配置使用者
目錄
訂閱: Business
適用於: 管理員
配置 SSO 連線後,下一步是配置使用者。此過程確保使用者能夠訪問您的組織。本指南概述了使用者配置和支援的使用者配置方法。
什麼是使用者配置?
使用者配置透過根據您的身份提供者 (IdP) 提供的資料自動執行建立、更新和停用使用者等任務來幫助管理使用者。使用者配置有三種方法,它們各自適用於不同的組織需求:
| 使用者配置方法 | 描述 | Docker 中的預設設定 | 推薦用於 |
|---|---|---|---|
| 即時 (JIT) | 使用者首次透過 SSO 登入時自動建立和配置使用者賬戶 | 預設啟用 | 最適合需要最小化設定、團隊規模較小或安全性要求不高的組織 |
| 跨域身份管理系統 (SCIM) | 持續同步您的 IdP 和 Docker 之間的使用者資料,確保使用者屬性保持最新,無需手動更新 | 預設停用 | 最適合大型組織或使用者資訊或角色經常發生變化的環境 |
| 群組對映 | 將您的 IdP 中的使用者組對映到 Docker 中的特定角色和許可權,從而根據組成員身份實現精細的訪問控制 | 預設停用 | 最適合需要嚴格訪問控制以及根據角色和許可權管理使用者的組織 |
預設使用者配置設定
預設情況下,當您配置 SSO 連線時,Docker 會啟用 JIT 使用者配置。啟用 JIT 後,使用者首次使用您的 SSO 流程登入時會自動建立使用者賬戶。
JIT 使用者配置可能無法提供某些組織所需的控制或安全級別。在這種情況下,可以配置 SCIM 或群組對映,以便管理員能夠更精細地控制使用者訪問和屬性。
SSO 屬性
使用者透過 SSO 登入時,Docker 會從您的 IdP 獲取多個屬性,用於管理使用者的身份和許可權。這些屬性包括:
- 電子郵件地址:使用者的唯一識別符號
- 全名:使用者的完整姓名
- 群組:可選。用於基於群組的訪問控制
- Docker 組織:可選。指定使用者所屬的組織
- Docker 團隊:可選。定義使用者在組織內所屬的團隊
- Docker 角色:可選。決定使用者在 Docker 中的許可權
- Docker 會話時長(分鐘):可選。設定使用者在需要使用身份提供者 (IdP) 重新進行身份驗證之前,會話持續的時長。該值必須是大於 0 的正整數。如果未提供此屬性,則預設情況下:
- Docker Desktop 會在 90 天后或 30 天不活動後將您退出。
- Docker Hub 和 Docker Home 會在 24 小時後將您退出。
如果您的組織使用 SAML 進行 SSO,Docker 會從 SAML 斷言訊息中檢索這些屬性。請注意,不同的 IdP 可能對這些屬性使用不同的名稱。下表列出了 Docker 可能使用的 SAML 屬性:
| SSO 屬性 | SAML 斷言訊息屬性 |
|---|---|
| 電子郵件地址 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", email |
| 全名 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", name, "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"` |
| 群組(可選) | "http://schemas.xmlsoap.org/claims/Group", "http://schemas.microsoft.com/ws/2008/06/identity/claims/groups", Groups, groups |
| Docker 組織(可選) | dockerOrg |
| Docker 團隊(可選) | dockerTeam |
| Docker 角色(可選) | dockerRole |
| Docker 會話時長(分鐘)(可選) | dockerSessionMinutes,必須是大於 0 的正整數 |
下一步?
請查閱使用者配置方法指南,瞭解配置使用者配置方法的步驟