切换语言

执行

常见问题解答
目录

我们目前拥有 Docker 团队订阅。我们如何启用 SSO?

SSO 需订阅 Docker Business 方案方可使用。要启用 SSO,您必须先将订阅升级为 Docker Business 订阅。要了解如何升级现有账户,请参阅 升级您的订阅

服务账户如何与 SSO 协同工作?

启用 SSO 后,服务账户的行为与任何其他用户相同。如果服务账户使用的电子邮件地址属于启用了 SSO 的域,则它需要使用 PAT 进行 CLI 和 API 操作。

启用 SSO 是否需要 DNS 验证?

是的。您必须先验证域名,然后才能将其用于 SSO 连接。

Docker SSO 是否支持通过命令行进行身份验证?

当强制实施 SSO 时, 密码将被禁止访问 Docker CLI。您仍然可以使用个人访问令牌 (PAT) 进行身份验证来访问 Docker CLI。

每位用户必须创建 PAT 才能访问 CLI。要了解如何创建 PAT,请参阅 管理访问令牌。在强制实施 SSO 之前已使用 PAT 登录的用户仍可使用该 PAT 进行身份验证。

SSO 如何影响我们的自动化系统和 CI/CD 流水线?

在强制实施 SSO 之前,您必须为自动化系统和 CI/CD 流水线创建 PAT,并使用令牌代替密码。

在强制执行之前使用个人邮箱进行认证的组织用户会有什么预期?

确保您的用户在其账户上绑定了组织邮箱,以便将这些账户迁移到 SSO 进行身份验证。

我可以启用 SSO 并暂缓执行强制选项吗?

是的,您可以选择不强制执行,用户在登录界面可以选择使用 Docker ID(标准邮箱和密码)或经过域名验证的邮箱地址(SSO)。

已强制启用单点登录(SSO),但我们的一位用户仍能够通过用户名和密码登录。这是为什么?

不属于您注册域但受邀加入您组织的访客用户,无需通过您的 SSO 身份提供商登录。SSO 强制执行仅要求属于您域的用户必须通过 SSO IdP。

是否有办法在生产环境上线前,在 Okta 测试租户中测试此功能?

是的,您可以创建一个测试组织。公司可以在新的组织上设置一个新的 5 人商业计划进行测试(请确保仅启用 SSO,不要强制执行,否则所有域名邮箱用户都将被迫登录到该测试租户)。

一旦我们为 Docker Desktop 启用了单点登录 (SSO),对于使用服务账户的构建系统流程会有什么影响?

如果启用 SSO,则没有影响。支持用户名/密码或个人访问令牌 (PAT) 登录。 但是,如果强制执行 SSO:

  • 服务帐户域电子邮件地址不得使用别名,并且必须在其 IdP 中启用
  • 用户名/密码认证 将无法使用,因此您应该更新构建系统以使用 PAT 代替密码
  • 知晓 IdP 凭据的用户可以通过 Hub 上的 SSO 以该服务账户身份登录,并为该服务账户创建或更改个人访问令牌。

是在运行时还是安装时需要跟踪登录?

如果 Docker Desktop 配置为需要向组织进行身份验证,则在运行时生效。

强制执行 SSO 与强制登录有什么区别?

强制执行 SSO 和强制登录 Docker Desktop 是不同的功能,您可以单独使用,也可以结合使用。

强制执行 SSO 可确保用户使用其 SSO 凭证而不是其 Docker ID 登录。好处之一是 SSO 使您能够更好地管理用户凭证。

强制登录 Docker Desktop 可确保用户始终登录到

属于您组织成员的帐户。其优势在于,您组织的安全设置将始终应用于用户会话,并且您的用户将始终享受订阅权益。有关更多详细信息,请参阅 强制桌面登录