即时 (Just-in-Time) 配置用户

订阅: Business
适用对象: 管理员

即时 (Just-in-Time) 配置用户 (JIT) 会在每次成功进行单点登录 (SSO) 身份验证后自动创建和更新用户账户。JIT 会验证登录用户是否属于您的身份提供商 (IdP) 中分配给他们的组织和团队。当您创建 SSO 连接时,JIT 配置用户默认处于开启状态。

启用 JIT 配置用户时的 SSO 身份验证

当用户使用 SSO 登录且您的 SSO 配置已启用 JIT 配置用户时,会自动执行以下步骤:

  1. 系统检查该用户的电子邮件地址是否存在 Docker 账户。

    • 如果账户存在:系统使用现有账户,并在必要时更新用户的全名。
    • 如果账户不存在:系统会使用基本用户属性(电子邮件、名字和姓氏)创建新的 Docker 账户。会根据用户的电子邮件、名字和随机数字生成唯一的用户名,以确保平台上的所有用户名都是唯一的。
  2. 系统检查是否有待处理的 SSO 组织邀请。

    • 找到邀请:邀请会被自动接受。
    • 邀请包含特定组:用户会被添加到 SSO 组织内的该组中。
  3. 系统验证 IdP 是否在身份验证期间共享了组映射。

    • 提供了组映射:用户会被分配到相关的组织和团队。
    • 未提供组映射:系统检查用户是否已是该组织成员。如果不是,则会将用户添加到 SSO 连接中配置的默认组织和团队。

下图概述了启用 JIT 时的 SSO 身份验证流程:

JIT provisioning enabled

禁用 JIT 配置用户时的 SSO 身份验证

当您的 SSO 连接中禁用 JIT 配置用户时,身份验证期间会执行以下操作:

  1. 系统检查该用户的电子邮件地址是否存在 Docker 账户。

    • 如果账户存在:系统使用现有账户,并在必要时更新用户的全名。
    • 如果账户不存在:系统会使用基本用户属性(电子邮件、名字和姓氏)创建新的 Docker 账户。会根据用户的电子邮件、名字和随机数字生成唯一的用户名,以确保平台上的所有用户名都是唯一的。
  2. 系统检查是否有待处理的 SSO 组织邀请。

    • 找到邀请:如果用户是该组织的成员或有待处理的邀请,则登录成功,并且邀请会被自动接受。
    • 未找到邀请:如果用户不是该组织的成员且没有待处理的邀请,则登录失败,并出现 Access denied 错误。用户必须联系管理员才能被邀请加入组织。

禁用 JIT 后,只有在您启用 SCIM 时才提供组映射。如果未启用 SCIM,用户不会被自动配置到组中。

下图概述了禁用 JIT 时的 SSO 身份验证流程:

JIT provisioning disabled

禁用 JIT 配置用户

警告

禁用 JIT 配置用户可能会中断您的用户访问和工作流程。禁用 JIT 后,用户将不会自动添加到您的组织。用户必须已是该组织的成员或有待处理的邀请,才能通过 SSO 成功登录。要在禁用 JIT 时自动配置用户,请使用 SCIM

您可能出于以下原因禁用 JIT 配置用户:

  • 您拥有多个组织,已启用 SCIM,并希望 SCIM 成为配置用户的单一事实来源。
  • 您希望根据组织的安全性配置控制和限制使用,并希望使用 SCIM 配置访问权限。

默认情况下,用户通过 JIT 进行配置。如果您启用 SCIM,则可以禁用 JIT。

  1. 管理员控制台 (Admin Console) 中,选择您的组织。
  2. 选择 SSO 和 SCIM
  3. 在 SSO 连接表中,选择 操作 图标,然后选择 禁用 JIT 配置用户
  4. 选择 禁用 进行确认。
页面选项