配置使用者
目錄
配置 SSO 連線後,下一步是配置使用者。此過程透過自動化使用者管理確保使用者可以訪問您的組織。
本頁概述了使用者配置以及支援的配置方法。
什麼是配置?
配置有助於透過根據身份提供商 (IdP) 資料自動執行賬戶建立、更新和停用等任務來管理使用者。使用者配置有三種方法,每種方法都為不同的組織需求提供優勢
| 配置方法 | 描述 | Docker 中的預設設定 | 推薦用於 |
|---|---|---|---|
| 即時 (JIT) | 當用戶首次透過 SSO 登入時自動建立並配置使用者賬戶 | 預設啟用 | 需要最少設定、小型團隊或低安全環境的組織 |
| 跨域身份管理系統 (SCIM) | 持續同步 IdP 和 Docker 之間的使用者資料,確保使用者屬性無需手動干預即可保持更新 | 預設停用 | 使用者資訊或角色頻繁變更的大型組織或環境 |
| 組對映 | 將 IdP 中的使用者組對映到 Docker 中的特定角色和許可權,從而根據組成員身份實現細粒度訪問控制 | 預設停用 | 需要嚴格訪問控制和基於角色的使用者管理的組織 |
預設配置設定
預設情況下,當您配置 SSO 連線時,Docker 會啟用 JIT 配置。啟用 JIT 後,使用者首次使用 SSO 流程登入時會自動建立使用者賬戶。
JIT 配置可能無法為某些組織提供足夠的控制或安全性。在這種情況下,可以配置 SCIM 或組對映,以使管理員能夠更好地控制使用者訪問和屬性。
SSO 屬性
當用戶透過 SSO 登入時,Docker 從您的 IdP 獲取多個屬性來管理使用者的身份和許可權。這些屬性包括
- 電子郵件地址:使用者的唯一識別符號
- 全名:使用者的完整姓名
- 群組:可選。用於基於群組的訪問控制
- Docker 組織:可選。指定使用者所屬的組織
- Docker 團隊:可選。定義使用者在組織中所屬的團隊
- Docker 角色:可選。確定使用者在 Docker 中的許可權
- Docker 會話分鐘數:可選。設定會話持續時間,在此之後使用者必須重新使用其 IdP 進行身份驗證。必須是大於 0 的正整數。如果未提供,則應用預設會話超時
注意當未指定 Docker 會話分鐘數時,應用預設會話超時。Docker Desktop 會話在 90 天后或不活動 30 天后過期。Docker Hub 和 Docker Home 會話在 24 小時後過期。
SAML 屬性對映
如果您的組織使用 SAML 進行 SSO,Docker 會從 SAML 斷言訊息中檢索這些屬性。不同的 IdP 可能會對這些屬性使用不同的名稱。
| SSO 屬性 | SAML 斷言訊息屬性 |
|---|---|
| 電子郵件地址 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", email |
| 全名 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", name, "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" |
| 群組(可選) | "http://schemas.xmlsoap.org/claims/Group", "http://schemas.microsoft.com/ws/2008/06/identity/claims/groups", Groups, groups |
| Docker 組織(可選) | dockerOrg |
| Docker 團隊(可選) | dockerTeam |
| Docker 角色(可選) | dockerRole |
| Docker 會話分鐘數(可選) | dockerSessionMinutes,必須是大於 0 的正整數 |
後續步驟
選擇最適合您組織需求的配置方法