单点登录概述

目录

单点登录(SSO)允许用户通过使用其身份提供商(IdPs)进行身份验证来访问Docker。SSO适用于整个公司及其所有关联组织,或拥有Docker Business订阅的单个组织。要将现有帐户升级为Docker Business订阅,请参阅 升级您的订阅

SSO 如何工作

当您启用SSO时,Docker支持一种非IdP发起的SSO流程用于用户登录。用户不再使用他们的Docker用户名和密码进行身份验证,而是被重定向到您的身份提供者的认证页面进行登录。用户必须登录Docker Hub或Docker Desktop以启动SSO认证流程。

下图展示了SSO在Docker Hub和Docker Desktop中的操作和管理方式。此外,它还提供了关于如何在您的IdP之间进行身份验证的信息。

SSO architecture

如何设置

SSO 配置步骤如下:

  1. 配置SSO 通过在Docker中创建和验证一个域名来配置SSO。
  2. 创建您的SSO连接 在Docker和您的IdP中。
  3. 将 Docker 和您的 IdP 进行交叉连接。
  4. 测试您的连接。
  5. 提供用户。
  6. 可选的。 强制登录
  7. 管理您的SSO配置.

一旦您的SSO配置完成,首次用户可以使用他们公司的域名电子邮件地址登录到Docker Hub或Docker Desktop。登录后,他们将被添加到您的公司,分配到组织,并在必要时分配到团队。

先决条件

在配置SSO之前,请确保您满足以下先决条件:

  • 通知您的公司有关新的SSO登录程序。
  • 验证所有用户都已安装Docker Desktop版本4.4.2或更高版本。
  • 如果您的组织计划 强制执行SSO,使用Docker CLI的成员需要 创建一个个人访问令牌(PAT)。PAT将用于替代他们的用户名和密码。Docker计划在未来弃用使用密码登录CLI,因此使用PAT将是防止认证问题的必要条件。更多详情请参阅 安全公告
  • 确保所有Docker用户在您的身份提供者(IdP)上都有一个有效的用户,且其电子邮件地址与其唯一主要标识符(UPN)相同。
  • 确认所有CI/CD管道已将其密码替换为PATs。
  • 为您的服务账户,添加您的额外域名或在您的IdP中启用它。

接下来是什么?