SSO 用户管理常见问题解答

目录

我是否需要手动将用户添加到我的组织?

不,您无需手动将用户添加到您的组织。只需确保用户帐户在您的 IdP 中存在。当用户使用其域电子邮件地址登录 Docker 时,他们会在成功身份验证后自动添加到组织。

用户是否可以使用不同的电子邮件地址通过 SSO 进行身份验证?

所有用户必须使用 SSO 设置期间指定的电子邮件域进行身份验证。如果未强制执行 SSO,电子邮件地址与已验证域不匹配的用户可以作为访客使用用户名和密码登录,但前提是他们已收到邀请。

用户如何知道他们已被添加到 Docker 组织?

启用 SSO 后,用户下次登录 Docker Hub 或 Docker Desktop 时会收到通过 SSO 进行身份验证的提示。系统会检测他们的域电子邮件并提示他们使用 SSO 凭据登录。

对于 CLI 访问,用户必须使用个人访问令牌进行身份验证。

我是否可以将现有用户从非 SSO 帐户转换为 SSO 帐户?

是的,您可以将现有用户转换为 SSO 帐户。请确保用户拥有:

  • 公司域电子邮件地址和 IdP 中的帐户
  • Docker Desktop 4.4.2 或更高版本
  • 已创建个人访问令牌以替换 CLI 访问密码
  • 已更新 CI/CD 管道以使用 PAT 而不是密码

有关详细说明,请参阅配置单点登录

Docker SSO 是否与 IdP 完全同步?

Docker SSO 默认提供即时 (JIT) 预配。用户在通过 SSO 进行身份验证时进行预配。如果用户离开组织,管理员必须手动从组织中移除该用户

SCIM 提供与用户和组的完全同步。使用 SCIM 时,建议的配置是关闭 JIT,以便所有自动预配都由 SCIM 处理。

此外,您还可以使用 Docker Hub API 完成此过程。

关闭即时预配如何影响用户登录?

当 JIT 关闭时(在管理员控制台中使用 SCIM 可用),用户必须是组织成员或有待处理的邀请才能访问 Docker。不符合这些条件的用户会收到“访问被拒绝”错误,并且需要管理员邀请。

请参阅禁用 JIT 预配的 SSO 身份验证

是否有人可以在没有邀请的情况下加入组织?

没有 SSO 则不行。加入需要组织所有者的邀请。当强制执行 SSO 时,拥有已验证域电子邮件的用户在登录时可以自动加入组织。

启用 SCIM 后,现有许可用户会发生什么?

启用 SCIM 不会立即移除或修改现有的许可用户。他们保留当前的访问权限和角色,但在 SCIM 激活后,您将通过您的 IdP 管理他们。如果稍后关闭 SCIM,以前由 SCIM 管理的用户将保留在 Docker 中,但不再根据您的 IdP 自动更新。

用户信息在 Docker Hub 中是否可见?

所有 Docker 帐户都拥有与其命名空间关联的公共配置文件。如果您不希望用户信息(如全名)可见,请从 SSO 和 SCIM 映射中移除这些属性,或使用不同的标识符替换用户的全名。

© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.