关于单点登录(SSO)的常见问题
Docker SSO 是否适用于所有付费订阅?
Docker 单点登录 (SSO) 仅适用于 Docker Business 订阅。 升级您现有的订阅 以开始使用 Docker SSO。
Docker SSO 如何工作?
Docker SSO 允许用户使用其身份提供商 来访问 Docker。Docker 支持 Entra ID(前身为 Azure AD)以及任何 SAML 2.0 身份提供商。启用 SSO 后,系统会将用户重定向到您的提供商的身份验证页面,以便他们使用电子邮件和密码进行身份验证。
Docker 支持哪些 SSO 流程?
Docker 支持服务提供商发起 (SP-initiated) 的 SSO 流程。这意味着用户必须登录 Docker Hub 或 Docker Desktop 才能启动 SSO 身份验证过程。
在哪里可以找到有关如何配置 Docker SSO 的详细说明?
您首先需要与身份提供商建立 SSO 连接,并且需要在为用户建立 SSO 连接之前验证公司电子邮件域。有关如何配置 Docker SSO 的详细分步说明,请参阅 单点登录。
Docker SSO 是否支持多重身份验证 (MFA)?
当组织使用 SSO 时,MFA 是在 IdP 级别确定的,而不是在 Docker 平台上确定的。
我需要特定版本的 Docker Desktop 才能使用 SSO 吗?
是的,您组织中的所有用户都必须升级到 Docker Desktop 4.4.2 或更高版本。如果使用公司域名邮箱登录或作为与现有 Docker 账户关联的主邮箱,在强制实施 SSO 后,使用旧版本 Docker Desktop 的用户将无法登录。您拥有现有账户的用户无法使用其用户名和密码登录。
使用 SSO 时可以保留我的 Docker ID 吗?
对于个人 Docker ID,用户即账户所有者。Docker ID 与用户仓库、镜像和资产的访问权限相关联。用户可以选择在 Docker 账户上使用公司域名邮箱。强制执行 SSO 时,该账户会连接到组织账户。对一个或多个组织或公司强制执行 SSO 时,任何使用已验证的公司域名邮箱登录且没有现有账户的用户,都将自动配置账户并创建新的 Docker ID。
SAML 身份验证是否需要额外的属性?
您必须提供一个电子邮件地址作为属性,以便通过 SAML 进行身份验证。‘Name’ 属性是可选的。
应用程序是否识别 SAMLResponse 主体中的 NameID/唯一标识符?
首选格式是您的电子邮件地址,这也应该是您的 Name ID。
我可以在 SSO 和 Azure AD (OIDC) 身份验证方法中使用组映射吗?
不可以。使用 Azure AD (OIDC) 身份验证方法时不支持与 SSO 进行组映射,因为这需要向 OIDC 应用程序授予 Directory.Read.All 权限,该权限可访问目录中的所有用户、组和其他敏感数据。由于潜在的安全风险,Docker 不支持此配置。相反,Docker 建议配置 SCIM 以安全地启用组同步。