即时预配

目录

即时 (JIT) 预配在每次成功的单点登录 (SSO) 身份验证后自动创建和更新用户帐户。JIT 验证登录的用户属于其身份提供商 (IdP) 中分配给他们的组织和团队。当您创建您的 SSO 连接时,JIT 预配默认情况下处于启用状态。

启用 JIT 预配的 SSO 身份验证

当用户使用 SSO 登录并且您的 SSO 配置已启用 JIT 预配时,以下步骤会自动执行

  1. 系统检查是否存在用户的电子邮件地址的 Docker 帐户。

    • 如果帐户存在:系统使用现有帐户,并在必要时更新用户的全名。
    • 如果帐户不存在:将使用基本用户属性(电子邮件、姓名和姓氏)创建一个新的 Docker 帐户。将根据用户的电子邮件、姓名和随机数生成唯一的用户名,以确保所有用户名在整个平台上都是唯一的。

  2. 系统检查是否有任何待处理的 SSO 组织邀请。

    • 找到邀请:邀请会自动被接受。
    • 邀请包含特定组:用户将被添加到 SSO 组织中的该组。

  3. 系统验证 IdP 是否在身份验证期间共享了组映射。

    • 提供组映射:用户将被分配到相关的组织和团队。
    • 未提供组映射:系统检查用户是否已经是组织的一部分。如果不是,则用户将被添加到 SSO 连接中配置的默认组织和团队。

下图概述了启用 JIT 的 SSO 身份验证

JIT provisioning enabled

禁用 JIT 预配的 SSO 身份验证

在您的 SSO 连接中禁用 JIT 预配时,身份验证期间会发生以下操作

  1. 系统检查是否存在用户的电子邮件地址的 Docker 帐户。

    • 如果帐户存在:系统使用现有帐户,并在必要时更新用户的全名。
    • 如果帐户不存在:将使用基本用户属性(电子邮件、姓名和姓氏)创建一个新的 Docker 帐户。将根据用户的电子邮件、姓名和随机数生成唯一的用户名,以确保所有用户名在整个平台上都是唯一的。

  2. 系统检查是否有任何待处理的 SSO 组织邀请。

    • 找到邀请:如果用户是组织的成员或有待处理的邀请,则登录成功,并且邀请会自动被接受。
    • 未找到邀请:如果用户不是组织的成员并且没有待处理的邀请,则登录失败,并出现访问被拒绝错误。用户必须联系管理员才能被邀请加入组织。

禁用 JIT 后,只有在您启用 SCIM的情况下,组映射才可用。如果未启用 SCIM,则不会将用户自动预配到组。

下图概述了禁用 JIT 的 SSO 身份验证

JIT provisioning disabled

禁用 JIT 预配

警告

禁用 JIT 预配可能会中断用户的访问和工作流程。禁用 JIT 后,不会自动将用户添加到您的组织。用户必须已经是组织的成员或有待处理的邀请才能通过 SSO 成功登录。要使用禁用的 JIT 自动预配用户,使用 SCIM

您可能出于以下原因想要禁用 JIT 预配:

  • 您有多个组织,启用了 SCIM,并希望 SCIM 成为预配的唯一数据来源。
  • 您希望根据组织的安全配置控制和限制使用,并希望使用 SCIM 来预配访问。

用户默认情况下通过 JIT 预配。如果您启用 SCIM,则可以禁用 JIT。

  1. 登录 管理员控制台
  2. 在左侧导航下拉菜单中选择您的组织或公司,然后选择SSO 和 SCIM
  3. 在 SSO 连接表中,选择操作图标,然后选择禁用 JIT 预配
  4. 选择禁用以确认。