強制執行
我們目前擁有 Docker 團隊訂閱。我們如何啟用 SSO?
Docker Business 訂閱提供 SSO。要啟用 SSO,您必須先將訂閱升級到 Docker Business 訂閱。瞭解如何升級您現有的帳戶,請參閱升級您的訂閱。
服務帳戶如何與 SSO 搭配使用?
啟用 SSO 後,服務帳戶就像任何其他使用者一樣運作。如果服務帳戶使用啟用 SSO 的網域的電子郵件,則需要 PAT 才能使用 CLI 和 API。
啟用 SSO 是否需要 DNS 驗證?
是的。您必須先驗證網域,才能將其與 SSO 連線搭配使用。
Docker SSO 是否支援透過命令列進行驗證?
強制執行 SSO 時,會阻止密碼存取 Docker CLI。您仍然可以使用個人存取權杖 (PAT) 進行驗證來存取 Docker CLI。
每個使用者都必須建立 PAT 才能存取 CLI。瞭解如何建立 PAT,請參閱管理存取權杖。在強制執行 SSO 之前已使用 PAT 登入的使用者仍然可以使用該 PAT 進行驗證。
SSO 如何影響我們的自動化系統和 CI/CD 管線?
在強制執行 SSO 之前,您必須為自動化系統和 CI/CD 管線建立 PAT,並使用權杖代替密碼。
在強制執行之前使用個人電子郵件地址進行驗證的組織使用者預期會發生什麼情況?
確保您的使用者在其帳戶上擁有組織電子郵件,以便將帳戶遷移到 SSO 進行驗證。
我可以啟用 SSO 並延遲強制執行選項嗎?
是的,您可以選擇不強制執行,使用者可以在登入畫面選擇使用 Docker ID(標準電子郵件和密碼)或網域驗證的電子郵件地址(SSO)。
SSO 已強制執行,但我們的一位使用者能夠透過使用者名稱和密碼登入。為什麼會發生這種情況?
不屬於您註冊網域但已被邀請加入您組織的訪客使用者不會透過您的 SSO 身分識別供應商登入。SSO 強制執行僅要求屬於您網域的使用者必須透過 SSO IdP 登入。
是否有辦法在投入生產環境之前,使用 Okta 在測試租用戶中測試此功能?
是的,您可以建立測試組織。公司可以在新的組織上設定新的 5 個席位商業方案進行測試(確保僅啟用 SSO,不要強制執行,否則所有網域電子郵件使用者都將被迫登入該測試租用戶)。
一旦我們為 Docker Desktop 啟用 SSO,對於使用服務帳戶的建置系統流程會產生什麼影響?
如果您啟用 SSO,則沒有影響。支援使用者名稱/密碼或個人存取權杖 (PAT) 登入。但是,如果您強制執行 SSO
- 服務帳戶網域電子郵件地址不得使用別名,且必須在其 IdP 中啟用
- 使用者名稱/密碼驗證將無法運作,因此您應該更新建置系統以使用 PAT 代替密碼
- 知道 IdP 憑證的人員可以透過 Hub 上的 SSO 以該服務帳戶的身分登入,並建立或變更該服務帳戶的個人存取權杖。
登入需求是在執行階段還是在安裝階段追蹤?
在 Docker Desktop 運行時,如果它被設定為需要向組織進行身份驗證。
強制執行 SSO 與強制執行登入有什麼區別?
強制執行 SSO 和強制登入 Docker Desktop 是不同的功能,您可以單獨或一起使用。
強制執行 SSO 可確保使用者使用其 SSO 憑證而不是 Docker ID 登入。優點之一是 SSO 可讓您更好地管理使用者憑證。
強制登入 Docker Desktop 可確保使用者始終登入
組織成員的帳戶。優點是您組織的安全性設定始終會套用到使用者的工作階段,並且您的使用者始終可以享受到訂閱的權益。如需更多詳細資訊,請參閱強制執行 Desktop 登入。