SSO 使用者管理常見問題

目錄

我需要手動將使用者新增至我的組織嗎?

不需要,您不需要手動將使用者新增至組織。只需確保使用者帳號存在於您的 IdP 中即可。當使用者使用其網域電子郵件地址登入 Docker 時,他們會在驗證成功後自動被新增至組織。

使用者可以使用不同的電子郵件地址透過 SSO 進行驗證嗎?

所有使用者都必須使用在 SSO 設定期間指定的電子郵件網域進行驗證。如果未強制執行 SSO,電子郵件地址與驗證網域不符的使用者,在受到邀請的情況下,仍可以使用使用者名稱和密碼以訪客身分登入。

使用者如何知道他們被新增至 Docker 組織?

啟用 SSO 後,使用者在下次登入 Docker Hub 或 Docker Desktop 時,系統會提示他們透過 SSO 進行驗證。系統會偵測到他們的網域電子郵件,並提示他們改用 SSO 憑證登入。

對於 CLI 存取,使用者必須使用個人存取權杖 (PAT) 進行驗證。

我可以將現有的非 SSO 使用者帳號轉換為 SSO 帳號嗎?

可以,您可以將現有的使用者轉換為 SSO 帳號。請確保使用者具備以下條件:

  • 公司網域電子郵件地址與您 IdP 中的帳號
  • Docker Desktop 4.4.2 或更新版本
  • 已建立個人存取權杖 (PAT) 以取代 CLI 存取的密碼
  • 已更新 CI/CD 管線以使用 PAT 取代密碼

詳細說明請參閱 設定單一登入 (SSO)

Docker SSO 是否與身分識別提供者 (IdP) 完全同步?

Docker SSO 預設提供即時 (JIT) 配置。當使用者使用 SSO 驗證時,系統會自動配置使用者。若使用者離開組織,管理員必須手動從組織中 移除該成員

SCIM 可與使用者和群組進行完全同步。使用 SCIM 時,建議的組態是關閉 JIT,以便所有自動配置均由 SCIM 處理。

此外,您可以使用 Docker Hub API 來完成此程序。

關閉即時 (Just-in-Time, JIT) 配置對使用者登入有什麼影響?

當 JIT 關閉時(在管理主控台的 SCIM 功能中提供),使用者必須是組織成員或擁有待處理邀請才能存取 Docker。未達到這些標準的使用者會收到「存取被拒 (Access denied)」錯誤,且需要管理員邀請。

請參閱 停用 JIT 配置的 SSO 驗證

有人可以在沒有邀請的情況下加入組織嗎?

在沒有 SSO 的情況下是不行的。加入組織需要組織擁有者的邀請。強制執行 SSO 時,具有已驗證網域電子郵件的使用者在登入時可以自動加入組織。

啟用 SCIM 後,現有的授權使用者會發生什麼事?

啟用 SCIM 不會立即移除或修改現有的授權使用者。他們會保留目前的存取權限與角色,但 SCIM 啟用後,您將透過您的 IdP 管理他們。如果之後關閉 SCIM,先前由 SCIM 管理的使用者會留在 Docker 中,但不再會根據您的 IdP 自動更新。

使用者資訊在 Docker Hub 中是可見的嗎?

所有 Docker 帳號都有與其命名空間相關聯的公開個人檔案。如果您不希望公開使用者資訊(例如全名),請從您的 SSO 與 SCIM 對應中移除這些屬性,或使用不同的識別碼來取代使用者的全名。

© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.