单点登录概述

单点登录 (SSO) 允许用户使用其身份提供商 (IdP) 进行身份验证以访问 Docker。 SSO 适用于整个公司、所有关联组织或拥有 Docker Business 订阅的单个组织。要将现有帐户升级到 Docker Business 订阅，请参阅 升级您的订阅。

怎么运行的

启用 SSO 后，您的用户无法使用其 Docker 登录凭据（Docker ID 和密码）进行身份验证。 Docker 支持服务提供商发起的 SSO 流程。相反，他们会被重定向到 IdP 的身份验证页面进行登录。您的用户必须登录 Docker Hub 或 Docker Desktop 才能启动 SSO 身份验证过程。

下图显示了 SSO 如何在 Docker Hub 和 Docker Desktop 中运行和管理。此外，它还提供有关如何在 IdP 之间进行身份验证的信息。

如何设置

1. 通过添加并验证您的组织的域来配置 SSO，然后创建与您的 IdP 的 SSO 连接。 Docker 提供在 IdP 服务器和 Docker Hub 之间建立连接所需的断言消费者服务 (ACS) URL 和实体 ID。
2. 通过尝试使用您的域电子邮件地址登录 Docker Hub 来测试您的连接。
3. 或者，您可以强制执行 SSO 登录。
4. 完成 SSO 启用。首次用户可以使用其公司的域电子邮件地址登录 Docker Hub。然后，他们会被添加到您的公司、分配给组织，并有选择地分配给团队。

先决条件

• 您必须首先通知您的公司有关新的 SSO 登录程序。
• 验证您的成员的计算机上是否安装了 Docker Desktop 版本 4.4.2 或更高版本。
• 如果您的组织使用 Docker Hub CLI，我们建议成员 创建个人访问令牌 (PAT)来登录 CLI，而不是使用用户名和密码。 Docker 将来可能会弃用使用用户名和密码登录 CLI，因此使用 PAT 是防止潜在身份验证问题的最佳实践。此外，您应该将所有电子邮件地址添加到您的 IdP。
• 确认所有 CI/CD 管道已将其密码替换为 PAT。
• 对于您的服务帐户，添加其他域或在 IdP 中启用它。

下一步是什么？

• 开始 在 Docker 中配置 SSO
• 探索 常见问题解答