SSO和用户管理常见问题

目录

使用SSO时如何管理用户?

你可以在Docker Hub或管理控制台的组织中管理用户。在Docker中配置SSO时,你需要确保你的IdP账户中每个用户都有一个账户。当用户首次使用其域名电子邮件地址登录Docker时,成功身份验证后他们将自动被添加到组织。

我需要手动将用户添加到我的组织吗?

不,你无需在Docker或管理控制台中手动将用户添加到你的组织。你只需确保你的用户在你的IdP中存在账户。当用户登录Docker时,他们将使用其域名电子邮件地址自动分配到组织。

当用户首次使用其域名电子邮件地址登录Docker时,成功身份验证后他们将自动被添加到组织。

我的组织中的用户可以使用不同的电子邮件地址通过SSO进行身份验证吗?

在SSO设置过程中,你需要指定允许进行身份验证的公司电子邮件域名。组织中的所有用户都必须使用SSO设置期间指定的电子邮件域名进行身份验证。你的部分用户可能希望为其个人项目保留一个不同的账户。

如果未强制执行SSO,电子邮件地址与已验证电子邮件域名不匹配的用户可以使用用户名和密码登录,作为访客加入组织。

Docker组织和公司所有者能否批准用户加入组织并使用席位,而不是在启用SSO时自动添加他们?

组织所有者和公司所有者可以通过其IdP配置其权限来批准用户。如果在IdP中配置了用户账户,只要有可用席位,该用户将自动添加到Docker Hub中的组织。

用户将如何得知他们已成为Docker组织的一部分?

启用SSO后,用户下次尝试登录Docker Hub或Docker Desktop时,系统将提示他们通过SSO进行身份验证。系统会发现终端用户尝试通过其关联的Docker ID进行身份验证的域名电子邮件,并提示他们使用SSO电子邮件和凭据登录。

如果用户尝试通过CLI登录,他们必须使用个人访问令牌(PAT)进行身份验证。

是否可以强制Docker Desktop用户进行身份验证,和/或使用其公司域名进行身份验证?

是的。管理员可以使用注册表项、.plist文件或registry.json文件强制Docker Desktop用户进行身份验证。

在Hub上的Docker Business组织或公司上设置了SSO强制执行后,当用户被强制使用Docker Desktop进行身份验证时,SSO强制执行也将强制用户通过其IdP进行SSO身份验证(而不是使用其用户名和密码进行身份验证)。

电子邮件地址与已验证域名不匹配的用户仍可能能够作为访客账户进行身份验证。但是,只有在邀请了该非域名电子邮件的情况下,他们才能作为访客进行身份验证。

是否可以将现有非SSO用户转换为SSO账户?

是的,你可以将现有用户转换为SSO账户。要将非SSO账户用户进行转换

  • 确保你的用户拥有公司域名电子邮件地址,并且在你的IdP中拥有账户。
  • 验证所有用户的计算机上已安装Docker Desktop版本4.4.2或更高版本。
  • 每个用户都创建了PAT以替换其密码,从而允许他们通过Docker CLI登录。
  • 确认所有CI/CD管道自动化系统已将其密码替换为PAT。

有关启用SSO的详细先决条件和说明,请参阅配置单点登录

一旦我们开始将用户加入SSO账户,用户可以预期会有什么影响?

启用并强制执行SSO后,你的用户只需使用已验证的域名电子邮件地址登录。

Docker SSO是否与IdP完全同步?

Docker SSO默认提供Just-in-Time (JIT) 配置,并可选择禁用JIT。用户在通过SSO进行身份验证时配置。如果用户离开组织,管理员必须登录Docker并手动从组织中移除用户。

SCIM可用于与用户和组进行完全同步。使用SCIM自动配置用户时,建议的配置是禁用JIT,以便所有自动配置都由SCIM处理。

此外,你可以使用Docker Hub API来完成此过程。

禁用Just-in-Time配置会如何影响用户登录?

当你使用管理控制台并启用SCIM时,可选择禁用JIT。如果用户尝试使用作为你的SSO连接的已验证域名的电子邮件地址登录Docker,他们需要是组织的成员才能访问,或者拥有待处理的组织邀请。不符合这些条件的用户将遇到Access denied错误,并且需要管理员邀请他们加入组织。

请参阅禁用JIT配置的SSO身份验证

要在没有JIT配置的情况下自动配置用户,你可以使用SCIM

在不使用SSO的情况下配置Docker订阅的最佳方式是什么?

公司或组织所有者可以通过Docker Hub或管理控制台邀请用户,可以通过电子邮件地址(适用于任何用户)或Docker ID(假设用户拥有现有的Docker账户)进行邀请。

没有邀请的情况下,是否可以加入组织?是否可以将特定用户添加到拥有现有电子邮件账户的组织中?

没有SSO则不能。加入需要组织所有者的邀请。当强制执行SSO时,通过SSO验证的域名将允许拥有已分配域名电子邮件的用户下次登录时自动加入组织。

当我们向用户发送邀请时,现有账户会被合并并保留吗?

是的,现有用户账户将加入组织并保留所有资产。

如何查看、更新和移除我的用户的多个电子邮件地址?

Docker平台每个用户仅支持一个电子邮件地址。

如何移除尚未登录的组织受邀者?

你可以前往Docker Hub或管理控制台中组织的成员页面,查看待处理的邀请,并根据需要移除受邀者。

服务账户的身份验证流程与UI用户账户不同吗?

不,我们在产品中不对两者进行区分。

Docker Hub中是否可见用户信息?

所有Docker账户都有与其命名空间关联的公共个人资料。如果你不希望用户信息(例如,全名)可见,你可以从你的SSO和SCIM映射中移除这些属性。或者,你可以使用不同的标识符来替换用户的全名。

启用SCIM后,现有许可用户会发生什么?

启用SCIM不会立即移除或修改你的Docker组织中的现有许可用户。他们保留当前的访问权限和角色,但在启用SCIM后,你将在身份提供商(IdP)中管理他们。如果以后禁用SCIM,之前由SCIM管理的用户将保留在Docker中,但不再根据你的IdP自动更新或移除。

页面选项