SSO 使用者管理常見問題解答
我是否需要手動將使用者新增到我的組織?
不,您無需手動將使用者新增到您的組織。只需確保使用者帳戶在您的 IdP 中存在。當用戶使用其域電子郵件地址登入 Docker 時,他們會在成功身份驗證後自動新增到組織。
使用者是否可以使用不同的電子郵件地址透過 SSO 進行身份驗證?
所有使用者必須使用 SSO 設定期間指定的電子郵件域進行身份驗證。如果未強制執行 SSO,電子郵件地址與已驗證域不匹配的使用者可以作為訪客使用使用者名稱和密碼登入,但前提是他們已收到邀請。
使用者如何知道他們已被新增到 Docker 組織?
啟用 SSO 後,使用者下次登入 Docker Hub 或 Docker Desktop 時會收到透過 SSO 進行身份驗證的提示。系統會檢測他們的域電子郵件並提示他們使用 SSO 憑據登入。
對於 CLI 訪問,使用者必須使用個人訪問令牌進行身份驗證。
我是否可以將現有使用者從非 SSO 帳戶轉換為 SSO 帳戶?
是的,您可以將現有使用者轉換為 SSO 帳戶。請確保使用者擁有:
- 公司域電子郵件地址和 IdP 中的帳戶
- Docker Desktop 4.4.2 或更高版本
- 已建立個人訪問令牌以替換 CLI 訪問密碼
- 已更新 CI/CD 管道以使用 PAT 而不是密碼
有關詳細說明,請參閱配置單點登入。
Docker SSO 是否與 IdP 完全同步?
Docker SSO 預設提供即時 (JIT) 預配。使用者在透過 SSO 進行身份驗證時進行預配。如果使用者離開組織,管理員必須手動從組織中移除該使用者。
SCIM 提供與使用者和組的完全同步。使用 SCIM 時,建議的配置是關閉 JIT,以便所有自動預配都由 SCIM 處理。
此外,您還可以使用 Docker Hub API 完成此過程。
關閉即時預配如何影響使用者登入?
當 JIT 關閉時(在管理員控制檯中使用 SCIM 可用),使用者必須是組織成員或有待處理的邀請才能訪問 Docker。不符合這些條件的使用者會收到“訪問被拒絕”錯誤,並且需要管理員邀請。
是否有人可以在沒有邀請的情況下加入組織?
沒有 SSO 則不行。加入需要組織所有者的邀請。當強制執行 SSO 時,擁有已驗證域電子郵件的使用者在登入時可以自動加入組織。
啟用 SCIM 後,現有許可使用者會發生什麼?
啟用 SCIM 不會立即移除或修改現有的許可使用者。他們保留當前的訪問許可權和角色,但在 SCIM 啟用後,您將透過您的 IdP 管理他們。如果稍後關閉 SCIM,以前由 SCIM 管理的使用者將保留在 Docker 中,但不再根據您的 IdP 自動更新。
使用者資訊在 Docker Hub 中是否可見?
所有 Docker 帳戶都擁有與其名稱空間關聯的公共配置檔案。如果您不希望使用者資訊(如全名)可見,請從 SSO 和 SCIM 對映中移除這些屬性,或使用不同的識別符號替換使用者的全名。