执行

常见问题
目录

我们目前拥有 Docker Team 订阅。我们如何启用 SSO?

Docker Business 订阅提供 SSO。要启用 SSO,您必须先将订阅升级到 Docker Business 订阅。要了解如何升级现有帐户,请参阅升级您的订阅

服务帐户如何与 SSO 协同工作?

启用 SSO 时,服务帐户的工作方式与任何其他用户一样。如果服务帐户使用的是已启用 SSO 的域的电子邮件,则它需要 PAT 用于 CLI 和 API 使用。

是否需要 DNS 验证才能启用 SSO?

是的。在将其与 SSO 连接一起使用之前,您必须验证域。

Docker SSO 是否支持通过命令行进行身份验证?

强制执行 SSO 时,密码将无法访问 Docker CLI。您仍然可以使用个人访问令牌 (PAT) 进行身份验证来访问 Docker CLI。

每个用户都必须创建一个 PAT 才能访问 CLI。要了解如何创建 PAT,请参阅管理访问令牌。在强制执行 SSO 之前已经使用 PAT 登录的用户仍然可以使用该 PAT 进行身份验证。

SSO 如何影响我们的自动化系统和 CI/CD 管道?

在强制执行 SSO 之前,您必须为自动化系统和 CI/CD 管道创建 PAT,并使用令牌而不是密码。

在强制执行之前使用个人电子邮件进行身份验证的组织用户可以期待什么?

确保您的用户在其帐户中拥有其组织电子邮件,以便帐户将迁移到 SSO 以进行身份验证。

我可以启用 SSO 并推迟强制执行选项吗?

是的,您可以选择不强制执行,用户可以选择在登录屏幕上使用 Docker ID(标准电子邮件和密码)或域验证的电子邮件地址(SSO)。

SSO 已强制执行,但我们的一个用户能够通过用户名和密码登录。为什么会这样?

不是您已注册域的一部分但已被邀请加入您的组织的访客用户不会通过您的 SSO 身份提供商登录。SSO 强制执行仅要求属于您域的用户必须通过 SSO IdP。

有没有办法在投入生产之前使用 Okta 在测试租户中测试此功能?

是的,您可以创建一个测试组织。公司可以在新的组织上设置新的 5 个座位的 Business 计划进行测试(确保只启用 SSO,不要强制执行,否则所有域电子邮件用户都将被迫登录到该测试租户)。

为 Docker Desktop 启用 SSO 后,使用服务帐户的构建系统流程会受到什么影响?

如果您启用 SSO,则不会产生影响。同时支持用户名/密码或个人访问令牌 (PAT) 登录。但是,如果您强制执行 SSO

  • 服务帐户域电子邮件地址不得使用别名,并且必须在其 IdP 中启用。
  • 用户名/密码身份验证将不起作用,因此您应该将构建系统更新为使用 PAT 而不是密码。
  • 了解 IdP 凭据的人可以通过 Hub 上的 SSO 以该服务帐户的身份登录,并为该服务帐户创建或更改个人访问令牌。

登录是否需要在运行时或安装时进行跟踪?

如果 Docker Desktop 配置为需要对组织进行身份验证,则在运行时。

强制执行 SSO 与强制执行登录有什么区别?

强制执行 SSO 和强制执行对 Docker Desktop 的登录是您可以分别或一起使用的不同功能。

强制执行 SSO 可确保用户使用其 SSO 凭据而不是其 Docker ID 登录。其中一项优势是 SSO 使您可以更好地管理用户凭据。

强制执行对 Docker Desktop 的登录可确保用户始终登录到

组织成员帐户。其优势在于您的组织安全设置始终应用于用户的会话,并且您的用户始终可以享受订阅的优势。有关更多详细信息,请参阅强制执行 Desktop 登录