切换语言

管理用户

常见问题解答
目录

使用 SSO 时如何管理用户?

您可以通过 Docker Hub 或管理控制台中的组织来管理用户。在 Docker 中配置 SSO 时,您需要确保 IdP 账户中存在每个用户的账户。当用户首次使用其域名邮箱地址登录 Docker 时,在成功通过身份验证后,他们将自动被添加到组织中。

我需要手动将用户添加到我的组织吗?

不需要,您无需在 Docker 或管理控制台中手动将用户添加到您的组织。您只需确保您的用户在 IdP 中拥有账户即可。当用户登录 Docker 时,系统会使用其域名邮箱地址自动将其分配到组织。

当用户首次使用其域名邮箱地址登录 Docker 时,成功通过身份验证后,他们将自动被添加到组织中。

我组织中的用户可以使用不同的电子邮件地址通过 SSO 进行身份验证吗?

在 SSO 设置过程中,您需要指定允许进行身份验证的公司邮箱域名。组织中的所有用户都必须使用 SSO 设置期间指定的邮箱域名进行身份验证。您的某些用户可能希望为其个人项目保留一个不同的账户。

如果未强制执行 SSO,电子邮件地址与已验证电子邮件域不匹配的用户可以使用用户名和密码登录,以访客身份加入组织。

Docker 组织和公司所有者能否批准用户加入组织并使用席位,而不是在启用 SSO 时自动添加用户?

组织所有者和公司所有者可以通过 IdP 配置权限来批准用户。只要 IdP 中配置了用户账户且有空闲席位,该用户就会自动添加到 Docker Hub 的组织中。

用户将如何被通知他们已被加入 Docker 组织?

启用 SSO 后,用户下次尝试登录 Docker Hub 或 Docker Desktop 时,系统将提示其通过 SSO 进行身份验证。系统会检测到终端用户拥有与其尝试验证的 Docker ID 相关联的域名邮箱,并提示其改为使用 SSO 邮箱和凭据登录。

如果用户尝试通过 CLI 登录,则必须使用个人访问令牌 (PAT) 进行身份验证。

是否可以强制 Docker Desktop 用户进行身份验证,和/或使用其公司域进行身份验证?

可以。管理员可以使用注册表键、.plist 文件或 registry.json 文件,强制用户通过 Docker Desktop 进行身份验证

一旦在其 Docker Business 组织或 Hub 上的公司设置了 SSO 强制执行,当用户被强制通过 Docker Desktop 进行身份验证时,SSO 强制执行也将强制用户通过其 IdP 进行 SSO 身份验证(而不是使用其用户名和密码进行身份验证)。

用户仍然可以使用与已验证域不匹配的电子邮件地址作为来宾帐户进行身份验证。但是,只有在受邀使用该非域电子邮件的情况下,他们才能作为来宾进行身份验证。

是否可以将现有用户从非SSO转换为SSO账户?

是的,您可以将现有用户转换为 SSO 账户。要从非 SSO 账户转换用户:

  • 确保您的用户拥有公司域名电子邮件地址,并且在您的 IdP 中拥有账户。
  • 验证所有用户在其计算机上安装的 Docker Desktop 版本为 4.4.2 或更高版本。
  • 每位用户都已创建了一个 PAT,以替代其密码,从而允许他们通过 Docker CLI 登录。
  • 确认所有 CI/CD 流水线自动化系统已将其密码替换为 PAT。

有关启用 SSO 的详细先决条件和说明,请参阅 配置单点登录

一旦我们开始引导用户使用SSO账户,他们可以预期会有什么影响?

当启用并强制执行 SSO 时,您的用户只需使用已验证的域名电子邮件地址登录即可。

Docker SSO 是否与 IdP 完全同步?

Docker SSO 默认提供即时 (JIT) 预配,并可选择禁用 JIT。当用户使用 SSO 进行身份验证时,系统会预配用户。如果用户离开组织,管理员必须登录 Docker 并手动从组织中移除该用户

SCIM 可用于提供与用户和组的完全同步。当您使用 SCIM 自动配置用户时,建议的配置是禁用 JIT,以便所有自动配置均由 SCIM 处理。

此外,您可以使用 Docker Hub API来完成此过程。

禁用即时(Just-in-Time)预配置会对用户登录产生什么影响?

当您使用管理控制台并启用 SCIM 时,可以使用禁用 JIT 的选项。如果用户尝试使用属于您 SSO 连接的已验证域名的电子邮件地址登录 Docker,则他们必须是该组织的成员才能访问,或者有该组织的待处理邀请。不符合这些条件的用户将遇到 Access denied 错误,并且需要管理员邀请他们加入该组织。

参见 禁用 JIT 预配置的 SSO 身份验证

若要在没有 JIT 预配的情况下自动预配用户,您可以使用 SCIM

在没有 SSO 的情况下,配置 Docker 订阅的最佳方式是什么?

公司或组织所有者可以通过 Docker Hub 或管理控制台邀请用户,方式包括电子邮件地址(针对任何用户)或 Docker ID(假设该用户已拥有 Docker 账户)。

没有邀请可以加入组织吗?是否可以将现有邮箱账户的特定用户添加到组织?

没有 SSO 就无法实现。加入需要组织所有者的邀请。当强制执行 SSO 时,通过 SSO 验证的域名将允许用户在下次以分配了该域名邮箱的用户身份登录时自动加入该组织。

当我们向用户发送邀请时,现有账户是否会被合并并保留?

是的,现有用户账户将加入组织,并保留所有资产。

如何查看、更新和删除用户的多个电子邮件地址?

在 Docker 平台上,每位用户仅支持一个电子邮件地址。

如何移除组织中尚未登录的受邀者?

您可以前往 Docker Hub 或管理控制台中您组织的成员页面,查看待处理的邀请,并根据需要移除受邀者。

服务账户的身份验证流程是否与UI用户账户不同?

不,我们在产品中不区分这两者。

Docker Hub 中用户信息是否可见?

所有 Docker 账户都有一个与其命名空间关联的公开个人资料。如果您不希望用户信息(例如全名)可见,可以从 SSO 和 SCIM 映射中移除这些属性。或者,您也可以使用其他标识符来替代用户的全名。