关于SSO的常见问题

常见问题
目录

Docker SSO是否适用于所有付费订阅?

Docker单点登录 (SSO) 仅适用于Docker Business订阅。 升级您现有的订阅即可开始使用Docker SSO。

Docker SSO是如何工作的?

Docker SSO允许用户使用其身份提供商 (IdP) 进行身份验证以访问Docker。Docker支持Entra ID(以前称为Azure AD)和任何SAML 2.0身份提供商。启用SSO后,这会将用户重定向到提供商的身份验证页面,以使用其电子邮件和密码进行身份验证。

Docker支持哪些SSO流程?

Docker支持服务提供商启动 (SP-initiated) SSO流程。这意味着用户必须登录到Docker Hub或Docker Desktop才能启动SSO身份验证过程。

在哪里可以找到有关如何配置Docker SSO的详细说明?

您首先需要与您的身份提供商建立SSO连接,并且在为您的用户建立SSO连接之前,需要验证公司电子邮件域名。有关如何配置Docker SSO的详细分步说明,请参阅 单点登录

Docker SSO是否支持多因素身份验证(MFA)?

当组织使用SSO时,MFA是在IdP级别确定的,而不是在Docker平台上。

我是否需要特定版本的Docker Desktop才能使用SSO?

是的,您组织中的所有用户都必须升级到Docker Desktop 4.4.2版或更高版本。如果使用公司域名电子邮件登录或作为与现有Docker帐户关联的主要电子邮件,则使用旧版Docker Desktop的用户在强制执行SSO后将无法登录。您的现有帐户用户无法使用其用户名和密码登录。

使用SSO时,我可以保留我的Docker ID吗?

对于个人Docker ID,用户是帐户所有者。Docker ID与访问用户的存储库、镜像、资产相关联。用户可以选择在其Docker帐户上使用公司域名电子邮件。强制执行SSO时,帐户将连接到组织帐户。为组织或公司强制执行SSO时,任何使用已验证的公司域名电子邮件登录且没有现有帐户的用户都将自动拥有一个帐户,并创建一个新的Docker ID。

SAML身份验证是否需要其他属性?

您必须提供电子邮件地址作为属性才能通过SAML进行身份验证。“姓名”属性是可选的。

应用程序是否识别SAMLResponse主题中的NameID/唯一标识符?

首选格式是您的电子邮件地址,它也应该是您的Name ID。

我可以将组映射与SSO和Azure AD(OIDC)身份验证方法一起使用吗?

不可以。由于需要授予OIDC应用程序Directory.Read.All权限(这提供了访问目录中所有用户、组和其他敏感数据的权限),因此SSO与Azure AD (OIDC) 身份验证方法不支持组映射。由于潜在的安全风险,Docker不支持此配置。相反,Docker建议 配置SCIM以安全地启用组同步