SSO 身份提供商常見問題
目錄
我可以將多個身份提供商與 Docker SSO 配合使用嗎?
是的,Docker 支援多種 IdP 配置。一個域可以與多個 IdP 關聯。Docker 支援 Entra ID(以前稱為 Azure AD)和支援 SAML 2.0 的身份提供商。
配置 SSO 後,我可以更改我的身份提供商嗎?
是的。刪除 Docker SSO 連線中現有的 IdP 配置,然後使用新的 IdP 配置 SSO。如果您已開啟強制執行,請在更新提供商連線之前關閉強制執行。
配置 SSO,我需要從我的身份提供商那裡獲取哪些資訊?
要在 Docker 中開啟 SSO,您需要從 IdP 獲取以下資訊:
- SAML:實體 ID、ACS URL、單點登出 URL 和公共 X.509 證書
- Entra ID(以前稱為 Azure AD):客戶端 ID、客戶端金鑰、AD 域
如果我現有的證書過期會怎樣?
如果您的證書過期,請聯絡您的身份提供商以獲取新的 X.509 證書。然後在 Docker 管理控制檯的SSO 配置設定中更新證書。
如果 SSO 開啟時我的 IdP 宕機了會怎樣?
如果強制執行 SSO,當您的 IdP 宕機時,使用者將無法訪問 Docker Hub。使用者仍然可以使用個人訪問令牌從 CLI 訪問 Docker Hub 映象。
如果 SSO 已開啟但未強制執行,使用者可以回退到使用者名稱/密碼認證。
使用 SSO 訪問組織的機器人賬戶需要席位嗎?
是的,機器人賬戶需要像普通使用者一樣佔用席位,需要在 IdP 中使用非別名域郵箱,並在 Docker Hub 中佔用一個席位。您可以將機器人賬戶新增到您的 IdP 並建立訪問令牌來替換其他憑據。
SAML SSO 使用即時 (Just-in-Time) 調配嗎?
SSO 實現預設使用即時 (JIT) 調配。如果您使用 SCIM 開啟自動調配,您可以在管理控制檯中選擇關閉 JIT。請參閱即時調配。
我的 Entra ID SSO 連線不工作並顯示錯誤。如何進行故障排除?
確認您已在 Entra ID 中為您的 SSO 連線配置了必要的 API 許可權。您需要您的 Entra ID 租戶中授予管理員同意。請參閱Entra ID(以前稱為 Azure AD)文件。