完成您的单点登录连接

设置 SSO 配置的步骤如下:

  1. 添加并验证您的成员用于登录 Docker 的一个或多个域。
  2. 在 Docker 中创建 SSO 连接
  3. 配置您的 IdP以与 Docker 配合使用。
  4. 在 Docker 中完成 SSO 连接。

此页面将引导您完成创建 SSO 连接的最后步骤。然后,您可以测试您的连接,并可以选择为您的组织实施 SSO。

先决条件

在开始之前,请确保您已完成以下操作:

  • 您的域名已验证
  • 您已在 Docker 中创建了 SSO 连接
  • 您使用 Docker 连接中的适当值配置了 IdP
  • 您已将 IdP 中的以下内容粘贴到 Docker 控制台的设置中:
    • SAML:SAML 登录 URLx509 证书
    • Azure AD (OIDC):客户端 ID客户端密钥Azure AD 域

第四步:完成 SSO 连接

测试版功能

当您使用管理控制台时,私人测试版中提供可选的即时 (JIT) 配置。如果您参与此计划,您可以选择关闭此默认配置并禁用 JIT。如果您使用 SCIM 自动配置用户,则建议使用此配置。请参阅 禁用 JIT 配置的 SSO 身份验证

  1. 管理控制台中,选择您想要应用连接的已验证域。

  2. 要配置您的用户,请选择组织和/或团队。

  3. Beta 功能- 通过启用即时 (JIT) 配置(默认)或禁用 JIT 配置,选择您希望如何配置用户。

  4. 查看您的摘要并选择Create Connection

测试您的 SSO 配置

在 Docker 中完成 SSO 配置过程后,您可以在使用隐身浏览器登录 管理控制台时测试配置。使用您的域电子邮件地址登录 管理控制台。然后,您将被重定向到 IdP 的登录页面进行身份验证。

  1. 通过电子邮件而不是使用您的 Docker ID 进行身份验证,并测试登录过程。
  2. 要通过 CLI 进行身份验证,您的用户必须拥有 PAT,然后才能对 CLI 用户实施 SSO。

重要的

默认情况下,SSO 启用即时 (JIT) 配置,除非您已 禁用它。这意味着您的用户将在 Docker Hub 上自动配置给您的组织。

您可以针对每个应用程序更改此设置。为了防止自动配置用户,您可以在 IdP 中创建安全组,并将 SSO 应用程序配置为仅对安全组中的用户进行身份验证和授权。请按照您的 IdP 提供的说明进行操作:

SSO 连接现已创建。您可以继续设置 SCIM,而不强制执行 SSO 登录。有关设置 SCIM 的更多信息,请参阅 设置 SCIM

可选:强制 SSO

  1. 登录 管理控制台

  2. 在左侧导航下拉菜单中选择您的组织或公司,然后选择SSO 和 SCIM。

  3. 在 SSO 连接表中,选择操作图标,然后选择启用强制

    强制执行 SSO 后,您的用户无法修改其电子邮件地址和密码、将用户帐户转换为组织或通过 Docker Hub 设置 2FA。您必须通过 IdP 启用 2FA。

  4. 继续按照屏幕上的说明进行操作并验证您是否已完成任务。

  5. 选择打开强制执行以完成。

您的用户现在必须使用 SSO 登录 Docker。

重要的

如果不强制执行 SSO,用户可以选择使用其 Docker ID 或 SSO 登录。

  1. Docker Hub中,选择要应用连接的已验证域。
  2. 要配置您的用户,请选择组织和/或团队。
  3. 查看您的摘要并选择Create Connection

测试您的 SSO 配置

在 Docker 中完成 SSO 配置过程后,您可以在使用隐身浏览器登录 Docker Hub时测试配置。使用您的域电子邮件地址登录 Docker Hub 。然后,您将被重定向到 IdP 的登录页面进行身份验证。

  1. 通过电子邮件而不是使用您的 Docker ID 进行身份验证,并测试登录过程。
  2. 要通过 CLI 进行身份验证,您的用户必须拥有 PAT,然后才能对 CLI 用户实施 SSO。

重要的

默认情况下,SSO 启用即时 (JIT) 配置,除非您已 禁用它。这意味着您的用户将在 Docker Hub 上自动配置给您的组织。

您可以针对每个应用程序更改此设置。为了防止自动配置用户,您可以在 IdP 中创建安全组,并将 SSO 应用程序配置为仅对安全组中的用户进行身份验证和授权。请按照您的 IdP 提供的说明进行操作:

SSO 连接现已创建。您可以继续设置 SCIM,而不强制执行 SSO 登录。有关设置 SCIM 的更多信息,请参阅 设置 SCIM

可选:强制 SSO

  1. 登录 Docker Hub

  2. 导航到您的组织或公司的 SSO 设置页面。

    • 组织:选择组织、您的组织、设置,然后选择安全
    • 公司:选择组织、您的公司,然后选择设置

  3. 在 SSO 连接表中,选择操作图标,然后选择启用强制

    强制执行 SSO 后,您的用户无法修改其电子邮件地址和密码、将用户帐户转换为组织或通过 Docker Hub 设置 2FA。您必须通过 IdP 启用 2FA。

  4. 继续按照屏幕上的说明进行操作并验证您是否已完成任务。

  5. 选择打开强制执行以完成。

您的用户现在必须使用 SSO 登录 Docker。

重要的

如果不强制执行 SSO,用户可以选择使用其 Docker ID 或 SSO 登录。

更多资源

以下视频演示了如何实施 SSO。

下一步是什么

了解如何 管理您的组织或公司的 SSO 连接、域和用户。