TOTVS Clock In

Atalhos

Árvore de páginas

01. VISÃO GERAL

Esta documentação direciona para o processo de configuração e descreve sobre os impactos no CLOCK IN da integração do SSO (Single Sign-On) com o Azure Active Directory ou Totvs Identity (Fluig) como provedores de identidade (IDP) na Plataforma Carol, utilizando o protocolo SAML.

Ao habilitar o SSO, o login tradicional pela plataforma será desabilitado, ou seja, o fluxo de autenticação tanto da Plataforma Carol quanto dos aplicativos do CLOCK IN passa a ocorrer pelo provedor de identidade (Azure Active Directory ou Totvs Identity (Fluig)) sem possibilidade de segregação entre os aplicativos (BACKOFFICE, CLOCK IN WEB e/ou CLOCK IN MOBILE).

02. Configurando IdP-provedor de identidade (Azure Active Directory ou Totvs Identity (Fluig)) na Plataforma Carol.

Hoje os aplicativos do CLOCK IN utilizam a Plataforma Carol para autenticação de acesso.

Clique aqui para mais informações sobre como habilitar a integração do login pelo TOTVS Identity (Fluig).

Clique aqui para mais informações sobre como integrar o SSO do Azure como IDP na Plataforma Carol por meio do protocolo SAML.

03. Impactos da Habilitação do SSO

  1. Desabilitação do Login Tradicional: Após a habilitação do SSO, o login anterior via Plataforma Carol será desativado. Todos os usuários deverão utilizar o SSO para acessar os aplicativos do CLOCK IN.
    1. Login via Plataforma Carol:
                     

    2. Login via SSO:
                     

  2. Sessões Ativas: Os usuários que estiverem logados no CLOCK IN MOBILE antes de habilitar o SSO permanecerão conectados até que o TOKEN de autenticação seja revogado, mesmo que esse usuário não tenha vinculo com nenhum usuário do IdP-provedor de identidade.

    O aplicativo CLOCK IN MOBILE utiliza o login por SSO ou email/senha apenas como sendo uma porta de entrada para geração de um TOKEN.

    Esse TOKEN, por sua vez, é utilizado para gerar o que chamamos de API Key e está é utilizada para se comunicar com a Plataforma Carol em outras requisições, como o envio de marcações realizadas através do app CLOCK IN MOBILE. A API Key só vai expirar caso seja revogada ou o usuário seja inativado/removido.

    Resumindo, o token gerado pela IdP-provedor de identidade é usado apenas para que validemos a entrada e obtenhamos o API Key. Uma vez com o API Key, ele não vai expirar.




  3. Correspondência de Contas: Usuários criados automaticamente ou através do CLOCK IN BACKOFFICE devem ter uma conta/e-mail correspondente no IdP-provedor de identidade homologado, seja Azure ou Totvs Identity. Contas que não tenham essa correspondência não poderão mais acessar os aplicativos do CLOCK IN ou, se existirem o IdP e não no ambiente do CLOCK IN, não terão seus parâmetros de ambiente atualizados (configuração de DAL, GEOFENCE, SELF CLOCK IN, etc). Clique aqui para mais informações sobre os usuários do CLOCK IN.

    Se o usuário criado no CLOCK IN for [email protected], também deverá ser exatamente [email protected] IdP-provedor de identidade homologado, seja Azure ou Totvs Identity.


    1. Exemplo consultando o usuário na Plataforma Carol com parâmetros de ambiente do CLOCK IN.



    2. Exemplo consultando o usuário no TOTVS IDENTITY (Fluig).



    3. Exemplo consultando o usuário no AZURE.



  4. Exclusividade do SSO: Não é possível utilizar o login tradicional em conjunto com o SSO. Uma vez que o SSO esteja habilitado, ele será o único método de autenticação disponível e a Plataforma Carol fará autormaticamente o direcionamento para o IdP-provedor de identidade homologado.



04. Considerações Finais

  • Configuração no Provedor de Identidade: A configuração inicial é feita pelo cliente em seu ambiente do IdP-provedor de identidade (Azure ou Totvs Identity), onde será necessário criar o aplicativo e realizar as configurações de segurança.

  • Envio das Informações: Após a configuração no IdP-provedor de identidade, as informações deverão ser enviadas ao time de Implantação ou através de Ticket para a equipe de atendimento do CLOCK IN, que realizará a integração e habilitará o SSO no ambiente do CLOCK IN.

  • Validade dos E-mails: Não serão permitidos e-mails falsos cadastrados no Clock In. Apenas usuários com e-mails válidos e configurados no IdP-provedor de identidade poderão acessar a plataforma.

  • MDM Intune: A utilização do Azure integrado com o MDM Intune nos dispositivos não está funcional neste momento. Assim que concluída a implementação para atender a integração com os dois produtos informaremos aqui na documentação.



  • Sem rótulos