管理使用者

常見問題
目錄

使用 SSO 時,如何管理使用者?

您可以透過 Docker Hub 或管理主控台中的組織來管理使用者。在 Docker 中設定 SSO 時,您需要確保您的 IdP 帳戶中每個使用者都存在一個帳戶。當使用者第一次使用其網域電子郵件地址登入 Docker 時,他們將在成功驗證後自動新增到組織中。

我需要手動將使用者新增到我的組織嗎?

不,您不需要手動將使用者新增到 Docker 或管理主控台中的組織。您只需要確保您的 IdP 中存在使用者帳戶即可。當使用者登入 Docker 時,系統會使用其網域電子郵件地址自動將他們分配到組織。

當使用者第一次使用其網域電子郵件地址登入 Docker 時,他們將在成功驗證後自動新增到組織中。

我的組織中的使用者可以使用不同的電子郵件地址透過 SSO 進行驗證嗎?

在 SSO 設定期間,您必須指定允許驗證的公司電子郵件網域。您組織中的所有使用者都必須使用 SSO 設定期間指定的電子郵件網域進行驗證。您的一些使用者可能希望為其個人專案維護不同的帳戶。

如果未強制執行 SSO,則電子郵件地址與已驗證電子郵件網域不符的使用者可以使用使用者名稱和密碼登入以訪客身分加入組織。

Docker 組織和公司所有者是否可以批准使用者加入組織並使用席位,而不是在啟用 SSO 時自動新增他們?

組織所有者和公司所有者可以透過其 IdP 設定其權限來批准使用者。如果在 IdP 中設定了使用者帳戶,只要有可用席位,使用者就會自動新增到 Docker Hub 中的組織。

使用者將如何知道他們已被加入 Docker 組織?

啟用 SSO 後,下次使用者嘗試登入 Docker Hub 或 Docker Desktop 時,系統會提示他們透過 SSO 進行驗證。系統會看到終端使用者有一個與他們嘗試驗證的 Docker ID 相關聯的網域電子郵件,並提示他們改用 SSO 電子郵件和憑證登入。

如果使用者嘗試透過 CLI 登入,則必須使用個人存取權杖 (PAT) 進行驗證。

是否可以強制 Docker Desktop 的使用者進行驗證,和/或使用其公司的網域進行驗證?

可以。管理員可以使用 Registry 金鑰、.plist 檔案或 registry.json 檔案強制使用者使用 Docker Desktop 進行驗證

在其 Docker Business 組織或 Hub 上的公司設定 SSO 強制執行後,當使用者被迫使用 Docker Desktop 進行驗證時,SSO 強制執行也會強制使用者透過 SSO 使用其 IdP 進行驗證(而不是使用其使用者名稱和密碼進行驗證)。

使用者仍然可以使用與已驗證網域不符的電子郵件地址以訪客帳戶身分進行驗證。但是,他們只有在受邀請的非網域電子郵件地址才能以訪客身分進行驗證。

是否可以將現有使用者從非 SSO 帳戶轉換為 SSO 帳戶?

可以,您可以將現有使用者轉換為 SSO 帳戶。要將使用者從非 SSO 帳戶轉換

  • 確保您的使用者擁有公司網域電子郵件地址,並且他們在您的 IdP 中擁有一個帳戶。
  • 確認所有使用者在其機器上都安裝了 Docker Desktop 4.4.2 或更高版本。
  • 每個使用者都建立了一個 PAT 來取代其密碼,以便他們可以透過 Docker CLI 登入。
  • 確認所有 CI/CD 管道自動化系統都已將其密碼替換為 PAT。

有關如何啟用 SSO 的詳細先決條件和說明,請參閱設定單一登入

我們開始將使用者加入 SSO 帳戶後,使用者會受到什麼影響?

啟用並強制執行 SSO 後,您的使用者只需使用已驗證的網域電子郵件地址登入即可。

Docker SSO 是否與 IdP 完全同步?

Docker SSO 預設提供及時 (JIT) 佈建,並可選擇停用 JIT。當使用者使用 SSO 進行驗證時,就會佈建使用者。如果使用者離開組織,管理員必須登入 Docker 並手動將使用者從組織中移除

提供SCIM 以與使用者和群組完全同步。當您使用 SCIM 自動佈建使用者時,建議的設定是停用 JIT,以便所有自動佈建都由 SCIM 處理。

此外,您可以使用Docker Hub API 來完成此流程。

停用及時佈建會如何影響使用者登入?

當您使用管理主控台並啟用 SCIM 時,可以使用停用 JIT 的選項。如果使用者嘗試使用已驗證網域(適用於您的 SSO 連線)的電子郵件地址登入 Docker,則他們需要成為組織的成員才能存取,或者擁有待處理的組織邀請。不符合這些條件的使用者將會遇到「拒絕存取」錯誤,並且需要管理員邀請他們加入組織。

請參閱停用 JIT 佈建的 SSO 驗證

若要自動佈建使用者而不使用 JIT 佈建,您可以使用 SCIM

在沒有 SSO 的情況下,佈建 Docker 訂閱的最佳方式是什麼?

公司或組織擁有者可以透過 Docker Hub 或管理主控台,使用電子郵件地址(適用於任何使用者)或 Docker ID(假設使用者已擁有 Docker 帳戶)邀請使用者。

有人可以在沒有邀請的情況下加入組織嗎?是否可以將特定使用者新增到具有現有電子郵件帳戶的組織?

沒有 SSO 無法加入。加入需要組織擁有者的邀請。強制執行 SSO 時,透過 SSO 驗證的網域將允許使用者在下一次以具有網域電子郵件的使用者身分登入時自動加入組織。

當我們向使用者發送邀請時,現有的帳戶是否會被合併並保留?

是的,現有的使用者帳戶將會加入組織,並保留所有資產。

如何檢視、更新和移除使用者的多個電子郵件地址?

在 Docker 平台上,我們每個使用者僅支援一個電子郵件。

如何移除尚未登入的組織受邀者?

您可以前往 Docker Hub 或管理主控台中組織的**成員**頁面,檢視待處理的邀請,並視需要移除受邀者。

服務帳戶驗證的流程是否與 UI 使用者帳戶不同?

不,我們在產品中沒有區分這兩者。

使用者資訊是否在 Docker Hub 中可見?

所有 Docker 帳戶都有一個與其命名空間關聯的公開設定檔。如果您不希望使用者資訊(例如,全名)可見,您可以從 SSO 和 SCIM 映射中移除這些屬性。或者,您可以使用不同的識別碼來取代使用者的全名。