管理用户

常见问题
目录

使用SSO时如何管理用户?

您可以通过Docker Hub或管理控制台中的组织来管理用户。在Docker中配置SSO时,您需要确保在您的IdP帐户中为每个用户都存在一个帐户。当用户首次使用其域电子邮件地址登录Docker时,他们将在成功身份验证后自动添加到组织。

我需要手动将用户添加到我的组织吗?

不,您不需要手动将用户添加到Docker或管理控制台中的组织。您只需要确保您的用户的帐户存在于您的IdP中。当用户登录Docker时,他们会使用其域电子邮件地址自动分配到组织。

当用户首次使用其域电子邮件地址登录Docker时,他们将在成功身份验证后自动添加到组织。

我的组织中的用户可以使用不同的电子邮件地址通过SSO进行身份验证吗?

在SSO设置期间,您必须指定允许进行身份验证的公司电子邮件域。您组织中的所有用户都必须使用在SSO设置期间指定的电子邮件域进行身份验证。您的一些用户可能希望为其个人项目保留不同的帐户。

如果未强制执行SSO,则电子邮件地址与已验证的电子邮件域不匹配的用户可以使用用户名和密码登录以访客身份加入组织。

我的Docker组织和公司所有者能否批准用户加入组织并使用席位,而不是在启用SSO时自动添加他们?

组织所有者和公司所有者可以通过其IdP配置其权限来批准用户。如果在IdP中配置了用户帐户,只要有可用的席位,用户就会自动添加到Docker Hub中的组织。

如何让用户知道他们正在成为Docker组织的一部分?

启用SSO后,用户下次尝试登录Docker Hub或Docker Desktop时,系统会提示他们通过SSO进行身份验证。系统将看到最终用户具有与其尝试进行身份验证的Docker ID关联的域电子邮件,并提示他们改用SSO电子邮件和凭据登录。

如果用户尝试通过CLI登录,则必须使用个人访问令牌(PAT)进行身份验证。

是否可以强制Docker Desktop用户进行身份验证,和/或使用其公司的域进行身份验证?

是的。管理员可以使用注册表密钥、`.plist`文件或`registry.json`文件强制用户使用Docker Desktop进行身份验证

在Hub上为其Docker Business组织或公司设置SSO强制执行后,当强制用户使用Docker Desktop进行身份验证时,SSO强制执行还将强制用户通过其IdP使用SSO进行身份验证(而不是使用其用户名和密码进行身份验证)。

用户仍然可以使用与已验证域不匹配的电子邮件地址以访客帐户身份进行身份验证。但是,他们只有在该非域电子邮件被邀请的情况下才能以访客身份进行身份验证。

是否可以将现有用户从非SSO帐户转换为SSO帐户?

是的,您可以将现有用户转换为SSO帐户。要将用户从非SSO帐户转换为SSO帐户,

  • 确保您的用户拥有公司域电子邮件地址,并且他们在您的IdP中拥有帐户。
  • 验证所有用户都已在其计算机上安装了Docker Desktop 4.4.2或更高版本。
  • 每个用户都创建了一个PAT来替换他们的密码,以允许他们通过Docker CLI登录。
  • 确认所有CI/CD管道自动化系统都已将其密码替换为PAT。

有关如何启用SSO的详细先决条件和说明,请参阅配置单点登录

在我们开始将他们加入SSO帐户后,用户会有什么影响?

启用并强制执行SSO后,您的用户只需使用已验证的域电子邮件地址登录即可。

Docker SSO是否与IdP完全同步?

Docker SSO 默认提供即时 (JIT) 配置,并可以选择禁用 JIT。用户会在使用 SSO 身份验证时获得配置。如果用户离开组织,管理员必须登录 Docker 并手动移除用户

SCIM 可用于提供与用户和组的完全同步。当您使用 SCIM 自动配置用户时,建议的配置是禁用 JIT,以便所有自动配置都由 SCIM 处理。

此外,您可以使用Docker Hub API 来完成此过程。

禁用实时预配会如何影响用户登录?

当您使用管理员控制台并启用 SCIM 时,可以选择禁用 JIT。如果用户尝试使用其 SSO 连接已验证域的电子邮件地址登录 Docker,则他们需要是组织的成员才能访问它,或者拥有该组织的待处理邀请。不符合这些条件的用户将遇到访问被拒绝错误,需要管理员邀请他们加入组织。

请参阅禁用 JIT 配置的 SSO 身份验证

要无需 JIT 配置即可自动配置用户,您可以使用SCIM

在没有SSO的情况下预配Docker订阅的最佳方法是什么?

公司或组织所有者可以通过 Docker Hub 或管理员控制台,通过电子邮件地址(适用于任何用户)或 Docker ID(假设用户拥有现有的 Docker 帐户)邀请用户。

有人可以未经邀请加入组织吗?是否可以将特定用户添加到具有现有电子邮件帐户的组织?

没有 SSO 不行。加入需要组织所有者的邀请。当强制执行 SSO 时,通过 SSO 验证的域将允许用户在下一次登录为分配了域邮箱的用户时自动加入组织。

当我们向用户发送邀请时,现有帐户是否会被合并并保留?

是的,现有用户帐户将加入组织,并保留所有资产。

如何查看、更新和删除用户的多个电子邮件地址?

我们每个 Docker 平台用户仅支持一个邮箱。

如何删除尚未登录组织的被邀请者?

您可以访问 Docker Hub 或管理员控制台中组织的**成员**页面,查看待处理的邀请,并根据需要移除受邀者。

服务帐户身份验证流程与UI用户帐户有何不同?

不,我们在产品中不区分两者。

Docker Hub中是否可见用户信息?

所有 Docker 帐户都与其命名空间关联有一个公共个人资料。如果您不想公开用户信息(例如,全名),您可以从您的 SSO 和 SCIM 映射中移除这些属性。或者,您可以使用不同的标识符来替换用户的全名。