完成您的单点登录连接
设置 SSO 配置的步骤如下:
- 添加并验证您的成员用来登录 Docker 的域。
- 在 Docker 中创建您的 SSO 连接。
- 配置您的 IdP 以与 Docker 协同工作。
- 完成您在 Docker 中的 SSO 连接。
本页面将引导您完成创建 SSO 连接的最后几个步骤。然后,您可以测试您的连接,并选择为您的组织强制执行 SSO。
先决条件
开始之前,请确保您已完成以下步骤:
- 您的域已验证
- 您已在 Docker 中创建了 SSO 连接
- 您已使用 Docker 连接中的相应值配置了 IdP
- 您已将以下内容从您的 IdP 粘贴到 Docker 控制台中的设置中:
- SAML:SAML 登录 URL、x509 证书
- Azure AD (OIDC):客户端 ID、客户端密钥、Azure AD 域
步骤四:完成您的 SSO 连接
- 在 管理控制台中,选择您要应用连接的已验证域。
- 要预配您的用户,请选择组织和/或团队。
- 查看摘要并选择创建连接。
测试您的 SSO 配置
在 Docker 中完成 SSO 配置过程后,您可以在使用隐身浏览器登录 管理控制台时测试配置。使用您的域电子邮件地址登录 管理控制台。
- 通过电子邮件进行身份验证,而不是使用您的 Docker ID,并测试登录过程。
- 要通过 CLI 进行身份验证,您的用户必须在为 CLI 用户强制执行 SSO 之前拥有 PAT。
重要
SSO 默认情况下启用了即时预配(JIT),除非您已 禁用它。这意味着您的用户会自动预配到您的组织。
您可以逐个应用程序更改此设置。要阻止自动预配用户,您可以在 IdP 中创建一个安全组,并配置 SSO 应用程序仅对属于该安全组的用户进行身份验证和授权。请遵循 IdP 提供的说明
或者,请参阅 管理用户预配方式。
SSO 连接现已创建。您可以继续设置 SCIM,而无需强制执行 SSO 登录。有关设置 SCIM 的更多信息,请参阅 设置 SCIM。
可选:强制执行 SSO
登录 管理控制台。
在左侧导航下拉菜单中选择您的组织或公司,然后选择SSO 和 SCIM。
在 SSO 连接表中,选择操作图标,然后选择启用强制执行。
强制执行 SSO 后,您的用户将无法修改其电子邮件地址和密码、将用户帐户转换为组织或通过 Docker Hub 设置 2FA。您必须通过 IdP 启用 2FA。
继续执行屏幕上的说明,并验证您已完成所有任务。
选择启用强制执行以完成。
您的用户现在必须使用 SSO 登录 Docker。
重要
如果没有强制执行 SSO,用户可以选择使用其 Docker ID 或 SSO 登录。
- 在 Docker Hub中,选择您要应用连接的已验证域。
- 要预配您的用户,请选择组织和/或团队。
- 查看摘要并选择创建连接。
测试您的 SSO 配置
在 Docker 中完成 SSO 配置过程后,您可以在使用隐身浏览器登录 Docker Hub时测试配置。使用您的域电子邮件地址登录 Docker Hub。
- 通过电子邮件进行身份验证,而不是使用您的 Docker ID,并测试登录过程。
- 要通过 CLI 进行身份验证,您的用户必须在为 CLI 用户强制执行 SSO 之前拥有 PAT。
重要
SSO 默认情况下启用了即时预配(JIT),除非您已 禁用它。这意味着您的用户会自动预配到您的组织。
您可以逐个应用程序更改此设置。要阻止自动预配用户,您可以在 IdP 中创建一个安全组,并配置 SSO 应用程序仅对属于该安全组的用户进行身份验证和授权。请遵循 IdP 提供的说明
或者,请参阅 管理用户预配方式。
SSO 连接现已创建。您可以继续设置 SCIM,而无需强制执行 SSO 登录。有关设置 SCIM 的更多信息,请参阅 设置 SCIM。
可选:强制执行 SSO
登录 Docker Hub。
导航到您组织或公司的 SSO 设置页面。
- 组织:选择组织、您的组织、设置,然后选择安全。
- 公司:选择组织、您的公司,然后选择设置。
在 SSO 连接表中,选择操作图标,然后选择启用强制执行。
强制执行 SSO 后,您的用户将无法修改其电子邮件地址和密码、将用户帐户转换为组织或通过 Docker Hub 设置 2FA。您必须通过 IdP 启用 2FA。
继续执行屏幕上的说明,并验证您已完成所有任务。
选择启用强制执行以完成。
您的用户现在必须使用 SSO 登录 Docker。
重要
如果没有强制执行 SSO,用户可以选择使用其 Docker ID 或 SSO 登录。
更多资源
以下视频演示了如何强制执行 SSO。
下一步
了解如何 管理您的 SSO 连接、域和用户,以管理您的组织或公司。