佈建使用者
目錄
設定 SSO 連線後,下一步是佈建使用者。此程序可確保使用者可以存取您的組織。本指南概述了使用者佈建和支援的佈建方法。
什麼是佈建?
佈建可根據您的身分識別供應商 (IdP) 的資料自動化建立、更新和停用使用者等工作,藉此協助管理使用者。使用者佈建有三種方法,可滿足不同組織的需求
| 佈建方法 | 說明 | Docker 中的預設設定 | 建議用於 |
|---|---|---|---|
| Just-in-Time (JIT) | 當使用者第一次透過 SSO 登入時,自動建立和佈建使用者帳戶 | 預設啟用 | 最適合需要最少設定、團隊規模較小或安全性較低的環境的組織 |
| 跨網域身分識別管理系統 (SCIM) | 持續同步您的 IdP 與 Docker 之間的使用者資料,確保使用者屬性保持更新,而無需手動更新 | 預設停用 | 最適合使用者資訊或角色經常變更的大型組織或環境 |
| 群組映射 | 將您的 IdP 中的使用者群組映射至 Docker 內的特定角色和權限,讓您可以根據群組成員資格進行微調的存取控制 | 預設停用 | 最適合需要嚴格存取控制以及根據使用者角色和權限管理使用者的組織 |
預設佈建設定
預設情況下,當您設定 SSO 連線時,Docker 會啟用 JIT 佈建。啟用 JIT 後,使用者帳戶會在使用者第一次使用您的 SSO 流程登入時自動建立。
JIT 佈建可能無法提供某些組織所需的控制或安全性層級。在這種情況下,可以設定 SCIM 或群組映射,讓管理員可以更好地控制使用者存取和屬性。
SSO 屬性
當使用者透過 SSO 登入時,Docker 會從您的 IdP 取得多個屬性來管理使用者的身分識別和權限。這些屬性包括
- 電子郵件地址:使用者的唯一識別碼
- 全名:使用者的完整姓名
- 群組:選用。用於基於群組的存取控制
- Docker 組織:選用。指定使用者所屬的組織
- Docker 團隊:選用。定義使用者在組織內所屬的團隊
- Docker 角色:選用。決定使用者在 Docker 中的權限
如果您的組織使用 SAML 進行 SSO,Docker 會從 SAML 斷言訊息中擷取這些屬性。請記住,不同的 IdP 可能會使用不同的名稱來表示這些屬性。以下參考表格概述了 Docker 可能使用的 SAML 屬性
| SSO 屬性 | SAML 斷言訊息屬性 |
|---|---|
| 電子郵件地址 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", email |
| 全名 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", name, "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" |
| 群組(選用) | "http://schemas.xmlsoap.org/claims/Group", "http://schemas.microsoft.com/ws/2008/06/identity/claims/groups", Groups, groups |
| Docker 組織(選用) | dockerOrg |
| Docker 團隊(選用) | dockerTeam |
| Docker 角色(選用) | dockerRole |
後續步驟?
查看佈建方法指南,了解設定佈建方法的步驟