域名审计
域名审计用于识别组织中未纳入管理的用户。未纳入管理的用户是指使用与您已验证域名之一关联的电子邮件地址向 Docker 进行身份验证,但不是您 Docker 组织成员的 Docker 用户。您可以在属于 Docker Business 订阅的组织上审计域名。要将您现有的账户升级到 Docker Business 订阅,请参阅 升级您的订阅。
在您的环境中,未纳入管理的用户访问 Docker Desktop 可能会带来安全风险,因为您组织的安全设置(如镜像访问管理和注册表访问管理)不会应用于该用户的会话。此外,您将无法查看未纳入管理用户的活动情况。您可以将未纳入管理的用户添加到您的组织中,以便查看其活动情况并应用您组织的安全设置。
域审核无法识别您环境中的以下 Docker 用户:
- 未经身份验证访问 Docker Desktop 的用户
- 使用未关联您已验证域名之一的电子邮件地址的账户进行身份验证的用户
虽然域审核无法识别您环境中的所有 Docker 用户,但您可以强制执行登录,以防止无法识别的用户访问您环境中的 Docker Desktop。有关强制执行登录的更多详细信息,请参阅 配置 registry.json 以强制执行登录。
提示
您可以使用端点管理 (MDM) 软件来识别您环境中的 Docker Desktop 实例数量及其版本。这可以提供准确的许可证报告,帮助确保您的机器使用最新版本的 Docker Desktop,并使您能够 强制登录。
前提条件
在审核您的域之前,请查看以下必备条件:
重要
不支持对公司或公司内的组织进行域名审计。
审计您的域以发现未捕获的用户
审计您的域名:
登录到 Docker Hub。
选择 组织,您的组织,设置,然后选择 安全。
在 域审计 中,选择 导出用户 以导出包含以下列的未捕获用户的 CSV 文件:
- 名称:用户的名称。
- 用户名:用户的 Docker ID。
- 电子邮件:用户的电子邮件地址。
您可以使用导出的 CSV 文件邀请所有未纳入的用户加入您的组织。有关更多详细信息,请参阅 邀请成员。或者,强制执行单点登录或启用 SCIM 以自动将用户添加到您的组织。有关更多详细信息,请参阅 SSO 或 SCIM。
注意
域审核可能会识别出不再属于您组织的用户帐户。如果您不想将用户添加到您的组织,也不希望该用户出现在将来的域审核中,则必须停用该帐户或更新关联的电子邮件地址。
只有拥有 Docker 帐户访问权限的人才能停用该帐户或更新关联的电子邮件地址。有关更多详细信息,请参阅 停用帐户。
审计您的域名:
登录到 管理控制台。
在左侧导航下拉菜单中选择您的组织,然后选择域名管理。
在 域审计 中,选择 导出用户 以导出包含以下列的未捕获用户的 CSV 文件:
- 名称:用户的名称。
- 用户名:用户的 Docker ID。
- 电子邮件:用户的电子邮件地址。
您可以使用导出的 CSV 文件邀请所有未纳入的用户加入您的组织。有关更多详细信息,请参阅 邀请成员。或者,强制执行单点登录或启用 SCIM 以自动将用户添加到您的组织。有关更多详细信息,请参阅 SSO 或 SCIM。
注意
域审核可能会识别出不再属于您组织的用户帐户。如果您不想将用户添加到您的组织,也不希望该用户出现在将来的域审核中,则必须停用该帐户或更新关联的电子邮件地址。
只有拥有 Docker 帐户访问权限的人才能停用该帐户或更新关联的电子邮件地址。有关更多详细信息,请参阅 停用帐户。