básica do SAML (clique no lápis para editar):
Identificador (ID da entidade): Aqui é onde você coloca o endereço do seu subdomínio, ex.: https://subdomainofyourcompany.clockify.me/
URL de resposta (URL de serviço do consumidor de asserção): volte para Clockify e copie o URL de resposta pré-gerado, por exemplo. https://global.api.clockify.me/auth/saml2
Clique em Salvar e continue com Certificado SAML: (clique no lápis para editar):
Novo certificado
Salve as alterações e clique nos 3 pontos no certificado Inativo, escolha Tornar certificado ativo e clique em Sim.
ID da entidade: (é aqui que você coloca o endereço do seu subdomínio, no nosso caso é https://subdomainofyourcompany.clockify.me/)
Metadados da Federação: navegue até o Azure, em Certificados SAML copie/cole Url de metadados da federação do aplicativo no Clockify
URL de login: navegue até o Azure, em Configurar Clockify encontre URL de login e copie/cole-o no Clockify
Sua tela deverá ficar assim:
e assim:
Depois de inserir todos os dados necessários, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração e ative Fazer login com SAML2 (e opcionalmente desative Fazer login com e-mail e senha).
ou, se estiver usando um dos servidores regionais, você deve adicionar uma das URLs regionais.
Então, role para baixo e na seção Atribuições marque Permitir o acesso de todos os integrantes da sua organização. Clique em Salvar para concluir a ação.
Você deve ver uma tela assim:
3º Passo: Adicione configuração de SSO ao Clockify #
Agora, no Clockify, na tela Autenticação onde você criou seu subdomínio:
Clique em Adicionar configuração SSO na parte inferior da tela
Escolha OAuth2 como tipo de autenticação
Escolha Okta como modelo de IdP
Clique em Avançar
No formulário de autenticação OAuth 2.0 (OIDC), insira as seguintes informações:
ID do Cliente: Gerado no Okta na etapa anterior; copie-o da seção de Credenciais do cliente .
Segredo do cliente: Igual ao ID do cliente; copie-o da seção de Credenciais do cliente .
Domínio Okta: copie-o do campo Okta, Configurações gerais, Domínio Okta (Observação: o domínio Okta requer apenas um nome de domínio, por exemplo: doamin_name.okta.com em vez de: https://domain_name.okta.com)
A seção Avançado é pré-preenchida (gerada automaticamente)
Escolha Atribuir a Pessoas/Grupos dependendo de quem em sua conta Okta você gostaria de permitir o acesso ao Clockify
Depois de inserir todos os dados necessários, no lado do Clockify, você pode optar por verificar sua configuração clicando no botão Testar configuração. Esta ação garante a veracidade das informações fornecidas. Se tudo estiver correto, o botão Testar configuração será substituído pelo botão Concluir configuração.
Clique em Concluir configuração para concluir o processo e ativar o Login com OAuth. Opcionalmente, você pode desativar Fazer login com e-mail e senha.
Finalmente, sua tela no Clockify deve se parecer com isto:
E é isso! Agora você e os usuários do seu espaço de trabalho podem fazer login no seu espaço de trabalho com o OAuth 2.0 (OIDC).