配置用户

订阅: Business
适用于: 管理员

配置 SSO 连接后,下一步是配置用户。此过程确保用户能够访问您的组织。本指南概述了用户配置和支持的用户配置方法。

什么是用户配置?

用户配置通过根据您的身份提供者 (IdP) 提供的数据自动执行创建、更新和停用用户等任务来帮助管理用户。用户配置有三种方法,它们各自适用于不同的组织需求:

用户配置方法描述Docker 中的默认设置推荐用于
即时 (JIT)用户首次通过 SSO 登录时自动创建和配置用户账户默认启用最适合需要最小化设置、团队规模较小或安全性要求不高的组织
跨域身份管理系统 (SCIM)持续同步您的 IdP 和 Docker 之间的用户数据,确保用户属性保持最新,无需手动更新默认禁用最适合大型组织或用户信息或角色经常发生变化的环境
群组映射将您的 IdP 中的用户组映射到 Docker 中的特定角色和权限,从而根据组成员身份实现精细的访问控制默认禁用最适合需要严格访问控制以及根据角色和权限管理用户的组织

默认用户配置设置

默认情况下,当您配置 SSO 连接时,Docker 会启用 JIT 用户配置。启用 JIT 后,用户首次使用您的 SSO 流程登录时会自动创建用户账户。

JIT 用户配置可能无法提供某些组织所需的控制或安全级别。在这种情况下,可以配置 SCIM 或群组映射,以便管理员能够更精细地控制用户访问和属性。

SSO 属性

用户通过 SSO 登录时,Docker 会从您的 IdP 获取多个属性,用于管理用户的身份和权限。这些属性包括:

  • 电子邮件地址:用户的唯一标识符
  • 全名:用户的完整姓名
  • 群组:可选。用于基于群组的访问控制
  • Docker 组织:可选。指定用户所属的组织
  • Docker 团队:可选。定义用户在组织内所属的团队
  • Docker 角色:可选。决定用户在 Docker 中的权限
  • Docker 会话时长(分钟):可选。设置用户在需要使用身份提供者 (IdP) 重新进行身份验证之前,会话持续的时长。该值必须是大于 0 的正整数。如果未提供此属性,则默认情况下:
    • Docker Desktop 会在 90 天后或 30 天不活动后将您退出。
    • Docker Hub 和 Docker Home 会在 24 小时后将您退出。

如果您的组织使用 SAML 进行 SSO,Docker 会从 SAML 断言消息中检索这些属性。请注意,不同的 IdP 可能对这些属性使用不同的名称。下表列出了 Docker 可能使用的 SAML 属性:

SSO 属性SAML 断言消息属性
电子邮件地址"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", email
全名"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", name, "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"`
群组(可选)"http://schemas.xmlsoap.org/claims/Group", "http://schemas.microsoft.com/ws/2008/06/identity/claims/groups", Groups, groups
Docker 组织(可选)dockerOrg
Docker 团队(可选)dockerTeam
Docker 角色(可选)dockerRole
Docker 会话时长(分钟)(可选)dockerSessionMinutes,必须是大于 0 的正整数

下一步?

请查阅用户配置方法指南,了解配置用户配置方法的步骤

页面选项