Just-in-Time 佈建

目錄

Just-in-Time (JIT) 佈建會在每次成功單一登入 (SSO) 驗證後自動建立和更新使用者帳戶。JIT 會驗證登入的使用者是否屬於您身分識別提供者 (IdP) 中指派給他們的組織和團隊。當您建立 SSO 連線時,預設會開啟 JIT 佈建。

啟用 JIT 佈建的 SSO 驗證

當使用者使用 SSO 登入且您的 SSO 設定已啟用 JIT 佈建時,會自動執行下列步驟

  1. 系統會檢查使用者的電子郵件地址是否存在 Docker 帳戶。

    • 如果帳戶存在:系統會使用現有的帳戶,並在必要時更新使用者的全名。
    • 如果帳戶不存在:系統會使用基本使用者屬性(電子郵件、姓名和姓氏)建立新的 Docker 帳戶。系統會根據使用者的電子郵件、姓名和亂數產生唯一的使用者名稱,以確保所有使用者名稱在平台上都是唯一的。

  2. 系統會檢查是否有任何待處理的 SSO 組織邀請。

    • 找到邀請:系統會自動接受邀請。
    • 邀請包含特定群組:使用者會被新增至 SSO 組織內的該群組。

  3. 系統會驗證 IdP 在驗證期間是否已共用群組映射。

    • 提供群組映射:使用者會被指派到相關的組織和團隊。
    • 未提供群組映射:系統會檢查使用者是否已屬於該組織。如果不是,使用者會被新增至 SSO 連線中設定的預設組織和團隊。

下圖概述了啟用 JIT 的 SSO 驗證

JIT provisioning enabled

停用 JIT 佈建的 SSO 驗證

當您的 SSO 連線中停用 JIT 佈建時,驗證期間會執行下列動作

  1. 系統會檢查使用者的電子郵件地址是否存在 Docker 帳戶。

    • 如果帳戶存在:系統會使用現有的帳戶,並在必要時更新使用者的全名。
    • 如果帳戶不存在:系統會使用基本使用者屬性(電子郵件、姓名和姓氏)建立新的 Docker 帳戶。系統會根據使用者的電子郵件、姓名和亂數產生唯一的使用者名稱,以確保所有使用者名稱在平台上都是唯一的。

  2. 系統會檢查是否有任何待處理的 SSO 組織邀請。

    • 找到邀請:如果使用者是組織的成員或有待處理的邀請,則登入成功,且系統會自動接受邀請。
    • 找不到邀請:如果使用者不是組織的成員且沒有待處理的邀請,則登入失敗,且會出現「拒絕存取」錯誤。使用者必須聯絡管理員才能受邀加入組織。

停用 JIT 後,只有在您啟用 SCIM的情況下,才能使用群組映射。如果未啟用 SCIM,則不會自動將使用者佈建到群組。

下圖概述了停用 JIT 的 SSO 驗證

JIT provisioning disabled

停用 JIT 佈建

警告

停用 JIT 佈建可能會中斷使用者的存取和工作流程。停用 JIT 後,系統不會自動將使用者新增至您的組織。使用者必須已是組織的成員或具有待處理的邀請,才能透過 SSO 成功登入。若要在停用 JIT 的情況下自動佈建使用者,請使用 SCIM

您可能基於下列原因而想要停用 JIT 佈建

  • 您有多個組織,已啟用 SCIM,並且希望 SCIM 成為佈建的資料來源
  • 您想要根據組織的安全性設定來控管和限制使用量,並且想要使用 SCIM 來佈建存取權

預設會使用 JIT 佈建使用者。如果您啟用 SCIM,則可以停用 JIT

  1. 登入 管理主控台
  2. 在左側導覽下拉式選單中選擇您的組織或公司,然後選擇SSO 和 SCIM
  3. 在 SSO 連線表格中,選擇動作圖示,然後選擇停用 JIT 佈建
  4. 選擇停用以確認。