身份提供商

常见问题
目录

Docker SSO是否可以同时使用多个IdP?

不可以。您只能将Docker SSO配置为与单个IdP一起工作。一个域只能与一个IdP关联。Docker支持Entra ID(以前称为Azure AD)和支持SAML 2.0的身份提供商。

配置SSO后是否可以更改我的身份提供商?

可以。您必须删除Docker SSO连接中现有的IdP配置,然后使用新的IdP配置SSO。如果您已经开启了强制执行,则应在更新提供商SSO连接之前关闭强制执行。

配置SSO需要从我的身份提供商处获取哪些信息?

要在Docker中启用SSO,您需要从您的IdP获取以下信息:

  • SAML:实体ID、ACS URL、单点注销URL和公共X.509证书

  • Entra ID(以前称为Azure AD):客户端ID、客户端密钥、AD域。

如果我的现有证书过期会发生什么?

如果您的现有证书已过期,您可能需要联系您的身份提供商以检索新的X.509证书。然后,您需要在Docker Hub或Docker管理员控制台中更新SSO配置设置中的证书。

如果启用SSO时我的IdP宕机会发生什么?

如果强制执行SSO,则当您的IdP宕机时无法访问Docker Hub。您仍然可以使用您的个人访问令牌从CLI访问Docker Hub镜像。

如果启用了SSO但未强制执行,则用户可以回退到使用用户名/密码进行身份验证并触发重置密码流程(如有必要)。

如何处理使用Docker Hub作为辅助注册表的帐户?我需要一个机器人帐户吗?

您可以将机器人帐户添加到您的IdP并为其创建一个访问令牌来替换其他凭据。

机器人帐户是否需要一个席位才能使用SSO访问组织?

是的,机器人帐户需要一个席位,类似于普通最终用户,在IdP中启用非别名域电子邮件并在Hub中使用一个席位。

SAML SSO是否使用即时配置?

SSO实现默认使用即时(JIT)配置。如果您使用SCIM启用自动配置,则可以在管理员控制台中选择禁用JIT。请参阅即时配置

是否支持IdP启动的登录?

Docker SSO不支持IdP启动的登录,仅支持服务提供商启动(SP启动)的登录。

是否可以将Docker Hub直接与Microsoft Entra(以前称为Azure AD)组连接?

是的,Entra ID(以前称为Azure AD)支持Docker Business的SSO,可以通过直接集成和通过SAML两种方式实现。

我与Entra ID的SSO连接不起作用,并且收到应用程序配置错误的错误消息。如何排除此故障?

请确认您已在 Entra ID(前身为 Azure AD)中为您的 SSO 连接配置了必要的 API 权限。您需要在您的 Entra ID(前身为 Azure AD)租户中授予管理员同意。请参阅 Entra ID(前身为 Azure AD)文档