SSO 和身份提供商常见问题解答
是否可以使用多个 IdP 进行 Docker SSO?
不能。您只能配置 Docker SSO 与单个 IdP 配合使用。一个域只能与一个 IdP 关联。Docker 支持 Entra ID(以前称为 Azure AD)以及支持 SAML 2.0 的身份提供商。
配置 SSO 后是否可以更改身份提供商?
是的。您必须删除 Docker SSO 连接中现有的 IdP 配置,然后使用新的 IdP 配置 SSO。如果您之前已启用强制执行,则应在更新提供商 SSO 连接之前关闭强制执行。
配置 SSO 需要从身份提供商处获取哪些信息?
要在 Docker 中启用 SSO,您需要从 IdP 获取以下信息:
SAML: 实体 ID、ACS URL、单点注销 URL 和公共 X.509 证书
Entra ID(以前称为 Azure AD): 客户端 ID、客户端 Secret、AD 域。
如果现有证书过期会发生什么?
如果现有证书已过期,您可能需要联系您的身份提供商以获取新的 X.509 证书。然后,您需要在 Docker Hub 或 Docker Admin Console 的SSO 配置设置中更新证书。
启用 SSO 后,如果 IdP 发生故障会发生什么?
如果 SSO 被强制执行,则在 IdP 发生故障时无法访问 Docker Hub。您仍然可以使用您的个人访问令牌从 CLI 访问 Docker Hub 镜像。
如果 SSO 已启用但未强制执行,则用户可以回退到使用用户名/密码进行身份验证,并在必要时触发重置密码流程。
如何处理使用 Docker Hub 作为辅助仓库的账户?是否需要 bot 账户?
您可以向 IdP 添加一个 bot 账户,并为其创建一个访问令牌来替换其他凭据。
使用 SSO 访问组织时,bot 账户是否需要席位?
是的,bot 账户需要席位,类似于普通最终用户,需要在 IdP 中启用非别名域名邮箱并在 Hub 中占用席位。
SAML SSO 是否使用 Just-in-Time 配置?
SSO 实现默认使用 Just-in-Time (JIT) 配置。如果您使用 SCIM 启用自动配置,则可以选择在管理控制台中禁用 JIT。请参阅Just-in-Time 配置。
是否支持 IdP 发起的登录?
Docker SSO 不支持 IdP 发起的登录,仅支持服务提供商发起的 (SP-initiated) 登录。
是否可以将 Docker Hub 直接与 Microsoft Entra(以前称为 Azure AD)群组连接?
是的,Docker Business 支持 Entra ID(以前称为 Azure AD)的 SSO,可以通过直接集成和 SAML 两种方式实现。
我的 Entra ID SSO 连接无法正常工作,收到应用配置错误的错误。如何排除故障?
确认您已在 Entra ID(以前称为 Azure AD)中为 SSO 连接配置了必要的 API 权限。您需要在您的 Entra ID(以前称为 Azure AD)租户中授予管理员同意。请参阅Entra ID(以前称为 Azure AD)文档。