身份提供商
是否可以将多个 IdP 与 Docker SSO 一起使用?
不。您只能将 Docker SSO 配置为使用单个 IdP。一个域只能与单个 IdP 关联。Docker 支持支持 SAML 2.0 的 Entra ID(以前称为 Azure AD)和标识提供者。
配置 SSO 后是否可以更改我的身份提供商?
是的。您必须删除 Docker SSO 连接中的现有 IdP 配置,然后使用新的 IdP 配置 SSO。如果您已经开启了强制功能,则应在更新提供商 SSO 连接之前关闭强制功能。
我需要从身份提供商那里获得哪些信息才能配置 SSO?
要在 Docker 中启用 SSO,您需要从 IdP 中提供以下内容:
SAML:实体 ID、ACS URL、单点注销 URL 和公共 X.509 证书
Entra ID(以前称为 Azure AD):客户端 ID、客户端密码、AD 域。
如果我的现有证书过期,会发生什么情况?
如果您的现有证书已过期,您可能需要联系您的身份提供商以检索新的 X.509 证书。然后,您需要在 Docker Hub 或 Docker Admin Console 的 SSO 配置设置中更新证书。
如果我的 IdP 在启用 SSO 后宕机,会发生什么情况?
如果强制实施 SSO,则在 IdP 关闭时无法访问 Docker Hub。您仍然可以使用 Personal Access Token 从 CLI 访问 Docker Hub 镜像。
如果启用了 SSO 但未强制执行,则用户可以回退以使用用户名/密码进行身份验证并触发重置密码流(如有必要)。
如何使用 Docker Hub 作为辅助注册表处理帐户?我需要机器人帐户吗?
您可以将机器人帐户添加到您的 IdP 中,并为其创建访问令牌以替换其他凭证。
机器人帐户是否需要席位才能使用 SSO 访问组织?
是的,机器人帐户需要一个席位,类似于普通最终用户,在 IdP 中启用非别名域电子邮件,并在 Hub 中使用席位。
SAML SSO 是否使用即时配置?
SSO 实施默认使用 Just-in-Time (JIT) 配置。如果您使用 SCIM 启用自动配置,则可以选择在 Admin Console 中禁用 JIT。请参阅 Just-in-Time 配置。
IdP 发起的登录是否可用?
Docker SSO 不支持 IdP 发起的登录,仅支持服务提供商发起的 (SP 发起) 登录。
是否可以将 Docker Hub 直接连接到 Microsoft Entra(以前称为 Azure AD)组?
是的,Docker Business 的 SSO 支持 Entra ID(以前称为 Azure AD),既可以通过直接集成,也可以通过 SAML 进行。
我与 Entra ID 的 SSO 连接无法正常工作,并且我收到一条错误,指出应用程序配置错误。如何解决此问题?
确认已在 Entra ID(以前称为 Azure AD)中为 SSO 连接配置了必要的 API 权限。需要在 Entra ID(以前称为 Azure AD)租户中授予管理员同意。请参阅 Entra ID(以前称为 Azure AD)文档。