SSO 身份提供商常见问题
目录
我可以将多个身份提供商与 Docker SSO 配合使用吗?
是的,Docker 支持多种 IdP 配置。一个域可以与多个 IdP 关联。Docker 支持 Entra ID(以前称为 Azure AD)和支持 SAML 2.0 的身份提供商。
配置 SSO 后,我可以更改我的身份提供商吗?
是的。删除 Docker SSO 连接中现有的 IdP 配置,然后使用新的 IdP 配置 SSO。如果您已开启强制执行,请在更新提供商连接之前关闭强制执行。
配置 SSO,我需要从我的身份提供商那里获取哪些信息?
要在 Docker 中开启 SSO,您需要从 IdP 获取以下信息:
- SAML:实体 ID、ACS URL、单点登出 URL 和公共 X.509 证书
- Entra ID(以前称为 Azure AD):客户端 ID、客户端密钥、AD 域
如果我现有的证书过期会怎样?
如果您的证书过期,请联系您的身份提供商以获取新的 X.509 证书。然后在 Docker 管理控制台的SSO 配置设置中更新证书。
如果 SSO 开启时我的 IdP 宕机了会怎样?
如果强制执行 SSO,当您的 IdP 宕机时,用户将无法访问 Docker Hub。用户仍然可以使用个人访问令牌从 CLI 访问 Docker Hub 镜像。
如果 SSO 已开启但未强制执行,用户可以回退到用户名/密码认证。
使用 SSO 访问组织的机器人账户需要席位吗?
是的,机器人账户需要像普通用户一样占用席位,需要在 IdP 中使用非别名域邮箱,并在 Docker Hub 中占用一个席位。您可以将机器人账户添加到您的 IdP 并创建访问令牌来替换其他凭据。
SAML SSO 使用即时 (Just-in-Time) 调配吗?
SSO 实现默认使用即时 (JIT) 调配。如果您使用 SCIM 开启自动调配,您可以在管理控制台中选择关闭 JIT。请参阅即时调配。
我的 Entra ID SSO 连接不工作并显示错误。如何进行故障排除?
确认您已在 Entra ID 中为您的 SSO 连接配置了必要的 API 权限。您需要您的 Entra ID 租户中授予管理员同意。请参阅Entra ID(以前称为 Azure AD)文档。