SSO 和强制执行的常见问题
我目前拥有 Docker Team 订阅。如何启用 SSO?
SSO 可通过 Docker Business 订阅获得。要启用 SSO,您必须首先将订阅升级到 Docker Business 订阅。要了解如何升级现有账号,请参阅升级您的订阅。
启用 SSO 是否需要 DNS 验证?
是的。您必须先验证一个域,然后才能将其用于 SSO 连接。
Docker SSO 是否支持通过命令行进行身份验证?
强制执行 SSO 后,将阻止使用密码访问 Docker CLI。您仍然可以使用个人访问令牌 (PAT) 进行身份验证来访问 Docker CLI。
每个用户都必须创建一个 PAT 来访问 CLI。要了解如何创建 PAT,请参阅管理访问令牌。在强制执行 SSO 之前已使用 PAT 登录的用户仍然可以使用该 PAT 进行身份验证。
SSO 如何影响自动化系统和 CI/CD 流水线?
在强制执行 SSO 之前,您必须创建 PATs。这些 PATs 用于登录自动化系统和 CI/CD 流水线,替代密码。
在强制执行之前使用个人邮箱进行身份验证的组织用户可以期待什么?
确保您的用户在其账号中拥有组织邮箱,以便账号能够迁移到 SSO 进行身份验证。
我可以启用 SSO 但暂不开启强制执行选项吗?
是的,您可以选择不强制执行,用户在登录屏幕上可以选择使用 Docker ID(标准邮箱和密码)或域验证的邮箱地址 (SSO)。
已强制执行 SSO,但用户仍然可以使用用户名和密码登录。为什么会这样?
未注册到您的域但已被邀请加入您组织的访客用户不会通过您的 SSO 身份提供商登录。SSO 强制执行仅要求属于您域的用户必须通过 SSO IdP 登录。
在部署到生产环境之前,是否可以在使用 Okta 的测试租户中测试此功能?
是的,您可以创建一个测试组织。公司可以在新组织上设置一个新的 5 个席位的 Business 计划进行测试。为此,请确保只启用 SSO,而不是强制执行,否则所有域邮箱用户都将被强制登录到该测试租户。
强制登录的跟踪是在运行时还是安装时进行的?
对于 Docker Desktop,如果配置要求对组织进行身份验证,它会在运行时进行跟踪。
强制执行 SSO 与强制登录有何区别?
强制执行 SSO 和强制登录到 Docker Desktop 是不同的功能,您可以单独使用或一起使用。
强制执行 SSO 确保用户使用其 SSO 凭据登录,而不是使用 Docker ID。其中一个好处是 SSO 使您能够更好地管理用户凭据。
强制登录到 Docker Desktop 确保用户始终登录属于您组织的账号。这样做的好处是组织的安全性设置会始终应用于用户的会话,并且您的用户始终能享受到订阅的权益。更多详情,请参阅强制 Desktop 登录。