执行
我们目前有 Docker Team 订阅。我们如何启用 SSO?
SSO 可通过 Docker Business 订阅使用。要启用 SSO,您必须首先将订阅升级到 Docker Business 订阅。要了解如何升级现有帐户,请参阅 升级您的订阅。
服务帐户如何与 SSO 配合使用?
打开 SSO 后,服务帐户的工作方式与任何其他用户一样。如果服务帐户使用打开了 SSO 的域的电子邮件,则需要 PAT 才能使用 CLI 和 API。
启用 SSO 是否需要 DNS 验证?
是的。您必须先验证域,然后才能将其用于 SSO 连接。
Docker SSO 是否支持通过命令行进行身份验证?
是的。强制执行 SSO 后,您可以通过个人访问令牌 (PAT) 访问 Docker CLI。每个用户必须创建一个 PAT 才能访问 CLI。要了解如何创建 PAT,请参阅 管理访问令牌。
SSO 如何影响我们的自动化系统和 CI/CD 管道?
在实施 SSO 之前,您必须为自动化系统和 CI/CD 管道创建 PAT,并使用令牌而不是密码。
我有一个用户在 Docker Desktop 中处理项目,但使用个人电子邮件或不使用电子邮件进行身份验证。他们购买 Docker Business 许可证后,将通过 Okta 实施和执行 SSO 来管理其用户。当该用户登录 SSO 时,他们在 DD 上的工作是否会因迁移到新帐户而受到损害/影响?
如果他们的帐户上已有组织电子邮件,则该电子邮件将迁移到 SSO。
如果组织启用 SSO,则所有者可以控制与其工作电子邮件域关联的 Docker ID。其中一些 Docker ID 不会是 Docker Desktop 的用户,因此不需要企业订阅。所有者可以选择将哪些 Docker ID 添加到其 Docker 组织并访问业务功能吗?有没有办法标记这些 Docker ID 中哪些是 Docker Desktop 用户?
SSO 强制执行将适用于任何域电子邮件用户,并自动将该用户添加到启用强制执行的 Docker Hub 组织。管理员可以手动从组织中删除用户,但如果强制执行 SSO,这些用户将无法进行身份验证。
我可以启用 SSO 并推迟执行选项吗?
是的,您可以选择不强制执行,并且用户可以选择在登录屏幕上使用 Docker ID(标准电子邮件/密码)或电子邮件地址 (SSO)。
SSO 是强制执行的,但我们的一位用户连接到多个组织(以及多个电子邮件地址),并且能够绕过 SSO 并通过用户名和密码登录。为什么会发生这种情况?
如果用户用于登录的电子邮件与用于 SSO 强制执行的组织电子邮件不匹配,则用户可以绕过 SSO。
有没有办法在投入生产之前使用 Okta 在测试租户中测试此功能?
是的,您可以创建一个测试组织。公司可以在新组织上设置新的 5 席位业务计划来进行测试(确保仅启用 SSO,而不是强制执行,否则所有域电子邮件用户将被迫登录该测试租户)。
一旦我们为 Docker Desktop 启用 SSO,对使用服务帐户的构建系统的流程有何影响?
如果启用 SSO,目前没有影响。我们将继续支持用户名/密码或个人访问令牌登录。但是,如果您强制执行 SSO:
- 服务帐户域电子邮件地址必须未使用别名并在其 IdP 中启用
- 用户名/密码和个人访问令牌仍然有效(但前提是它们存在,而新帐户则不会)
- 知道 IdP 凭据的人可以通过 Hub 上的 SSO 以该服务帐户身份登录,并创建或更改该服务帐户的个人访问令牌。
强制执行单点登录与强制登录 Docker Desktop 相同吗?
不。它们是不同的功能,您可以单独或一起使用。
强制执行 SSO 可确保用户使用其 SSO 凭据而不是 Docker ID 登录。 SSO 的好处之一是您可以更好地管理用户凭据。
强制登录 Docker Desktop 可确保用户始终登录属于组织成员的帐户。好处是您组织的安全设置始终应用于用户的会话,并且您的用户始终可以从您的订阅中受益。有关更多详细信息,请参阅 强制桌面登录。