Inhaltsverzeichnis
- Beschreibung
- Anzeige Loginvarianten
- Registrierungsmail senden
- Login erstellen
- Multi Faktor Authentifizierung (MFA)
- Mitarbeitende Person hat eine neue E‑Mail‑Adresse
Der Identity Provider regelt die Authentifizierung eines Nutzers für die Autorisierung des Zugriffs auf TimeRocket.
Die Authentisierung stellt sicher, dass die Person tatsächlich diejenige ist, die sie vorgibt zu sein.
Falls Sie z.B. bereits einen Google Account haben, bestätigt in diesem Fall Google, dass Sie die Person sind, die Sie vorgeben zu sein. Dazu werden Sie beim Login in TimeRocket einmalig auf die Anmeldeadresse von Google weitergeleitet, wo Sie sich mit Ihren Zugangsdaten von Google anmelden können. Google prüft den Benutzernamen und das Passwort und sendet dann an TimeRocket nur das OK, es werden keine Passwörter oder sonstige Zugangsdaten übertragen. Die Anmeldung an TimeRocket bleibt aktiv, bis Sie sich aus TimeRocket ausloggen.
TimeRocket bietet aktuell die Möglichkeit, sich über folgende Identity Provider zu authentisieren:
- Azure AD / Microsoft 365
- TimeRocket (Calitime)
- SwissID
Beschreibung
Das Widget Identity Providers bietet folgende Funktionen:
- Anzeige welche Loginvariante für diesen Mitarbeitenden verwendet wird
- Senden des Registrierungsmails
- Erstellen eines Benutzerlogins (Login ohne E-Mail-Adresse)
- Kennwort des Benutzerlogins ändern
- Anzeige und Definition des Anmeldezeitraums
Anzeige Loginvarianten
Es stehen folgende Loginvarianten / Provider zur Verfügung:
- Azure AD / Microsoft 365
- TimeRocket (Calitime)
- SwissID
Registrierungsmails senden
Damit sich Ihre Mitarbeitenden bei TimeRocket mittels E-Mail-Adresse registrieren können, wird ein Registrierungslink benötigt. Der Mitarbeitende erhält dann eine E-Mail mit der Auswahl des Identity Poviders. Hier muss der Mitarbeitende dann den gewünschten Identity Provider auswählen.
Login erstellen
Bei diesem Punkt gibt es zwei Möglichkeiten
Registrierung mittels E-Mail:
Bei dieser Variante wird dem Benutzer ein Registrierungsmail gesendet. Siehe Beschreibung oben «Registrierungsmails senden».
Benutzer erstellen:
Das Benutzerlogin ist ideal für Mitarbeitende, die keine E-Mail-Adresse haben, aber trotzdem ein TimeRocket Login benötigen. In diesem Fall wird ein Benutzer beim Identity Provider von TimeRocket angelegt. Beim Benutzerlogin wird hier ein Benutzername und ein Kennwort vorgegeben.
Dieses Kennwort kann hier durch Benutzer mit der Rolle HR-Verantwortlicher geändert werden.
Benutzer mit dem TimeRocket Identity Provider und einer E-Mail-Adresse können Ihr Passwort über die Loginseite mit der Funktion «Passwort vergessen» ändern.
Anzeige und Definition des Anmeldezeitraums
Der Anmeldezeitraum bestimmt, in welchem Zeitraum sich die Person in TimeRocket anmelden kann.
Dabei ist es möglich, einen Zeitraum zu definieren, der vom Anstellungszeitraum abweicht. Dies kann nützlich sein, wenn die Person von TimeRocket bereits vor Beendigung der Anstellung ausgesperrt werden soll, oder wenn die Person nach der Anstellung noch etwas nachtragen soll.
Ausserhalb des Anmeldezeitraums wird auf dem Widget Identity Providers «Login ist aktuell deaktiviert» angezeigt.
Multi Faktor Authentifizierung (MFA)
TimeRocket hat die MFA generell über E-Mail gelöst. Bei aktiver MFA generiert TimeRocket im Login-Prozess einen Code, welcher dem User per E-Mail zugestellt wird. Das Login erfolgt erst nach Eingabe des korrekten Codes.
Die MFA wurde primär für den Identity Provider TimeRocket (Calitime) entwickelt, würde jedoch auch bei den anderen Loginvarianten wie M365, Google oder SwissID einen Code generieren. Wir empfehlen, beim Login über andere Identity Provider als TimeRocket, die MFA von TimeRocket für diese Personen zu deaktivieren. Diese Provider haben eigene MFA-Konzepte, die nicht über TimeRocket verwaltet werden können.
In TimeRocket erfolgt die Aktivierung von MFA durch den Calitime-Support. Bitte kontaktieren Sie uns via support@calitime.ch, dann können wir die Funktion aktivieren.
MFA wird im Personalverzeichnis verwaltet und kann pro Person gesteuert werden. Wählen Sie dazu im Widget «Identity Providers» die Funktion MFA per E-Mail «Ein» oder «Aus». Diese Einstellung kann hier mit der entsprechenden Berechtigung jederzeit angepasst werden. Die Mitarbeitenden selbst können MFA in TimeRocket nicht eigenständig ein- oder ausschalten.
Damit TimeRocket den Code zur Authentifizierung senden kann, muss im Personalverzeichnis zwingend eine E-Mail-Adresse hinterlegt sein. Für die Authentifizierung gilt immer die E-Mail-Adresse im Personalverzeichnis, auch wenn die Personen allenfalls im Widget Identity Providers eine andere E-Mail-Adresse für das Login verwendet.
Bei aktiver MFA ist beim Login Prozess die Eingabe eines Codes erforderlich. Dieser Code wird der betroffenen Person per E-Mail zugestellt.
Pro Login-Versuch wird ein neuer Code generiert.
Eine Mitarbeitende Person hat eine neue E‑Mail‑Adresse. Wie gehe ich vor, damit das Login mit der neuen Adresse funktioniert?
Als Erstes wird im Personalverzeichnis, bei der betroffenen Person die neue E-Mail-Adresse hinterlegt. Klicken Sie dazu auf den Pfeil bei «E-Mail-Adresse» und wählen Sie «E-Mail-Adresse ändern». Anschliessend können Sie die neue Adresse eingeben und die Anpassung speichern.
Sobald die neue E-Mail-Adresse hinterlegt ist, muss das Registrierungsmail an die betroffene Person gesendet werden.
Wichtig: Bevor die betroffene Person die Registrierung erneut abschliesst, muss sie sich bei TimeRocket ausloggen.
Nach der Registrierung wird beim Widget Identity Provider ein weiterer Eintrag mit der neuen E-Mail-Adresse angezeigt. Die alte Registrierung bleibt bestehen und kann weiterhin verwendet werden. Falls die alte Registrierung gelöscht werden soll, melden Sie sich bitte per E-Mail bei unserem Support (support@calitime.ch), mit den Angaben der betroffenen Person und der Registrierung, welche gelöscht werden soll.