即时 (Just-in-Time) 配置用户
目录
订阅: Business
适用对象: 管理员
即时 (Just-in-Time) 配置用户 (JIT) 会在每次成功进行单点登录 (SSO) 身份验证后自动创建和更新用户账户。JIT 会验证登录用户是否属于您的身份提供商 (IdP) 中分配给他们的组织和团队。当您创建 SSO 连接时,JIT 配置用户默认处于开启状态。
启用 JIT 配置用户时的 SSO 身份验证
当用户使用 SSO 登录且您的 SSO 配置已启用 JIT 配置用户时,会自动执行以下步骤:
系统检查该用户的电子邮件地址是否存在 Docker 账户。
- 如果账户存在:系统使用现有账户,并在必要时更新用户的全名。
- 如果账户不存在:系统会使用基本用户属性(电子邮件、名字和姓氏)创建新的 Docker 账户。会根据用户的电子邮件、名字和随机数字生成唯一的用户名,以确保平台上的所有用户名都是唯一的。
系统检查是否有待处理的 SSO 组织邀请。
- 找到邀请:邀请会被自动接受。
- 邀请包含特定组:用户会被添加到 SSO 组织内的该组中。
系统验证 IdP 是否在身份验证期间共享了组映射。
- 提供了组映射:用户会被分配到相关的组织和团队。
- 未提供组映射:系统检查用户是否已是该组织成员。如果不是,则会将用户添加到 SSO 连接中配置的默认组织和团队。
下图概述了启用 JIT 时的 SSO 身份验证流程:
禁用 JIT 配置用户时的 SSO 身份验证
当您的 SSO 连接中禁用 JIT 配置用户时,身份验证期间会执行以下操作:
系统检查该用户的电子邮件地址是否存在 Docker 账户。
- 如果账户存在:系统使用现有账户,并在必要时更新用户的全名。
- 如果账户不存在:系统会使用基本用户属性(电子邮件、名字和姓氏)创建新的 Docker 账户。会根据用户的电子邮件、名字和随机数字生成唯一的用户名,以确保平台上的所有用户名都是唯一的。
系统检查是否有待处理的 SSO 组织邀请。
- 找到邀请:如果用户是该组织的成员或有待处理的邀请,则登录成功,并且邀请会被自动接受。
- 未找到邀请:如果用户不是该组织的成员且没有待处理的邀请,则登录失败,并出现
Access denied
错误。用户必须联系管理员才能被邀请加入组织。
禁用 JIT 后,只有在您启用 SCIM 时才提供组映射。如果未启用 SCIM,用户不会被自动配置到组中。
下图概述了禁用 JIT 时的 SSO 身份验证流程:
禁用 JIT 配置用户
警告
禁用 JIT 配置用户可能会中断您的用户访问和工作流程。禁用 JIT 后,用户将不会自动添加到您的组织。用户必须已是该组织的成员或有待处理的邀请,才能通过 SSO 成功登录。要在禁用 JIT 时自动配置用户,请使用 SCIM。
您可能出于以下原因禁用 JIT 配置用户:
- 您拥有多个组织,已启用 SCIM,并希望 SCIM 成为配置用户的单一事实来源。
- 您希望根据组织的安全性配置控制和限制使用,并希望使用 SCIM 配置访问权限。
默认情况下,用户通过 JIT 进行配置。如果您启用 SCIM,则可以禁用 JIT。
- 在管理员控制台 (Admin Console) 中,选择您的组织。
- 选择 SSO 和 SCIM。
- 在 SSO 连接表中,选择 操作 图标,然后选择 禁用 JIT 配置用户。
- 选择 禁用 进行确认。