管理用户

使用 SSO 时如何管理用户?

您可以通过 Docker Hub 中的组织来管理用户。在 Docker 中配置 SSO 时,您需要确保 IdP 帐户中的每个用户都存在一个帐户。当用户首次使用域电子邮件地址登录 Docker 时,身份验证成功后,他们将自动添加到组织中。

我需要手动将用户添加到我的组织吗?

不,您不需要在 Docker Hub 中手动将用户添加到您的组织。您只需确保 IdP 中存在您的用户帐户即可。当用户登录 Docker Hub 时,系统会使用其域电子邮件地址自动将他们分配给组织。

当用户首次使用域电子邮件地址登录 Docker 时,身份验证成功后,他们将自动添加到组织中。

我的组织中的用户可以使用不同的电子邮件地址通过 SSO 进行身份验证吗?

在 SSO 设置期间,您必须指定允许进行身份验证的公司电子邮件域。您组织中的所有用户都必须使用 SSO 设置期间指定的电子邮件域进行身份验证。您的一些用户可能希望为其个人项目维护不同的帐户。

具有公共域电子邮件地址的用户将被添加为访客。

Docker 组织所有者/管理员/公司所有者是否可以批准用户加入组织并使用席位,而不是在启用 SSO 时自动添加用户?

管理员、组织所有者和公司所有者可以通过 IdP 配置用户的权限来批准用户。如果在 IdP 中配置了用户帐户,只要有可用席位,该用户就会自动添加到 Docker Hub 中的组织中。

如何让用户知道他们正在成为 Docker 组织的一部分?

启用 SSO 后,系统将提示用户在下次尝试登录 Docker Hub 或 Docker Desktop 时通过 SSO 进行身份验证。系统将看到最终用户拥有与他们尝试进行身份验证的 Docker ID 关联的域电子邮件,并提示他们使用 SSO 电子邮件和凭据登录。

如果用户尝试通过 CLI 登录,则必须使用个人访问令牌 (PAT) 进行身份验证。

是否可以强制 Docker Desktop 用户进行身份验证,和/或使用其公司的域进行身份验证?

是的。管理员可以通过配置配置文件强制用户使用 Docker Desktop 进行身份验证 registry.json。该文件将强制用户以文件列​​表registry.json中配置的用户身份进行身份验证。allowedOrgsregistry.json

一旦在 Hub 上的 Docker 业务组织或公司上设置了 SSO 强制执行,当用户被迫使用 Docker Desktop 进行身份验证时,SSO 强制执行还将强制用户通过 SSO 使用其 IdP 进行身份验证(而不是使用用户名和密码进行身份验证) )。

用户仍然可以使用非域电子邮件地址作为“访客”帐户进行身份验证。但是,如果非域电子邮件受到邀请,他们只能以访客身份进行身份验证。

是否可以将现有用户从非 SSO 帐户转换为 SSO 帐户?

是的,您可以将现有用户转换为 SSO 帐户。要从非 SSO 帐户转换用户:

  • 确保您的用户拥有公司域电子邮件地址并且他们在您的 IdP 中拥有帐户。
  • 验证所有用户的计算机上是否安装了 Docker Desktop 4.4.2 或更高版本。
  • 每个用户都创建了一个 PAT 来替换其密码,以允许他们通过 Docker CLI 登录。
  • 确认所有 CI/CD 管道自动化系统已将其密码替换为 PAT。

有关如何启用 SSO 的详细先决条件和说明,请参阅 配置单点登录

一旦我们开始让用户加入 SSO 帐户,他们会收到什么影响?

启用并强制执行 SSO 后,您的用户只需使用电子邮件地址和密码登录即可。

Docker SSO 是否与 IdP 完全同步?

测试版功能

当您使用管理控制台时,可选的即时 (JIT) 置备配置仅在 Private Beta 中可用。否则,JIT 默认启用。该功能很快就会向所有用户开放。

Docker SSO 默认提供即时 (JIT) 配置,并提供禁用 JIT 的选项。当用户使用 SSO 进行身份验证时,就会配置用户。如果用户离开组织,管理员必须登录 Docker Hub 并手动 从组织中删除该用户。

SCIM可提供与用户和组的完全同步。当您使用 SCIM 自动配置用户时,建议的配置是禁用 JIT,以便所有自动配置都由 SCIM 处理。

此外,您可以使用 Docker Hub API来完成此过程。

禁用即时配置对用户登录有何影响?

测试版功能

当您使用管理控制台时,可选的即时 (JIT) 置备配置仅在 Private Beta 中可用。否则,JIT 默认启用。该功能很快就会向所有用户开放。

如果用户尝试使用作为 SSO 连接经过验证的域的电子邮件地址登录 Docker,则他们需要成为组织的成员才能访问它,或者有待处理的组织邀请。不满足这些条件的用户将遇到Access denied错误,并且需要管理员邀请他们加入组织。

请参阅 禁用 JIT 配置的 SSO 身份验证

要自动配置用户而不需要 JIT 配置,您可以使用 SCIM

在没有 SSO 的情况下配置 Docker 订阅的最佳方式是什么?

公司或组织所有者可以通过 Docker Hub UI、电子邮件地址(适用于任何用户)或 Docker ID(假设用户已在 Hub 上创建用户帐户)来邀请用户。

是的,如果您通过电子邮件地址将用户添加到组织,他们将收到电子邮件邀请。如果通过 Docker ID 作为现有用户受到邀请,他们将自动添加到组织中。不久的将来将出现一个新的邀请流程,需要电子邮件邀请(因此用户可以选择退出)。如果组织稍后为其域设置 SSO,则用户下次签名时将自动添加到域 SSO 组织,并且需要 SSO 身份验证。

未经邀请有人可以加入组织吗?是否可以将特定用户添加到具有现有电子邮件帐户的组织?

没有 SSO 就不行。加入需要组织所有者的邀请。强制执行 SSO 后,通过 SSO 验证的域将允许用户在下次以分配了域电子邮件的用户身份登录时自动加入组织。

当我们向用户发送邀请时,现有帐户是否会被合并并保留?

是的,现有用户帐户将加入组织并保留所有资产。

如何查看、更新和删除用户的多个电子邮件地址?

我们在 Docker 平台上仅支持每个用户一封电子邮件。

如何删除尚未登录的组织受邀者?

您可以转到组织视图中的受邀者列表并将其删除。

服务帐户身份验证流程与 UI 用户帐户身份验证流程是否不同?

不,我们不会在产品上区分两者。

用户信息在 Docker Hub 中可见吗?

所有 Docker 帐户都有与其命名空间关联的公共配置文件。如果您不希望用户信息(例如全名)可见,您可以从 SSO 和 SCIM 映射中删除这些属性。或者,您可以使用不同的标识符来替换用户的全名。