即時配置
目錄
即時 (JIT) 配置透過在 SSO 認證期間自動建立和更新使用者帳戶來簡化使用者入職。這消除了手動帳戶建立,並確保使用者可以立即訪問組織的資源。JIT 驗證使用者是否屬於該組織,並根據您的身份提供商 (IdP) 配置將其分配到相應的團隊。建立 SSO 連線時,JIT 配置預設啟用。
本頁解釋了 JIT 配置的工作原理、SSO 認證流程以及如何停用 JIT 配置。
先決條件
在開始之前,您必須擁有
- 為您的組織配置了 SSO
- Docker Home 和您的身份提供商的管理員訪問許可權
啟用 JIT 配置的 SSO 認證
當用戶透過 SSO 登入且您啟用了 JIT 配置時,會自動執行以下步驟
系統檢查是否存在與使用者電子郵件地址關聯的 Docker 帳戶。
- 如果帳戶存在:系統使用現有帳戶並根據需要更新使用者的全名。
- 如果帳戶不存在:系統會使用基本使用者屬性(電子郵件、姓名和姓氏)建立一個新的 Docker 帳戶。根據使用者的電子郵件、姓名和隨機數生成一個唯一的使用者名稱,以確保所有使用者名稱在平臺中都是唯一的。
系統檢查是否有待處理的 SSO 組織邀請。
- 找到邀請:邀請自動接受。
- 邀請包含特定組:使用者被新增到 SSO 組織內的該組。
系統驗證 IdP 是否在認證期間共享了組對映。
- 提供了組對映:使用者被分配到相關的組織和團隊。
- 未提供組對映:系統檢查使用者是否已屬於該組織。如果不是,則使用者被新增到 SSO 連線中配置的預設組織和團隊。
下圖概述了啟用 JIT 的 SSO 認證
停用 JIT 配置的 SSO 認證
當 JIT 配置被停用時,SSO 認證期間會發生以下操作
系統檢查是否存在與使用者電子郵件地址關聯的 Docker 帳戶。
- 如果帳戶存在:系統使用現有帳戶並根據需要更新使用者的全名。
- 如果帳戶不存在:系統會使用基本使用者屬性(電子郵件、姓名和姓氏)建立一個新的 Docker 帳戶。根據使用者的電子郵件、姓名和隨機數生成一個唯一的使用者名稱,以確保所有使用者名稱在平臺中都是唯一的。
系統檢查是否有待處理的 SSO 組織邀請。
- 找到邀請:如果使用者是組織的成員或有待處理的邀請,則登入成功,並且邀請自動接受。
- 未找到邀請:如果使用者不是組織的成員且沒有待處理的邀請,則登入失敗,並出現“
訪問被拒絕”錯誤。使用者必須聯絡管理員才能被邀請加入組織。
停用 JIT 後,只有在啟用 SCIM 的情況下才能使用組對映。如果未啟用 SCIM,則使用者將不會自動配置到組中。
下圖概述了停用 JIT 的 SSO 認證
停用 JIT 配置
警告停用 JIT 配置可能會中斷您的使用者訪問和工作流程。停用 JIT 後,使用者將不會自動新增到您的組織。使用者必須已是組織的成員或有待處理的邀請才能透過 SSO 成功登入。要透過停用 JIT 自動配置使用者,請使用 SCIM。
您可能希望停用 JIT 配置的原因如下:
- 您有多個組織,已啟用 SCIM,並且希望 SCIM 成為配置的單一資料來源
- 您希望根據組織的安全性配置控制和限制使用,並希望使用 SCIM 配置訪問許可權
使用者預設透過 JIT 進行配置。如果您啟用 SCIM,則可以停用 JIT
- 轉到Docker Home並選擇您的組織。
- 選擇管理控制檯,然後選擇SSO 和 SCIM。
- 在SSO 連線表中,選擇操作圖示,然後選擇停用 JIT 配置。
- 選擇停用以確認。