身分識別提供者

常見問題
目錄

是否可以將多個 IdP 與 Docker SSO 搭配使用?

不行。您只能將 Docker SSO 設定為與單個 IdP 搭配使用。一個網域只能與單個 IdP 關聯。 Docker 支援 Entra ID(以前稱為 Azure AD)和支援 SAML 2.0 的身分識別提供者。

設定 SSO 後,是否可以變更我的身分識別提供者?

可以。您必須在 Docker SSO 連線中刪除現有的 IdP 設定,然後使用新的 IdP 設定 SSO。如果您已經啟用強制執行,則應在更新提供者 SSO 連線之前關閉強制執行。

我需要從我的身分識別提供者那裡取得哪些資訊才能設定 SSO?

要在 Docker 中啟用 SSO,您需要從您的 IdP 取得下列資訊

  • SAML:實體 ID、ACS URL、單一登出 URL 和公開 X.509 憑證

  • Entra ID(以前稱為 Azure AD):用戶端 ID、用戶端密碼、AD 網域。

如果我現有的憑證過期會發生什麼事?

如果您的現有憑證已過期,您可能需要聯絡您的身分識別提供者以取得新的 X.509 憑證。然後,您需要在 Docker Hub 或 Docker 管理主控台的SSO 設定設定中更新憑證。

如果啟用 SSO 時我的 IdP 發生故障會發生什麼事?

如果強制執行 SSO,則當您的 IdP 發生故障時,將無法存取 Docker Hub。您仍然可以使用您的個人存取權杖從 CLI 存取 Docker Hub 映像檔。

如果啟用 SSO 但未強制執行,則使用者可以改用使用者名稱/密碼進行驗證,並觸發重設密碼流程(如有必要)。

我该如何处理使用 Docker Hub 作为辅助注册表的帐户?我需要一个机器人帐户吗?

您可以將機器人帳戶新增至您的 IdP,並為其建立存取權杖以取代其他憑證。

機器人帳戶是否需要席位才能存取使用 SSO 的組織?

是的,機器人帳戶需要一個席位,類似於一般終端使用者,在 IdP 中啟用非別名網域電子郵件,並在 Hub 中使用一個席位。

SAML SSO 是否使用即時佈建?

SSO 實作預設使用即時 (JIT) 佈建。如果您使用 SCIM 啟用自動佈建,則可以選擇在管理主控台中停用 JIT。請參閱即時佈建

是否提供 IdP 起始的登入?

Docker SSO 不支援 IdP 起始的登入,僅支援服務提供者起始(SP 起始)的登入。

是否可以直接將 Docker Hub 與 Microsoft Entra(以前稱為 Azure AD)群組連線?

可以,Docker Business 的 SSO 支援 Entra ID(以前稱為 Azure AD),可以直接整合或透過 SAML 進行整合。

我與 Entra ID 的 SSO 連線無法正常運作,並且我收到應用程式設定錯誤的錯誤訊息。我该如何进行故障排除?

請確認您已在 Entra ID(以前稱為 Azure AD)中為您的 SSO 連線設定必要的 API 權限。您需要在您的 Entra ID(以前稱為 Azure AD)租用戶中授予管理員同意。請參閱Entra ID(以前稱為 Azure AD)文件