即时配置(Just-in-Time Provisioning)
目录
即时 (JIT) 预配会在每次成功进行单点登录 (SSO) 身份验证后自动创建和更新用户账户。JIT 会验证登录的用户是否属于该组织以及您的身份提供商 中分配给他们的团队。当您 创建您的 SSO 连接时,JIT 预配默认处于开启状态。
启用即时配置(JIT provisioning)的单点登录(SSO)认证
当用户使用 SSO 登录且您的 SSO 配置启用了 JIT 预配置时,会自动执行以下步骤:
系统检查用户的电子邮件地址是否存在 Docker 账户。
- 如果账户存在:系统将使用现有账户,并在必要时更新用户的全名。
- 若不存在账户:将使用基本用户属性(电子邮件、名字和姓氏)创建一个新的 Docker 账户。系统会根据用户的电子邮件、名字和随机数字生成唯一的用户名,以确保平台上的所有用户名都是唯一的。
系统检查是否有任何待处理的 SSO 组织邀请。
- 找到邀请:邀请已自动接受。
- 邀请包含特定组:用户将被添加到 SSO 组织内的该组中。
系统会验证 IdP 在身份验证期间是否已共享组映射。
- 已提供组映射:用户已被分配到相关的组织和团队。
- 未提供组映射:系统检查用户是否已属于该组织。如果不属于,则将用户添加到 SSO 连接中配置的默认组织和团队。
下图概述了启用 JIT 的 SSO 身份验证:
单点登录(SSO)认证已启用,但即时摘要(JIT)配置已禁用
当您的 SSO 连接中禁用 JIT 预配时,身份验证期间会发生以下操作:
系统检查用户的电子邮件地址是否存在 Docker 账户。
- 如果账户存在:系统将使用现有账户,并在必要时更新用户的全名。
- 若不存在账户:将使用基本用户属性(电子邮件、名字和姓氏)创建一个新的 Docker 账户。系统会根据用户的电子邮件、名字和随机数字生成唯一的用户名,以确保平台上的所有用户名都是唯一的。
系统检查是否有任何待处理的 SSO 组织邀请。
- 发现邀请:如果用户是组织成员或有待处理的邀请,登录成功,邀请将自动接受。
- 未找到邀请:如果用户不是组织成员且没有待处理的邀请,登录将失败,并出现
Access denied错误。用户必须联系管理员以受邀加入组织。
如果禁用了 JIT,则只有启用了 SCIM才能使用组映射。如果未启用 SCIM,用户将不会自动分配到组。
下图概述了禁用 JIT 时的 SSO 身份验证:
禁用 JIT 预配
警告
禁用 JIT 预配可能会中断用户的访问和工作流。禁用 JIT 后,用户将不会自动添加到您的组织。用户必须已经是该组织的成员或有待处理的邀请,才能通过 SSO 成功登录。要在禁用 JIT 的情况下自动预配用户, 请使用 SCIM。
您可能出于以下原因想要禁用 JIT 预配:
- 您拥有多个组织,已启用 SCIM,并希望 SCIM 成为预置的真实来源
- 您希望根据组织的安全配置控制和限制使用,并希望使用 SCIM 来配置访问权限
默认情况下,用户通过 JIT 进行配置。如果您启用了 SCIM,则可以禁用 JIT:
- 登录到 管理控制台。
- 在左侧导航下拉菜单中选择您的组织或公司,然后选择 SSO 和 SCIM。
- 在 SSO 连接表中,选择 操作 图标,然后选择 禁用 JIT 预配置。
- 选择 禁用 以确认。