即时配置
目录
即时 (JIT) 配置通过在 SSO 认证期间自动创建和更新用户帐户来简化用户入职。这消除了手动帐户创建,并确保用户可以立即访问组织的资源。JIT 验证用户是否属于该组织,并根据您的身份提供商 (IdP) 配置将其分配到相应的团队。创建 SSO 连接时,JIT 配置默认启用。
本页解释了 JIT 配置的工作原理、SSO 认证流程以及如何禁用 JIT 配置。
先决条件
在开始之前,您必须拥有
- 为您的组织配置了 SSO
- Docker Home 和您的身份提供商的管理员访问权限
启用 JIT 配置的 SSO 认证
当用户通过 SSO 登录且您启用了 JIT 配置时,会自动执行以下步骤
系统检查是否存在与用户电子邮件地址关联的 Docker 帐户。
- 如果帐户存在:系统使用现有帐户并根据需要更新用户的全名。
- 如果帐户不存在:系统会使用基本用户属性(电子邮件、姓名和姓氏)创建一个新的 Docker 帐户。根据用户的电子邮件、姓名和随机数生成一个唯一的用户名,以确保所有用户名在平台中都是唯一的。
系统检查是否有待处理的 SSO 组织邀请。
- 找到邀请:邀请自动接受。
- 邀请包含特定组:用户被添加到 SSO 组织内的该组。
系统验证 IdP 是否在认证期间共享了组映射。
- 提供了组映射:用户被分配到相关的组织和团队。
- 未提供组映射:系统检查用户是否已属于该组织。如果不是,则用户被添加到 SSO 连接中配置的默认组织和团队。
下图概述了启用 JIT 的 SSO 认证
禁用 JIT 配置的 SSO 认证
当 JIT 配置被禁用时,SSO 认证期间会发生以下操作
系统检查是否存在与用户电子邮件地址关联的 Docker 帐户。
- 如果帐户存在:系统使用现有帐户并根据需要更新用户的全名。
- 如果帐户不存在:系统会使用基本用户属性(电子邮件、姓名和姓氏)创建一个新的 Docker 帐户。根据用户的电子邮件、姓名和随机数生成一个唯一的用户名,以确保所有用户名在平台中都是唯一的。
系统检查是否有待处理的 SSO 组织邀请。
- 找到邀请:如果用户是组织的成员或有待处理的邀请,则登录成功,并且邀请自动接受。
- 未找到邀请:如果用户不是组织的成员且没有待处理的邀请,则登录失败,并出现“
访问被拒绝”错误。用户必须联系管理员才能被邀请加入组织。
禁用 JIT 后,只有在启用 SCIM 的情况下才能使用组映射。如果未启用 SCIM,则用户将不会自动配置到组中。
下图概述了禁用 JIT 的 SSO 认证
禁用 JIT 配置
警告禁用 JIT 配置可能会中断您的用户访问和工作流程。禁用 JIT 后,用户将不会自动添加到您的组织。用户必须已是组织的成员或有待处理的邀请才能通过 SSO 成功登录。要通过禁用 JIT 自动配置用户,请使用 SCIM。
您可能希望禁用 JIT 配置的原因如下:
- 您有多个组织,已启用 SCIM,并且希望 SCIM 成为配置的单一数据源
- 您希望根据组织的安全性配置控制和限制使用,并希望使用 SCIM 配置访问权限
用户默认通过 JIT 进行配置。如果您启用 SCIM,则可以禁用 JIT
- 转到Docker Home并选择您的组织。
- 选择管理控制台,然后选择SSO 和 SCIM。
- 在SSO 连接表中,选择操作图标,然后选择禁用 JIT 配置。
- 选择禁用以确认。