单点登录概述
目录
单点登录 (SSO) 允许用户通过使用其身份提供商 (IdP) 进行身份验证来访问 Docker。SSO 适用于整个公司、该公司内的所有相关组织,或具有 Docker Business 订阅的单个组织。要将现有帐户升级到 Docker Business 订阅,请参阅升级订阅。
SSO 的工作原理
启用 SSO 后,Docker 支持非 IdP 发起的 SSO 流进行用户登录。用户不是使用其 Docker 用户名和密码进行身份验证,而是被重定向到您的身份提供商的身份验证页面进行登录。用户必须登录到 Docker Hub 或 Docker Desktop 才能启动 SSO 身份验证过程。
下图显示了 SSO 如何在 Docker Hub 和 Docker Desktop 中运行和管理。此外,它还提供有关如何在 IdP 之间进行身份验证的信息。
如何设置
SSO 使用以下步骤进行配置:
- 通过在 Docker 中创建和验证域来配置 SSO。
- 在 Docker 和 IdP 中创建 SSO 连接。
- 交叉连接 Docker 和 IdP。
- 测试您的连接。
- 预配用户。
- 自选。强制登录。
- 管理您的 SSO 配置。
完成 SSO 配置后,首次使用的用户可以使用其公司的域电子邮件地址登录到 Docker Hub 或 Docker Desktop。他们登录后,将添加到您的公司,分配到组织,并在必要时分配给团队。
先决条件
在配置 SSO 之前,请确保满足以下先决条件:
- 通知您的公司有关新的 SSO 登录过程的信息。
- 验证所有用户是否都安装了 Docker Desktop 版本 4.4.2 或更高版本。
- 如果您的组织计划强制实施 SSO,则使用 Docker CLI 的成员需要创建个人访问令牌 (PAT)。将使用 PAT 而不是他们的用户名和密码。Docker 计划将来弃用使用密码登录 CLI,因此需要使用 PAT 来防止身份验证问题。有关更多详细信息,请参阅安全公告。
- 确保所有 Docker 用户在您的 IdP 上都有一个有效用户,其电子邮件地址与其唯一主标识符 (UPN) 相同。
- 确认所有 CI/CD 管道都已将其密码替换为 PAT。
- 对于您的服务账户,请添加您的其他域或在 IdP 中启用它。