单点登录概述

目录

单点登录 (SSO) 允许用户使用其身份提供商 (IdP) 进行身份验证来访问 Docker。SSO 可用于整个公司及其公司内的所有关联组织,或拥有 Docker Business 订阅的单个组织。要将现有帐户升级到 Docker Business 订阅,请参阅 升级您的订阅

SSO的工作原理

启用 SSO 后,Docker 支持非 IdP 启动的 SSO 流程以进行用户登录。用户无需使用其 Docker 用户名和密码进行身份验证,而是会被重定向到您的身份提供商的身份验证页面进行登录。用户必须登录 Docker Hub 或 Docker Desktop 才能启动 SSO 身份验证过程。

下图显示了 SSO 在 Docker Hub 和 Docker Desktop 中的运行方式和管理方式。此外,它还提供有关如何在您的 IdP 之间进行身份验证的信息。

SSO architecture

如何设置

SSO 通过以下步骤配置

  1. 配置 SSO,方法是在 Docker 中创建和验证域名。
  2. 创建您的 SSO 连接 在 Docker 和您的 IdP 中。
  3. 互连 Docker 和您的 IdP。
  4. 测试您的连接。
  5. 预配用户。
  6. 可选。 强制登录
  7. 管理您的 SSO 配置.

SSO 配置完成后,首次使用的用户可以使用其公司的域名电子邮件地址登录 Docker Hub 或 Docker Desktop。登录后,他们将被添加到您的公司,分配到一个组织,并在必要时分配到一个团队。

先决条件

配置 SSO 之前,请确保您满足以下先决条件

  • 通知您的公司新的 SSO 登录流程。
  • 验证所有用户是否已安装 Docker Desktop 4.4.2 或更高版本。
  • 如果您的组织计划 强制使用 SSO,则使用 Docker CLI 的成员需要 创建个人访问令牌 (PAT)。PAT 将代替其用户名和密码使用。Docker 计划将来弃用使用密码登录 CLI,因此需要使用 PAT 来防止身份验证问题。有关更多详细信息,请参阅 安全公告
  • 确保所有 Docker 用户在您的 IdP 上都有一个有效的用户,其电子邮件地址与其唯一主要标识符 (UPN) 相同。
  • 确认所有 CI/CD 管道已将其密码替换为 PAT。
  • 对于您的服务帐户,请添加您的其他域名或在您的 IdP 中启用它。

下一步是什么?