Часто задаваемые вопросы о едином входе
Общий обзор системы единого входа
Вопрос. Доступен ли Docker SSO для всех платных подписок
Docker Single Sign-on (SSO) доступен только в рамках подписки Docker Business. Обновляет существующую подписку, чтобы начать использовать Docker SSO.
Вопрос. Как работает Docker SSO
Единый вход в Docker (SSO) позволяет пользователям проходить аутентификацию с помощью своих поставщиков удостоверений (IdP) для доступа к Docker. Docker поддерживает Azure AD и любых поставщиков удостоверений SAML 2.0. Когда вы включаете SSO, пользователи перенаправляются на страницу аутентификации вашего провайдера для аутентификации, используя свой адрес электронной почты и пароль.
Вопрос. Какие потоки единого входа поддерживаются Docker
Docker поддерживает поток единого входа, инициированный поставщиком услуг (SP). Это означает, что пользователи должны войти в Docker Hub или Docker Desktop, чтобы инициировать процесс аутентификации SSO.
В: Где я могу найти подробные инструкции по настройке единого входа в Docker
Сначала вам необходимо установить SSO-соединение с вашим поставщиком удостоверений, а домен электронной почты компании должен быть проверен до принудительного SSO для ваших пользователей. Подробные пошаговые инструкции по настройке системы единого входа Docker см. в статье Единая точка входа.
Вопрос. Поддерживает ли Docker SSO многофакторную аутентификацию (MFA)
Когда организация использует SSO, MFA определяется на уровне IdP, а не на платформе Docker.
Вопрос. Нужна ли мне определенная версия Docker Desktop для единого входа
Да, все пользователи в вашей организации должны выполняет обновление до версии Docker Desktop 4.4.2 или более поздней. Пользователи более старых версий Docker Desktop не смогут войти в систему после применения единого входа, если адрес электронной почты домена компании используется для входа или в качестве основного адреса электронной почты, связанного с существующей учетной записью Docker. Ваши пользователи с существующими учетными записями не могут войти в систему со своими имя пользователя и пароль.
SAML SSO
Вопрос. Требуются ли для аутентификации SAML дополнительные атрибуты
Вы должны указывает адрес электронной почты в качестве атрибута для аутентификации через SAML. Атрибут «Имя» является необязательным.
Вопрос. Распознает ли приложение NameID/уникальный идентификатор в теме SAMLResponse
Предпочтительным форматом является ваш адрес электронной почты, который также должен быть вашим идентификатором имени.
Вопрос. Когда вы применяете единый вход SAML, на каком этапе требуется вход для отслеживания через SAML? Во время выполнения или во время установки
Во время выполнения для Docker Desktop, если он настроен на требование аутентификации в организации.
Вопрос: Как долго длится льготный период для использования обычного идентификатора пользователя и пароля для самого Desktop Docker независимо от принудительной системы единого входа
У нас нет даты, когда закончится льготный период.
Вопрос. Есть ли у вас информация о том, как использовать приложение Docker Desktop в соответствии с пользователями системы единого входа, которые мы предоставляем? Как мы можем убедиться, что мы правильно обрабатываем лицензирование
Убедиться, что ваши пользователи загрузили последнюю версию Docker Desktop. В будущем станут доступны улучшения в области наблюдения и возможностей управления пользователями.
Docker org и Docker ID
В: Что такое Docker ID? Могу ли я сохраняет свой Docker ID при использовании системы единого входа
Для личного Docker ID пользователь является владельцем учетной записи, он связан с доступом к репозиториям, образам, ресурсам пользователя. Конечный пользователь может указывает адрес электронной почты домена компании в учетной записи Docker. При принудительном использовании единого входа учетная запись подключается к учетной записи организации. При принудительном использовании системы единого входа для организации компании любой пользователь, который входит в систему без существующей учетной записи, используя проверенную электронную почту домена компании, автоматически получает учетную запись и создаёт новый идентификатор Docker.
Вопрос. Что делать, если идентификатор Docker ID, который я хочу использовать для своей организации, занят
Это зависит от состояния пространства имён. Если для идентификатора Docker организации существуют заявки на товарный знак, требуется ручная процедура юридической проверки.
В: Что делать, если я хочу создать более 3 организаций
Вы можете создать несколько организаций или несколько команд в рамках одной организации. Если вы намерены внедрить систему единого входа, она доступна только для одной организации с одним поставщиком удостоверений.
В: Если у меня несколько организаций, как это повлияет на мою организацию, если все они подключены к одному и тому же домену
В настоящее время мы ограничены в поддержке такой настройки и рекомендуем настроить разные команды в рамках одной организации, если вы планируете применять систему единого входа и иметь только один домен электронной почты.
Поставщики удостоверений
Вопрос. Можно ли использовать более одного поставщика удостоверений с Docker SSO
Нет. Вы можете настроить Docker SSO только для работы с одним IdP. Домен может быть связан только с одним IdP. Docker поддерживает Azure AD и поставщиков удостоверений, поддерживающих SAML 2.0.
В. Можно ли сменить поставщика удостоверений после настройки единого входа
Да. Вы должны удаляет существующую конфигурацию поставщика удостоверений в Docker Hub и следовать инструкциям по настройке системы единого входа с помощью вашего поставщика удостоверений. Если вы уже включили принудительное применение, вам следует отключить его перед обновлением SSO-соединения поставщика.
