执法
我们目前有 Docker Team 订阅。我们如何启用 SSO?
SSO 可通过 Docker Business 订阅使用。要启用 SSO,您必须先将订阅升级到 Docker Business 订阅。若要了解如何升级现有帐户,请参阅升级订阅。
服务账户如何与 SSO 配合使用?
启用 SSO 后,服务帐户的工作方式与任何其他用户一样。如果服务账户使用启用了 SSO 的域的电子邮件,则需要 PAT 才能使用 CLI 和 API。
启用 SSO 是否需要 DNS 验证?
是的。您必须先验证域,然后才能将其用于 SSO 连接。
Docker SSO 是否支持通过命令行进行身份验证?
强制实施 SSO 时,将阻止密码访问 Docker CLI。您仍然可以使用个人访问令牌 (PAT) 访问 Docker CLI 进行身份验证。
每个用户都必须创建一个 PAT 才能访问 CLI。要了解如何创建 PAT,请参阅管理访问令牌。在强制实施 SSO 之前已经使用 PAT 登录的用户仍将能够使用该 PAT 进行身份验证。
SSO 如何影响我们的自动化系统和 CI/CD 管道?
在实施 SSO 之前,您必须为自动化系统和 CI/CD 管道创建 PAT,并使用令牌而不是密码。
在强制实施之前使用个人电子邮件进行身份验证的组织用户可以期待什么?
确保您的用户的帐户上有其组织电子邮件,以便将帐户迁移到 SSO 进行身份验证。
我可以启用 SSO 并推迟强制选项吗?
是的,您可以选择不强制执行,并且用户可以在登录屏幕上选择使用 Docker ID(标准电子邮件和密码)或域验证的电子邮件地址 (SSO)。
SSO 是强制性的,但我们的一个用户能够通过用户名和密码登录。为什么会这样?
不属于您的注册域但已被邀请加入您的组织的来宾用户不会通过 SSO 身份提供商登录。SSO 强制仅要求属于您域的用户必须通过 SSO IdP。
在投入生产之前,是否有办法在 Okta 的测试租户中测试此功能?
是的,您可以创建测试组织。公司可以在新组织上设置新的 5 席位商业计划进行测试(确保仅启用 SSO,而不是强制启用 SSO,否则所有域电子邮件用户都将被强制登录该测试租户)。
为 Docker Desktop 启用 SSO 后,对使用服务帐户的构建系统的流程有何影响?
如果启用 SSO,则不会产生任何影响。支持用户名/密码或 personal access token (PAT) 登录。 但是,如果您强制实施 SSO:
- 服务帐户域电子邮件地址不得设置别名,并且必须在其 IdP 中启用
- 用户名/密码身份验证不起作用,因此您应该更新构建系统以使用 PAT 而不是密码
- 知道 IdP 凭证的用户可以通过 Hub 上的 SSO 以该服务账户身份登录,并为该服务账户创建或更改个人访问令牌。
是否需要在运行时或安装时跟踪登录?
在 Docker Desktop 运行时,如果它配置为需要对组织进行身份验证。
什么是强制 SSO 与强制登录?
强制实施 SSO 和强制登录到 Docker Desktop 是您可以单独使用或一起使用的不同功能。
强制实施 SSO 可确保用户使用其 SSO 凭证而不是 Docker ID 登录。其中一个好处是 SSO 使您能够更好地管理用户凭证。
强制登录到 Docker Desktop 可确保用户始终登录到
账户,该账户是您的组织的成员。这样做的好处是,您组织的安全设置始终应用于用户的会话,并且您的用户始终可以获得订阅的好处。有关更多详细信息,请参阅强制登录 Desktop 。