配置用户
目录
订阅: Business
适用于: 管理员
配置 SSO 连接后,下一步是配置用户。此过程确保用户能够访问您的组织。本指南概述了用户配置和支持的用户配置方法。
什么是用户配置?
用户配置通过根据您的身份提供者 (IdP) 提供的数据自动执行创建、更新和停用用户等任务来帮助管理用户。用户配置有三种方法,它们各自适用于不同的组织需求:
| 用户配置方法 | 描述 | Docker 中的默认设置 | 推荐用于 |
|---|---|---|---|
| 即时 (JIT) | 用户首次通过 SSO 登录时自动创建和配置用户账户 | 默认启用 | 最适合需要最小化设置、团队规模较小或安全性要求不高的组织 |
| 跨域身份管理系统 (SCIM) | 持续同步您的 IdP 和 Docker 之间的用户数据,确保用户属性保持最新,无需手动更新 | 默认禁用 | 最适合大型组织或用户信息或角色经常发生变化的环境 |
| 群组映射 | 将您的 IdP 中的用户组映射到 Docker 中的特定角色和权限,从而根据组成员身份实现精细的访问控制 | 默认禁用 | 最适合需要严格访问控制以及根据角色和权限管理用户的组织 |
默认用户配置设置
默认情况下,当您配置 SSO 连接时,Docker 会启用 JIT 用户配置。启用 JIT 后,用户首次使用您的 SSO 流程登录时会自动创建用户账户。
JIT 用户配置可能无法提供某些组织所需的控制或安全级别。在这种情况下,可以配置 SCIM 或群组映射,以便管理员能够更精细地控制用户访问和属性。
SSO 属性
用户通过 SSO 登录时,Docker 会从您的 IdP 获取多个属性,用于管理用户的身份和权限。这些属性包括:
- 电子邮件地址:用户的唯一标识符
- 全名:用户的完整姓名
- 群组:可选。用于基于群组的访问控制
- Docker 组织:可选。指定用户所属的组织
- Docker 团队:可选。定义用户在组织内所属的团队
- Docker 角色:可选。决定用户在 Docker 中的权限
- Docker 会话时长(分钟):可选。设置用户在需要使用身份提供者 (IdP) 重新进行身份验证之前,会话持续的时长。该值必须是大于 0 的正整数。如果未提供此属性,则默认情况下:
- Docker Desktop 会在 90 天后或 30 天不活动后将您退出。
- Docker Hub 和 Docker Home 会在 24 小时后将您退出。
如果您的组织使用 SAML 进行 SSO,Docker 会从 SAML 断言消息中检索这些属性。请注意,不同的 IdP 可能对这些属性使用不同的名称。下表列出了 Docker 可能使用的 SAML 属性:
| SSO 属性 | SAML 断言消息属性 |
|---|---|
| 电子邮件地址 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", email |
| 全名 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", name, "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"` |
| 群组(可选) | "http://schemas.xmlsoap.org/claims/Group", "http://schemas.microsoft.com/ws/2008/06/identity/claims/groups", Groups, groups |
| Docker 组织(可选) | dockerOrg |
| Docker 团队(可选) | dockerTeam |
| Docker 角色(可选) | dockerRole |
| Docker 会话时长(分钟)(可选) | dockerSessionMinutes,必须是大于 0 的正整数 |
下一步?
请查阅用户配置方法指南,了解配置用户配置方法的步骤