预配用户
目录
配置 SSO 连接后,下一步是预配用户。此过程可确保用户可以访问您的组织。本指南概述了用户预配和支持的预配方法。
什么是预配?
预配通过自动化创建、更新和停用用户等任务来帮助管理用户,这些任务基于来自您的身份提供商 (IdP) 的数据。有三种用户预配方法,可满足不同组织的需求。
| 预配方法 | 说明 | Docker 中的默认设置 | 推荐用于 |
|---|---|---|---|
| 即时预配 (JIT) | 当用户首次通过 SSO 登录时,自动创建和预配用户帐户 | 默认启用 | 最适合需要最少设置、团队较小或安全性较低的组织 |
| 跨域身份管理系统 (SCIM) | 持续同步 IdP 和 Docker 之间的用户数据,确保用户属性保持更新,无需手动更新 | 默认禁用 | 最适合大型组织或用户或角色信息频繁更改的环境 |
| 组映射 | 将用户组从您的 IdP 映射到 Docker 中的特定角色和权限,从而可以根据组成员身份进行微调的访问控制。 | 默认禁用 | 最适合需要严格访问控制以及根据用户角色和权限管理用户的组织 |
默认预配设置
默认情况下,当您配置 SSO 连接时,Docker 会启用 JIT 预配。启用 JIT 后,用户帐户会在用户首次使用您的 SSO 流程登录时自动创建。
JIT 预配可能无法提供某些组织所需的控制级别或安全性。在这种情况下,可以配置 SCIM 或组映射,以使管理员能够更好地控制用户访问和属性。
SSO 属性
用户通过 SSO 登录时,Docker 会从您的 IdP 获取多个属性来管理用户的身份和权限。这些属性包括:
- 电子邮件地址:用户的唯一标识符
- 完整姓名:用户的完整姓名
- 组:可选。用于基于组的访问控制
- Docker 组织:可选。指定用户所属的组织
- Docker 团队:可选。定义用户在组织内的团队
- Docker 角色:可选。确定用户在 Docker 中的权限
如果您的组织使用 SAML 进行 SSO,Docker 将从 SAML 断言消息中检索这些属性。请记住,不同的 IdP 可能对这些属性使用不同的名称。下表概述了 Docker 使用的可能的 SAML 属性。
| SSO 属性 | SAML 断言消息属性 |
|---|---|
| 电子邮件地址 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", email |
| 完整姓名 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", name, "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" |
| 组(可选) | "http://schemas.xmlsoap.org/claims/Group", "http://schemas.microsoft.com/ws/2008/06/identity/claims/groups", Groups, groups |
| Docker 组织(可选) | dockerOrg |
| Docker 团队(可选) | dockerTeam |
| Docker 角色(可选) | dockerRole |
下一步是什么?
查看预配方法指南,了解有关配置预配方法的步骤。