单点登录概览
目录
订阅: Business
适用于: 管理员
单点登录 (SSO) 允许用户使用其身份提供者 (IdP) 进行身份验证来访问 Docker。SSO 适用于整个公司及其关联的所有组织,或具有 Docker Business 订阅的单个组织。要将现有账户升级到 Docker Business 订阅,请参阅升级您的订阅。
SSO 工作原理
启用 SSO 后,Docker 支持非 IdP 发起的 SSO 流程进行用户登录。用户无需使用其 Docker 用户名和密码进行身份验证,而是被重定向到您的身份提供者的身份验证页面进行登录。用户必须登录 Docker Hub 或 Docker Desktop 才能启动 SSO 身份验证过程。
以下图表显示了 SSO 在 Docker Hub 和 Docker Desktop 中的运行和管理方式。此外,它还提供了有关如何在您的 IdP 之间进行身份验证的信息。
如何设置
SSO 配置步骤如下
- 通过在 Docker 中创建和验证域来配置 SSO。
- 在 Docker 和您的 IdP 中创建 SSO 连接。
- 交叉连接 Docker 和您的 IdP。
- 测试连接。
- 配置用户。
- 可选。强制登录。
- 管理您的 SSO 配置.
SSO 配置完成后,首次使用 SSO 的用户可以使用其公司域名的电子邮件地址登录 Docker Hub 或 Docker Desktop。登录后,他们将被添加到您的公司,分配给一个组织,并在必要时分配给一个团队。
前提条件
配置 SSO 之前,请确保满足以下前提条件
- 通知您的公司新的 SSO 登录流程。
- 验证所有用户均已安装 Docker Desktop 4.4.2 或更高版本。
- 如果您的组织计划强制使用 SSO,使用 Docker CLI 的成员需要创建个人访问令牌 (PAT)。PAT 将用于代替其用户名和密码。Docker 计划在未来弃用使用密码登录 CLI,因此需要使用 PAT 来防止身份验证问题。更多详细信息请参阅安全公告。
- 确保您的所有 Docker 用户在您的 IdP 上拥有一个有效用户,其电子邮件地址与 Unique Primary Identifier (UPN) 相同。
- 确认所有 CI/CD 流水线已将其密码替换为 PAT。
- 对于您的服务账户,请在您的 IdP 中添加您的额外域或启用它。