通过使用你公司的IDP通过SAML和oAuth (Office 365, Okta, Azure, Active Directory,谷歌,OneLogin…)来消除用户密码,控制访问和管理登录凭证,从而实现大规模的安全性管理。

单点登录是一个额外的功能,您可以启用升级您的工作空间到企业计划。

:为了使用SSO,您首先需要将工作区移动到子域。之后,您可以添加SSO配置并禁用其他形式的登录。

自托管:如果您是自托管时,请在您的SSO设置www.yabo.11vip管理面板(可在所有工作空间使用)。

设置自定义域

搬到子域名

在配置并开始使用SSO进行授权之前,需要将Clockify移动到自定义子域。www.yabo.11vip

一旦您升级Clockify,您将在www.yabo.11vip工作区设置中获得授权选项卡。在那里您可以输入您想要使用的子域,并将您的工作区移到那里。

转到子域时,Google登录将不再为您和您的用户工作。要使用Google登录,您必须通过配置SSO> OAuth2手动设置它。如果您的用户无法登录,则可以通过请求从“忘记密码”链接的密码重置来设置密码。

sso身份验证和

从子域访问Clockwww.yabo.11vipify

创建子域后,您和您的用户必须通过子域(https://mycompany.www.bmwmclr.com/login)来访问Clockify。www.yabo.11vip

如果你正在使用其中的一个应用程序(移动,桌面,扩展),你将不得不登录你的自定义域(一旦工作空间被移动,你将自动登出)。

子域内的工作空间

子域只绑定到一个工作区。

子域上的用户不能有多个工作区:他们没有工作区切换器,侧边栏中没有工作区,并且不能从主域访问子域工作区。

如果您有其他工作区,则必须登录主Clockify域才能访问它们。www.yabo.11vip

改变子域名

您可以随时更改子域URL。要小心,因为一旦更改URL,每个人都将被注销,并且必须通过新的URL使用工作区。

如果你取消了付费订阅,一旦订阅到期:你将被移回主域,你的子域将被其他人使用,你的用户将使用他们的电子邮件和密码登录。

API键是如何工作的子域名工作区

出于安全原因,子域上的每个用户都获得一个单独的API密钥,该密钥只对该工作区有效——这意味着,没有人能够访问子域上的数据,除非他们有正确的授权。

例如,如果您有一个用户在两个独立的Enterprise工作空间上,那么两个工作空间的所有者都不能从其他帐户看到或获取数据。

应用程序支持

时间跟踪应用程序 支持:单点登录/子域/自托管
网页浏览器 ✔️
安卓 ✔️
agent yabovip168 ✔️
麦斯科斯桌面 ✔️
Windows桌面 ✔️
Windows屏幕截图录制应用程序 ✔️
Linux桌面
Chrome浏览器扩展名 ✔️
Firefox浏览器扩展名 ✔️

邀请新用户

一旦您在子域内,您可以使用电子邮件(如之前)逐个邀请用户邀请用户,或者您可以让任何人加入,而无需手动邀请它们。

要让任何人加入,勾选“用户无需邀请即可加入”复选框。

如果您使用SSO,而没有帐户的人登录,将自动为他们创建帐户,他们将登录。

如果你允许“登录电子邮件和密码”,人们将能够创建一个帐户,并自动加入你的工作空间。

SSO配置

www.yabo.11vipClockify支持所有主要的SSO身份提供者:

  • Saml2(Onelogin,Okta,Lastpass,Bitium,Azure)
  • OAuth2(谷歌、Azure、Facebook、Github等)
  • LDAP (Active Directory)

只有工作区所有者可以看到授权选项卡,管理子域,配置SSO,然后打开/关闭SSO。

如果你想强制所有人使用SSO登录,取消勾选“用电子邮件和密码登录”。一旦保存了此更改,与您的成员帐户关联的任何密码将不再有效,他们将被要求使用SSO。

如果尚未正确配置它,您可以始终编辑信息或删除配置(在这种情况下,人们必须使用电子邮件和密码登录)。

如果您作为所有者被锁定在您的帐户中,您可以随时使用您的原始电子邮件和密码以https://mysubdomain.www.bmwmclr.com/login-ownerwww.yabo.11vip

要添加Default Relay State,请使用以下参数(请确保使用花括号,并使用直引号而不是花括号,否则无法工作):

{“位置”:“https://yourcompanysubdomain.clockiwww.yabo.11vipfy。我”、“organizationName ": " yourcompanysubdomain "}
如何与Okta建立SAML2

步骤1:Clocwww.yabo.11vipkify

  • 创建一个子域

第2步:OKTA

  • Go to Applications -> Add application ->创建新应用程序:
    • 一般设置::平台:Web -> SAML2.0 ->应用名称:Clockify;www.yabo.11vip标志:https://clowww.yabo.11vipckify.me/assets/images/brand-assets/clockify-mark-blue.png
    • 配置SAML::单点登录URL: https://global.api.www.bmwmclr.com/auth/samlwww.yabo.11vip2;受众URI (SP实体ID): https://yoursubdomain.www.bmwmclr.com/awww.yabo.11vippi/auth/saml2
    • 注意:如果您需要IDP启动的身份验证,因此用户可以从OKTA仪表板登录Clockify,添加到默认中继状态(请务必将直引号而不是卷曲的状态,或者它不www.yabo.11vip起作用):
      {“位置”:“https://yourcompanysubdomain.clockiwww.yabo.11vipfy。我”、“organizationName ": " yourcompanysubdomain "}
    • 反馈::检查“我是一个奥克萨客户”
  • 转到应用程序 - > Clodify - www.yabo.11vip>登录 - >查看设置说明

