切换语言

管理用户

常见问题
目录

使用 SSO 时如何管理用户?

您可以通过 Docker Hub 或 Admin Console 中的组织管理用户。在 Docker 中配置 SSO 时,您需要确保 IdP 账户中的每个用户都有一个账户。当用户首次使用其域电子邮件地址登录 Docker 时,他们将在成功进行身份验证后自动添加到组织中。

我是否需要手动将用户添加到我的组织?

不需要,您无需在 Docker 或 Admin Console 中手动将用户添加到您的组织。您只需确保 IdP 中存在用户的帐户。当用户登录 Docker 时,系统会使用其域电子邮件地址自动将他们分配到组织。

当用户首次使用其域电子邮件地址登录 Docker 时,他们将在成功进行身份验证后自动添加到组织中。

我组织中的用户是否可以使用不同的电子邮件地址通过 SSO 进行身份验证?

在 SSO 设置期间,您必须指定允许进行身份验证的公司电子邮件域。您中的所有用户都必须使用在 SSO 设置期间指定的电子邮件域进行身份验证。您的一些用户可能希望为其个人项目维护一个不同的帐户。

如果未强制实施 SSO,则电子邮件地址与已验证的电子邮件域不匹配的用户可以使用用户名和密码登录,以来宾身份加入组织。

Docker 组织和公司所有者是否可以批准用户加入组织并使用席位,而不是在启用 SSO 时自动添加用户?

组织所有者和公司所有者可以通过 IdP 配置用户的权限来批准用户。如果在 IdP 中配置了用户帐户,则只要有可用席位,用户就会自动添加到 Docker Hub 中的组织。

如何让用户知道他们正在成为 Docker 组织的一部分?

启用 SSO 后,当用户下次尝试登录 Docker Hub 或 Docker Desktop 时,系统会提示他们通过 SSO 进行身份验证。系统将看到最终用户有一个与他们尝试进行身份验证的 Docker ID 关联的域电子邮件,并提示他们改用 SSO 电子邮件和凭据登录。

如果用户尝试通过 CLI 登录,则必须使用 personal access token (PAT) 进行身份验证。

是否可以强制 Docker Desktop 的用户进行身份验证和/或使用其公司的域进行身份验证?

是的。管理员可以强制用户使用注册表项、文件或文件对 Docker Desktop 进行身份验证.plistregistry.json

在 Hub 上的 Docker Business 组织或公司上设置 SSO 实施后,当用户被迫使用 Docker Desktop 进行身份验证时,SSO 实施还将强制用户使用其 IdP 通过 SSO 进行身份验证(而不是使用其用户名和密码进行身份验证)。

用户可能仍然能够使用与已验证域不匹配的电子邮件地址作为来宾帐户进行身份验证。但是,他们只能在邀请了非域电子邮件的情况下以来宾身份进行身份验证。

是否可以将现有用户从非 SSO 帐户转换为 SSO 帐户?

是的,您可以将现有用户转换为 SSO 账户。要从非 SSO 账户转换用户:

  • 确保您的用户具有公司域电子邮件地址,并且他们在您的 IdP 中有一个帐户。
  • 验证所有用户的计算机上是否都安装了 Docker Desktop 版本 4.4.2 或更高版本。
  • 每个用户都创建了一个 PAT 来替换他们的密码,以允许他们通过 Docker CLI 登录。
  • 确认所有 CI/CD 管道自动化系统都已将其密码替换为 PAT。

有关如何启用 SSO 的详细先决条件和说明,请参阅配置 Single Sign-on

一旦我们开始将用户注册到 SSO 账户,用户会受到什么影响?

启用并强制实施 SSO 后,您的用户只需使用已验证的域电子邮件地址登录即可。

Docker SSO 是否与 IdP 完全同步?

Docker SSO 默认提供即时 (JIT) 配置,并可选择禁用 JIT。当用户使用 SSO 进行身份验证时,将配置用户。如果用户离开组织,管理员必须登录到 Docker 并手动从组织中删除该用户

SCIM 可用于提供与用户和组的完全同步。当您使用 SCIM 自动配置用户时,建议的配置是停用 JIT,以便所有自动配置都由 SCIM 处理。

此外,您还可以使用 Docker Hub API 完成此过程。

禁用 Just-in-Time 配置对用户登录有何影响?

当您使用 Admin Console 并启用 SCIM 时,可以使用禁用 JIT 的选项。如果用户尝试使用作为 SSO 连接的已验证域的电子邮件地址登录 Docker,则他们需要是组织的成员才能访问该 Docker,或者拥有该组织的待定邀请。不满足这些条件的用户将遇到错误,并且需要管理员邀请他们加入组织。Access denied

请参阅禁用 JIT 配置的 SSO 身份验证

要在没有 JIT 配置的情况下自动配置用户,您可以使用 SCIM。

在没有 SSO 的情况下预置 Docker 订阅的最佳方法是什么?

公司或组织所有者可以通过 Docker Hub 或 Admin Console、电子邮件地址(适用于任何用户)或 Docker ID(假设用户已有 Docker 帐户)邀请用户。

任何人都可以在没有邀请的情况下加入组织吗?是否可以将特定用户添加到具有现有电子邮件帐户的组织?

没有 SSO 就不能。加入需要组织所有者的邀请。强制实施 SSO 后,通过 SSO 验证的域将允许用户在下次以分配了域电子邮件的用户身份登录时自动加入组织。

当我们向用户发送邀请时,现有账户是否会被合并并保留?

是的,现有用户帐户将加入组织,并保留所有资产。

如何查看、更新和删除用户的多个电子邮件地址?

在 Docker 平台上,我们仅支持每个用户 1 个电子邮件。

如何删除尚未登录的组织受邀者?

您可以在 Docker Hub 或 Admin Console 中转到组织的“成员”页面,查看待处理的邀请,并根据需要删除受邀者。

服务帐户身份验证的流程是否与 UI 用户帐户不同?

不,我们在产品中不区分两者。

用户信息在 Docker Hub 中是否可见?

所有 Docker 帐户都有一个与其命名空间关联的公共配置文件。如果您不希望用户信息(例如,全名)可见,则可以从 SSO 和 SCIM 映射中删除这些属性。或者,您可以使用其他标识符来替换用户的全名。