域审计
域审计会识别组织中未捕获的用户。未捕获的用户是指那些使用与你已验证的域关联的电子邮件地址向 Docker 进行身份验证,但并非 Docker 组织成员的 Docker 用户。你可以审计属于 Docker Business 订阅的组织下的域。要将现有账户升级到 Docker Business 订阅,请参阅 升级你的订阅。
未捕获的用户在你的环境中访问 Docker Desktop 可能会带来安全风险,因为你的组织安全设置(例如镜像访问管理和注册表访问管理)不会应用于用户的会话。此外,你将无法了解未捕获用户的活动。你可以将未捕获的用户添加到你的组织中,以获取他们的活动可见性并应用你的组织安全设置。
域审计无法识别你的环境中的以下 Docker 用户
- 未经验证访问 Docker Desktop 的用户
- 使用未关联你已验证域电子邮件地址的账户进行身份验证的用户
尽管域审计无法识别你环境中的所有 Docker 用户,但你可以强制登录以防止无法识别的用户访问你环境中的 Docker Desktop。有关强制登录的更多详细信息,请参阅 配置 registry.json 以强制登录。
提示
你可以使用端点管理 (MDM) 软件来识别环境中的 Docker Desktop 实例数量及其版本。这可以提供准确的许可报告,帮助确保你的机器使用最新版本的 Docker Desktop,并使你能够 强制登录。
先决条件
在审计你的域之前,请查看以下必需的先决条件
重要事项
公司或公司内的组织不支持域审计。
审计域以查找未捕获的用户
审计你的域
登录到 管理控制台。
在 选择配置文件 页面上选择你的组织,然后选择 域管理。
在 域审计 中,选择 导出用户 以导出包含以下列的未捕获用户 CSV 文件
- 姓名:用户的姓名。
- 用户名:用户的 Docker ID。
- 电子邮件:用户的电子邮件地址。
你可以使用导出的 CSV 文件邀请所有未捕获的用户加入你的组织。有关更多详细信息,请参阅 邀请成员。或者,可以选择强制执行单点登录或启用 SCIM 以自动将用户添加到你的组织。有关更多详细信息,请参阅 SSO 或 SCIM。
注意
域审计可能会识别不再属于你组织的用户账户。如果你不想将用户添加到你的组织,并且不希望该用户在未来的域审计中出现,则必须停用该账户或更新关联的电子邮件地址。
只有拥有该 Docker 账户访问权限的人才能停用该账户或更新关联的电子邮件地址。有关更多详细信息,请参阅 停用账户。
重要事项
组织管理正在迁移到管理控制台。
在 Docker 管理控制台中管理成员、团队、设置和活动日志。在 Docker Hub 中访问这些功能的权限将很快终止。探索 管理控制台。
审计你的域
登录到 Docker Hub。
选择 我的 Hub,你的组织,设置,然后选择 安全。
在 域审计 中,选择 导出用户 以导出包含以下列的未捕获用户 CSV 文件
- 姓名:用户的姓名。
- 用户名:用户的 Docker ID。
- 电子邮件:用户的电子邮件地址。
你可以使用导出的 CSV 文件邀请所有未捕获的用户加入你的组织。有关更多详细信息,请参阅 邀请成员。或者,可以选择强制执行单点登录或启用 SCIM 以自动将用户添加到你的组织。有关更多详细信息,请参阅 SSO 或 SCIM。
注意
域审计可能会识别不再属于你组织的用户账户。如果你不想将用户添加到你的组织,并且不希望该用户在未来的域审计中出现,则必须停用该账户或更新关联的电子邮件地址。
只有拥有该 Docker 账户访问权限的人才能停用该账户或更新关联的电子邮件地址。有关更多详细信息,请参阅 停用账户。