第3步:聊天www.yabo.11vip

  • 单击“添加单点登录配置”—> SAML2,填写如下字段:
    • 实体的Id: https://yoursubdomain.clocwww.yabo.11vipkify.me
    • 元数据Url:进入Okta中的“View Setup Instructions”,创建一个纯文本文件(以记事本为例),名为“meta.xml”文件,从“提供以下IDP元数据到您的SP提供商”部分复制/粘贴文本,并在“upload XML file”中上传该文件
    • 登录Url:复制/粘贴“身份提供者单点登录Url”从Okta的“视图设置说明”
    • 高级->证书:复制/粘贴“X.509证书”从Okta的“视图设置说明”
  • 点击“完成配置”
  • 启用“使用saml2登录”(以及用电子邮件和密码登录“登录”)

步骤4:Okta

  • 去应用-> Clockify ->分配->分www.yabo.11vip配给人/组(在那里你选择谁从你的Okta帐户将能够访问Clockify)。
如何设置SAML2与OneLogin

步骤1:Clocwww.yabo.11vipkify

  • 创建一个子域

步骤2:OneLogin

  • 进入应用程序>添加应用程序>搜索SAML
    • 选择SAML测试连接器(高级)
  • 信息:
    • 显示名称>贴时www.yabo.11vip
    • Logo:上传广场图标//www.bmwmclr.com/aswww.yabo.11vipsets/images/brand-assets/clockify-mark-blue.png
  • 保存
  • 配置:
    • 观众:https://yourcompanysubdomain.clockifwww.yabo.11vipy.me/api/auth/saml2.
    • 收件人:https://global.api.clockifwww.yabo.11vipy.me/auth/saml2
    • ACS (Consumer) URL验证器*:^https:\/\/global.api.clockifywww.yabo.11vip\.me\/auth\/saml2\/$
    • ACS(消费者)URL *:https://global.api.clockifwww.yabo.11vipy.me/auth/saml2
    • 登录网址:https://yourcompanysubdomain.clockiwww.yabo.11vipfy.me/
    • SAML启动器:服务提供者
  • 克写>拯救

第3步:聊天www.yabo.11vip

  • 单击“添加单点登录配置”—> SAML2,填写如下字段:
    • 实体的Id: https://yourcompanysubdomain.clocwww.yabo.11vipkify.me/
    • 元数据Url:到OneLogin >单点登录,复制发行者Url,然后粘贴到Clockify的元数据Url中www.yabo.11vip
    • 登录URL:从一个登录> SSO中复制SAML 2.0端点(HTTP)并将其粘贴到时钟中的登录URLwww.yabo.11vip
    • Advanced > Certificate:进入OneLogin > SSO,点击“X.509 Certificate”下的“View Details”,然后将X.509 Certificate证书复制粘贴到Advanced > Certificate下的Clockify中www.yabo.11vip
  • 点击“完成配置”
  • 启用“使用SAML2登录”(可选禁用“使用电子邮件和密码登录”)

第4步:Onelogin

  • 转到用户(这是您选择从Onelogin帐户中哪些用户可以访问时序的地方)。www.yabo.11vip
    • 用户>点击特定用户>应用>点击“+”符号添加应用>选择Clockify >继续>保存www.yabo.11vip
如何设置谷歌登录

移动到子域时,默认的Google登录将停止工作,您必须手动配置它以继续使用它。

设置谷歌登录是快速和简单的(你需要有一个G Suite或云身份帐户,以做到这一点):

  1. 设置OAuth 2.0在您的Google帐户中(您需要创建一个项目并获取Web应用程序的OAuth 2.0客户端ID)
  2. 在谷歌云平台> API & Services > Credentials中,打开您创建的项目/应用程序,并粘贴“https://yoursubdomain.clockify”。www.yabo.11vip“授权重定向uri”下的me/login
    笔记:你还应该添加以下uri,以便OAuth登录工作在Clockify移动应用:www.yabo.11vip

    谷歌oauth clockwww.yabo.11vipify sso
  3. 在Clwww.yabo.11vipockify,进入Authentication选项卡,点击“Add SSO Configuration”
  4. 选择“OAuth2”认证类型
  5. 从谷歌app中复制粘贴客户端ID和客户端秘密,并按如下信息填写其他字段
  6. 点击“完成配置”
  7. 选中“Log in with OAuth”复选框,开始使用谷歌login
客户端ID:$ yes_id //您需要从您获取此Google API控制台帐户客户端秘密:$ your_secret //您需要从您获取此Google API控制台帐户授权代码路径:https://accounts.google.com/O / OAuth2 / V2 / AUTH访问令牌路径:https://www.gooeogleapis.com/oauth2/v3/Token用户信息打开ID路径:https://www.googleapis.com/oauth2/v3/UserInfo重定向URL://自我生成,您将在Google Cloud Console中添加此选项>授权重定向URIEmail Token字段:Email Username Token字段:name name Token字段:given_name Last name Token字段:family_name作用域:openid Email配置文件

