SSO 的一般常见问题解答

Docker SSO 是否适用于所有付费订阅？

Docker 单点登录（SSO）仅适用于 Docker Business 订阅。升级现有订阅以开始使用 Docker SSO。

Docker SSO 的工作原理是什么？

Docker SSO 允许用户使用其身份提供商（IdP）进行身份验证以访问 Docker。Docker 支持 Entra ID（以前称为 Azure AD）和任何 SAML 2.0 标识提供者。启用 SSO 后，这会将用户重定向到提供商的身份验证页面，以使用其电子邮件和密码进行身份验证。

Docker 支持哪些 SSO 流？

Docker 支持服务提供商启动（SP 启动）SSO 流。这意味着用户必须登录到 Docker Hub 或 Docker Desktop 才能启动 SSO 身份验证过程。

在哪里可以找到有关如何配置 Docker SSO 的详细说明？

您首先需要与身份提供商建立 SSO 连接，并且在为用户建立 SSO 连接之前，需要验证公司电子邮件域。有关如何配置 Docker SSO 的详细分步说明，请参阅单点登录。

Docker SSO 是否支持多重身份验证（MFA）？

当组织使用 SSO 时，MFA 是在 IdP 级别而不是 Docker 平台上确定的。

我是否需要特定版本的 Docker Desktop 才能实现 SSO？

是的，您中的所有用户都必须升级到 Docker Desktop 版本 4.4.2 或更高版本。如果使用公司域电子邮件登录或作为与现有 Docker 帐户关联的主电子邮件，则使用旧版 Docker Desktop 的用户将无法在强制实施 SSO 后登录。使用现有帐户的用户无法使用其用户名和密码登录。

使用 SSO 时，我可以保留我的 Docker ID 吗？

对于个人 Docker ID，用户是帐户所有者。Docker ID 与对用户的存储库、镜像、资产的访问权限相关联。用户可以选择在 Docker 帐户上拥有公司域电子邮件。强制实施 SSO 时，账户将连接到组织账户。在为组织或公司强制实施 SSO 时，任何使用已验证的公司域电子邮件在没有现有帐户的情况下登录的用户都将自动配置一个帐户，并创建一个新的 Docker ID。

SAML 身份验证是否需要其他属性？

您必须提供电子邮件地址作为属性才能通过 SAML 进行身份验证。'Name' 属性是可选的。

应用程序是否识别 `SAML 响应`主题中的 NameID/唯一标识符？

首选格式是您的电子邮件地址，也应该是您的姓名 ID。

是否可以将组映射与 SSO 和 Azure AD （OIDC）身份验证方法一起使用？

不。Azure AD （OIDC）不支持使用 SSO 进行组映射 authentication 方法，因为它需要向 OIDC 应用程序授予 Directory.Read.All 权限，该权限提供对所有用户、组和目录中的其他敏感数据。由于存在潜在的安全风险，Docker 不支持此配置。相反，Docker 建议配置 SCIM 启用组同步安全地。