单点登录概述
目录
单点登录 (SSO) 允许用户通过其身份提供商 进行身份验证来访问 Docker。SSO 适用于整个公司及其内部所有关联的组织,或者拥有 Docker Business 订阅的单个组织。若要将现有帐户升级到 Docker Business 订阅,请参阅 升级您的订阅。
SSO 如何工作
启用 SSO 后,Docker 支持非 IdP 发起的 SSO 流程用于用户登录。用户不再使用其 Docker 用户名和密码进行身份验证,而是被重定向到您的身份提供商的身份验证页面进行登录。用户必须登录 Docker Hub 或 Docker Desktop 才能启动 SSO 身份验证流程。
下图展示了 SSO 在 Docker Hub 和 Docker Desktop 中如何运作和管理。此外,它还提供了有关如何在您的 IdP 之间进行身份验证的信息。
如何设置
SSO 的配置步骤如下:
- 配置 SSO,方法是在 Docker 中创建并验证域名。
- 创建您的 SSO 连接 在 Docker 和您的 IdP 中。
- 将 Docker 与您的 IdP 交叉连接。
- 测试您的连接。
- 创建用户。
- 可选。 强制登录。
- 管理您的 SSO 配置.
一旦您的 SSO 配置完成,首次使用的用户即可使用其公司域名邮箱地址登录 Docker Hub 或 Docker Desktop。登录后,他们将被加入您的公司,分配到某个组织,如有必要,还会分配到某个团队。
前提条件
在配置 SSO 之前,请确保满足以下先决条件:
- 通知贵公司关于新的SSO登录流程。
- 验证所有用户是否已安装 Docker Desktop 4.4.2 或更高版本。
- 如果您的组织计划 强制执行 SSO,则使用 Docker CLI 的成员需要 创建个人访问令牌 (PAT)。该 PAT 将代替其用户名和密码使用。Docker 计划在未来弃用通过密码登录 CLI,因此需要使用 PAT 以防止出现身份验证问题。有关更多详细信息,请参阅 安全公告。
- 确保您的所有 Docker 用户在 IdP 上拥有一个有效用户,且其电子邮件地址与唯一主标识符 (UPN) 相同。
- 确认所有 CI/CD 流水线已将其密码替换为 PAT。
- 对于您的服务账户,请添加您的附加域或在您的 IdP 中启用它。