配置后,您可以强制每个人使用公司的Google身份通过禁用“使用电子邮件和密码登录”来使用您的Google Identity进行登录。

如何连接到Microsoft Azure

你可以通过设置OAuth将Azure连接到Clocwww.yabo.11vipkify。

步骤1:Clocwww.yabo.11vipkify

  • 添加SSO配置> OAuth2
  • 重定向Url >副本

步骤2:AzureAD

  • 进入App注册> New Registration
  • 信息:名字:Clockiwww.yabo.11vipfy
  • 支持的帐户类型:选择您喜欢的;在我们的例子中,它是只在这个组织目录中的帐户(仅默认目录-单个租户)
  • 重定向URI:粘贴您从第1步复制的内容;https:/yourcompanysubdomain.www.yabo.11vipwww.bmwmclr.com/login(在我们的情况下它是:https://acmecompany.www.bmwmclr.com/login)
    笔记:你还应该添加以下uri,以便OAuth登录工作在Clockify移动应用:www.yabo.11vip
  • 登记

第3步:配置(Clockify&Azure)www.yabo.11vip

配置Azuread:

  • 证书和秘密:新客户机密>描述:Cloderify>到期:永远不会>添加www.yabo.11vip
  • 复制此客户机密的值,然后返回贴在“客户机密”中粘贴www.yabo.11vip
  • API权限:添加权限> Microsoft Graph >删除权限>检查openid >添加权限(也可以查看其他权限,如“email”和“profile”)
  • 刷新
  • 回去概述

配置:Clockifywww.yabo.11vip

  • OAuth2身份认证:
  • 客户端Id:转到Azure——Overview——应用程序(客户端)Id:复制值并粘贴回Clockifywww.yabo.11vip
  • 客户秘密:这应该已经从以前的步骤(证书和秘密)粘贴了
  • 授权代码路径:进入Azure——Overview——endpoint——复制OAuth 2.0授权端点(v2)的值,并将其粘贴回Clockifywww.yabo.11vip
  • 访问令牌路径:转到Azure - 概述 - 端点 - 复制OAuth 2.0令牌端点(v2)的值并粘贴它www.yabo.11vip
  • 用户信息打开Id路径:https://graph.microsoft.com/oidc/userinfo
  • Email Token字段:Email
  • 适用范围:openid邮件配置文件
  • 点击“完成配置”

步骤4:Clocwww.yabo.11vipkify

  • 登录设置:启用“使用OAuth登录”(可选禁用“使用电子邮件和密码登录”)

  • 或者,您可以使用SAML2身份验证协议连接Azure,首先通过添加一个未列出的(非图库)应用程序到Azure AD组织,然后配置基于saml的单点登录到此非Gallery应用程序。

    步骤1:蔚蓝的

    • 进入企业应用程序>新应用程序(然后确保你在新的图库视图)>创建你自己的应用程序
    • 名称:Clowww.yabo.11vipckify
    • 集成您在库中找不到的任何其他应用程序
    • 创建
    • 去属性
    • Logo:上传广场图标//www.bmwmclr.com/aswww.yabo.11vipsets/images/brand-assets/clockify-mark-blue.png
    • 如果需要,可选地更改“需要”和“用户可见”
    • 保存

    步骤2:Azure SSO配置

    • 在侧栏中登录单点登录
    • 选择SAML.
    • 基本SAML配置:单击铅笔进行编辑
      • 标识符(实体ID):(这是你放置子域名地址的地方,在我们的例子中是https://acmecompany.www.bmwmclr.com/)www.yabo.11vip
      • 回复URL(断言消费者服务URL):https://global.api.www.bmwmclr.com/auth/saml2www.yabo.11vip
    • 保存
    • SAML签名证书:单击铅笔编辑>新证书>保存>单击证书上的3个小点,然后>使证书有效>是
    • 重新加载页面

    第3步:聊天www.yabo.11vip

    • 添加SSO配置> SAML2>下一个
    • 实体Id:(这是你输入子域名地址的地方,在我们的例子中是https://acmecompany.www.bmwmclr.com/)www.yabo.11vip
    • 元数据Url:回到Azure >下的SAML签名证书> App Federation元数据Url >复制并粘贴回Clockifywww.yabo.11vip
    • 登录URL:返回Azure>在设置时汇总查找>登录URL>复制并粘贴贴在时送www.yabo.11vip
    • 点击“完成配置”
    • 启用“使用SAML2登录”(可选禁用“使用电子邮件和密码登录”)

    步骤4:蔚蓝的

    • 转到侧边栏的用户和组(在那里您可以从Azure帐户中选择哪些用户可以访问Clockify)。www.yabo.11vip
    • 用户和组>添加用户>用户和组(无选择)>选择需要的用户>选择“>分配”