预配用户
目录
配置 SSO 连接后,下一步是配置用户。此过程可确保用户可以访问您的组织。 本指南概述了用户配置和支持的配置方法。
什么是预置?
Provisioning 通过自动执行创建、更新和停用用户等任务来帮助管理用户 来自您的身份提供商 (IdP) 的数据。有三种用户预置方法,其优点 不同的组织需求:
| 供应方法 | 描述 | Docker 中的默认设置 | 推荐对象 |
|---|---|---|---|
| 即时 (JIT) | 在用户首次通过 SSO 登录时自动创建和配置用户账户 | 默认启用 | 最适合需要最少设置、团队规模较小或安全性较低的环境的组织 |
| 跨域身份管理系统 (SCIM) | 在 IdP 和 Docker 之间持续同步用户数据,确保用户属性保持更新,而无需手动更新 | 默认禁用 | 最适合用户信息或角色频繁更改的大型组织或环境 |
| 组映射 | 将用户组从 IdP 映射到 Docker 中的特定角色和权限,从而根据组成员资格实现微调访问控制 | 默认禁用 | 最适合需要严格访问控制的组织以及根据用户的角色和权限管理用户的组织 |
默认配置设置
默认情况下,Docker 在您配置 SSO 连接时启用 JIT 配置。启用 JIT 后,用户首次使用 SSO 流程登录时,将自动创建用户账户。
JIT 配置可能无法提供某些组织所需的控制或安全级别。在这种情况下,可以配置 SCIM 或组映射,以便管理员能够更好地控制用户访问和属性。
SSO 属性
当用户通过 SSO 登录时,Docker 会从您的 IdP 获取多个属性,以管理用户的身份和权限。这些属性包括:
- 电子邮件地址:用户的唯一标识符
- Full name:用户的全名
- 组:可选。用于基于组的访问控制
- Docker 组织:可选。指定用户所属的组织
- Docker 团队:可选。定义用户在组织内所属的团队
- Docker 角色:可选。确定用户在 Docker 中的权限
如果您的组织使用 SAML 进行 SSO,则 Docker 将从 SAML 断言消息中检索这些属性。请记住,不同的 IdP 可能会对这些属性使用不同的名称。以下参考表概述了 Docker 可能使用的 SAML 属性:
| SSO 属性 | SAML 断言消息属性 |
|---|---|
| 电子邮件地址 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", , ,"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn""http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"email |
| 全名 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", , ,name"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname""http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" |
| 组(可选) | "http://schemas.xmlsoap.org/claims/Group", , ,"http://schemas.microsoft.com/ws/2008/06/identity/claims/groups"Groupsgroups |
| Docker Org(可选) | dockerOrg |
| Docker 团队(可选) | dockerTeam |
| Docker 角色(可选) | dockerRole |
下一步是什么?
查看配置方法指南,了解有关配置配置方法的步骤: