身份提供商
是否可以通过 Docker SSO 使用多个 IdP?
不可以。您只能将 Docker SSO 配置为与单个 IdP 配合使用。域只能与单个 IdP 关联。 Docker 支持 Entra ID(以前称为 Azure AD)和支持 SAML 2.0 的身份提供商。
配置 SSO 后是否可以更改我的身份提供商?
是的。您必须删除 Docker Hub 中的现有 IdP 配置,并按照说明使用 IdP 配置 SSO。如果您已打开强制执行,则应在更新提供商 SSO 连接之前关闭强制执行。
我需要从身份提供商那里获得哪些信息来配置 SSO?
要在 Docker 中启用 SSO,您需要 IdP 提供以下信息:
SAML:实体 ID、ACS URL、单点注销 URL 和公共 X.509 证书
Entra ID(以前称为 Azure AD):客户端 ID、客户端密钥、AD 域。
如果我现有的证书过期会怎样?
如果您的现有证书已过期,您可能需要联系您的身份提供商以检索新的 x509 证书。然后,您需要在 Docker Hub 上的 SSO 配置设置页面中更新证书。
如果启用 SSO 时我的 IdP 出现故障,会发生什么情况?
当您的 IdP 关闭时,无法访问 Docker Hub。但是,您可以使用个人访问令牌从 CLI 访问 Docker Hub 映像。或者,如果您在 SSO 实施之前已有帐户,则可以在组织的宽限期内使用您的用户名和密码访问 Docker Hub 映像。
当我为我的组织或公司关闭 SSO 时会发生什么?
当您关闭 SSO 时,访问 Docker 不需要通过身份提供商进行身份验证。用户可以继续通过单点登录以及 Docker ID 和密码登录。
如何使用 Docker Hub 作为辅助注册表来处理帐户?我需要机器人帐户吗?
您可以将机器人帐户添加到 IDP 并为其创建访问令牌以替换其他凭据。
构建代理 - 对于使用 SSO 的客户,他们是否需要创建一个机器人帐户来填补 dockerorg 中的席位?
是的,机器人帐户需要一个席位,与常规最终用户类似,在 IdP 中启用非别名域电子邮件并使用 Hub 中的席位。
SAML SSO 是否使用即时配置?
测试版功能
当您使用管理控制台时,可选的即时 (JIT) 置备配置仅在 Private Beta 中可用。否则,JIT 默认启用。该功能很快就会向所有用户开放。
默认情况下,SSO 实现使用即时 (JIT) 配置。如果您不想自动配置用户,或者选择使用 SCIM 自动配置,则可以选择禁用 JIT。
是否会有 IdP 发起的登录?
我们目前没有任何计划启用 IdP 发起的登录。
是否可以将 Docker Hub 直接与 Microsoft Entra(以前称为 Azure AD)组连接?
是的,Docker Business 的 SSO 通过直接集成和 SAML 支持 Entra ID(以前称为 Azure AD)。
我与 Entra ID(以前称为 Azure AD)的 SSO 连接无法正常工作,并且收到一条错误消息,指出应用程序配置错误。我该如何解决这个问题?
确认你已在 Entra ID(以前称为 Azure AD)中为 SSO 连接配置了必要的 API 权限。您需要在 Entra ID(以前称为 Azure AD)租户内授予管理员同意。请参阅 Entra ID(以前称为 Azure AD)文档。