身份提供商
Docker SSO 是否支持使用多个 IdP?
不可以。您只能将 Docker SSO 配置为与单个 IdP 协同工作。一个域只能关联到一个 IdP。Docker 支持 Entra ID(前身为 Azure AD)以及支持 SAML 2.0 的身份提供商。
配置 SSO 后,是否可以更改身份提供商?
是的。您必须删除 Docker SSO 连接中的现有 IdP 配置,然后 使用新的 IdP 配置 SSO。如果您之前已经开启了强制执行,则应在更新提供商 SSO 连接之前关闭强制执行。
我需要从身份提供商获取哪些信息来配置单点登录(SSO)?
要在 Docker 中启用 SSO,您需要从 IdP 获取以下内容:
SAML: 实体 ID、ACS URL、单一登出 URL 和公共 X.509 证书
Entra ID(原 Azure AD):客户端 ID、客户端密钥、AD 域。
如果我的现有证书过期了会怎么样?
如果您的现有证书已过期,您可能需要联系您的身份提供商以获取新的 X.509 证书。然后,您需要在 Docker Hub 或 Docker 管理控制台的 SSO 配置设置中更新证书。
如果启用了 SSO,但我的 IdP 出现故障,会发生什么?
如果强制执行 SSO,则当您的 IdP 宕机时,将无法访问 Docker Hub。您仍然可以使用您的个人访问令牌从 CLI 访问 Docker Hub 镜像。
如果启用了 SSO 但未强制执行,则用户可以回退到使用用户名/密码进行认证,并在必要时触发重置密码流程。
如何处理将 Docker Hub 作为辅助注册表的账户?我需要一个机器人账户吗?
您可以将机器人账号添加到您的 IdP 中,并为其创建访问令牌以替换其他凭据。
使用 SSO 访问组织的机器人账号是否需要席位?
是的,机器人账户需要一个席位,类似于普通终端用户,需要在 IdP 中启用非别名域名的电子邮件,并在 Hub 中占用一个席位。
SAML SSO 是否使用即时 (Just-in-Time) 预配置?
SSO 实现默认使用即时 (JIT) 预配置。如果您通过 SCIM 启用了自动预配置,则可以选择在管理控制台中禁用 JIT。请参阅 即时预配置。
IdP 发起的登录是否可用?
Docker SSO 不支持 IdP 发起的登录,仅支持服务提供商发起 (SP-initiated) 的登录。
是否可以将 Docker Hub 直接与 Microsoft Entra(以前称为 Azure AD)组连接?
是的,Docker Business 支持 Entra ID(原 Azure AD)的单点登录(SSO),既支持直接集成,也支持通过 SAML 集成。
我与 Entra ID 的单点登录 (SSO) 连接无法正常工作,并且收到应用程序配置错误的提示。我该如何排查此问题?
确认您已在 Entra ID(原 Azure AD)中为 SSO 连接配置了必要的 API 权限。您需要在 Entra ID(原 Azure AD)租户内授予管理员同意。请参阅 Entra ID(原 Azure AD)文档。