SSO 身分識別提供者常見問題
目錄
我可以將多個身分識別提供者與 Docker SSO 一起使用嗎?
可以,Docker 支援多個 IdP 設定。一個網域可以與多個 IdP 關聯。Docker 支援 Entra ID(前身為 Azure AD)以及支援 SAML 2.0 的身分識別提供者。
設定 SSO 後,我可以更改我的身分識別提供者嗎?
可以。在您的 Docker SSO 連線中刪除您現有的 IdP 設定,然後使用您的新 IdP 設定 SSO。如果您之前已開啟強制執行,請在更新提供者連線之前關閉強制執行。
設定 SSO 時,我需要從身分識別提供者取得哪些資訊?
要在 Docker 中開啟 SSO,您需要從 IdP 取得以下資訊:
- SAML:Entity ID、ACS URL、單一登出 (Single Logout) URL 以及公開的 X.509 憑證。
- Entra ID(前身為 Azure AD):Client ID、Client Secret、AD 網域。
如果我現有的憑證過期了會發生什麼事?
如果您的憑證過期,請聯絡您的身分識別提供者以獲取新的 X.509 憑證。然後,在 Docker 管理控制台 (Admin Console) 的 SSO 設定中更新憑證。
如果 SSO 開啟時我的 IdP 故障了會發生什麼事?
如果啟用了 SSO 強制執行,當您的 IdP 故障時,使用者將無法存取 Docker Hub。使用者仍然可以透過 CLI 使用個人存取權杖 (personal access tokens) 來存取 Docker Hub 映像檔。
如果啟用了 SSO 但未強制執行,使用者可以改回使用使用者名稱/密碼進行驗證。
機器人帳號 (bot accounts) 使用 SSO 存取組織時需要授權席位嗎?
是的,機器人帳號與一般使用者一樣需要授權席位,需要在 IdP 中使用非別名的網域電子郵件,並在 Docker Hub 中佔用一個席位。您可以將機器人帳號新增至您的 IdP,並建立存取權杖來取代其他憑證。
SAML SSO 是否使用即時佈建 (Just-in-Time provisioning)?
SSO 實作預設使用即時 (JIT) 佈建。如果您開啟了使用 SCIM 的自動佈建,則可以在管理控制台中選擇性地關閉 JIT。請參閱即時 (Just-in-Time) 佈建。
我的 Entra ID SSO 連線無法運作並顯示錯誤。我該如何進行疑難排解?
請確認您已在 Entra ID 中為您的 SSO 連線設定了必要的 API 權限。您需要在 Entra ID 租用戶中授予管理員同意。請參閱 Entra ID(前身為 Azure AD)說明文件。