Вопрос: Какая информация мне нужна от моих поставщиков удостоверений для настройки единого входа
Чтобы включить SSO в Docker, вам потребуется следующее от вашего IdP:
SAML: идентификатор объекта, URL-адрес ACS, URL-адрес единого выхода и общедоступный сертификат X.509
Azure AD: идентификатор клиента, секрет клиента, домен AD.
В: Что произойдет, если срок действия моего существующего сертификата истечёт
Если срок действия вашего существующего сертификата истек, вам может потребоваться обратиться к поставщику удостоверений, чтобы получает новый сертификат x509. Новый сертификат необходимо обновить на странице настроек конфигурации единого входа в Docker Hub.
Вопрос. Что произойдет, если мой IdP перестанет работать при включенной системе единого входа
Невозможно получает доступ к Docker Hub, когда ваш IdP не работает. Однако вы можете получает доступ к образам Docker Hub из интерфейса командной строки, используя свой токен личного доступа. Или, если у вас уже была учетная запись до применения системы единого входа, вы можете использовать свое имя пользователя и пароль для доступа к образам Docker Hub в течение льготного периода для вашей организации.
В: Что произойдет, если я отключу систему единого входа для своей организации
Когда вы отключаете систему единого входа, для доступа к Docker не требуется аутентификация через вашего поставщика удостоверений. Пользователи могут продолжать входить в систему с помощью единого входа, а также с помощью идентификатора Docker и пароля.
Вопрос. Как работать с учетными записями, использующими Docker Hub в качестве вторичного реестра? Нужна ли мне учетная запись бота?
Вы можете добавить учетную запись бота в свой IDP и создать для него токен доступа, чтобы заменяет другие учетные данные.
Вопрос. Планирует ли Docker своевременно выпускать SAML
Реализация SSO уже «как раз вовремя». Администраторам не нужно создавать учетные записи пользователей в Hub, они могут просто включить их в IdP и позволить пользователям входить в систему через адрес электронной почты своего домена в Hub.
Вопрос. Будут ли входы, инициированные IdP? Планирует ли Docker поддерживать вход в систему SSO за пределами Hub и Desktop
В настоящее время у нас есть какие-либо планы по включению входа в систему, инициированного IdP.
Вопрос. Агенты сборки. Нужно ли клиентам, использующим систему единого входа, создавать учетную запись бота, чтобы занять место в dockerorg
Да, учетным записям ботов требуется рабочее место, аналогичное обычному конечному пользователю, с включенной электронной почтой домена без псевдонимов в IdP и с использованием рабочего места в Hub.
Вопрос. Можно ли подключить Docker Hub напрямую к группе Microsoft Azure Active Directory
Да, Azure AD поддерживается единым входом для Docker Business как посредством прямой интеграции, так и через SAML.
Добавление домена и подтверждение домена
В: Что делать, если я достиг предела количества символов при добавлении записи txt для своего домена
Да, вы можете добавить поддомены к системе единого входа, однако все адреса электронной почты также должны находиться в этом домене. Убедиться, что ваш DNS-провайдер поддерживает несколько текстовых полей для одного и того же домена.
В: Может ли провайдер DNS настроить его один раз для однократной проверки и удаляет позже, ИЛИ он будет нужен постоянно
Они могут сделать это один раз, чтобы добавить его в соединение. Если они когда-либо изменят idP и им придется снова настраивать систему единого входа, им нужно будет пройти повторную проверку.
Вопрос. Требуется ли добавление домена для настройки системы единого входа? Какие домены мне следует добавить? И как мне его добавить
Добавление и проверка домена необходимы для включения и применения системы единого входа. Выбрать Добавить домен и указывает домены электронной почты, которым разрешено проходить аутентификацию через ваш сервер. Это должно включать все домены электронной почты, которые пользователи будут использовать для доступа к Docker. Общедоступные домены, такие как gmail.com, outlook.com и т.д., запрещены. Кроме того, домен электронной почты должен быть установлен в качестве основного адреса электронной почты.
В: Если пользователи используют свою личную электронную почту, должны ли они переходить на использование домена организации, прежде чем их можно будет пригласить присоединиться к организации? Это просто быстрое изменение их учетной записи Hub
Нет, не знают. Хотя они могут добавить несколько электронных писем в Docker ID, если захотят. Однако это электронное письмо можно использовать только один раз в Docker. Ещё одна вещь, которую следует отметить, это то, что (по состоянию на январь 2022 года) SSO не будет работать для нескольких доменов в качестве MVP, а также не будет работать для личных электронных писем.
Вопрос. Поскольку идентификатор Docker ID отслеживается с помощью SAML, в какой момент требуется отслеживание входа в систему с помощью SAML? Время выполнения или время установки
Среда выполнения для Docker Desktop, если они настроили Docker Desktop на требование аутентификации в своей организации.
Вопрос. Поддерживаете ли вы аутентификацию, инициированную IdP (например, поддержку тайлов Okta)
Мы не поддерживаем аутентификацию, инициированную IdP. Пользователи должны инициировать вход через Docker Desktop или Hub.
Обеспечение единого входа
Вопрос. Могу ли я включить систему единого входа во всех организациях
Вы можете включить систему единого входа в организациях, которые являются частью подписки Docker Business.
В: В настоящее время у нас есть подписка Docker Team. Как включить систему единого входа
Docker SSO доступен по подписке Docker Business. Чтобы включить систему единого входа, вы должны сначала обновить свою подписку до подписки Docker Business. Чтобы узнать, как обновить существующую учетную запись, см. статью Обновляет подписку.
Вопрос. Как учетные записи служб работают с системой единого входа
Учетные записи служб работают так же, как и любые другие пользователи, когда включена система единого входа. Если учетная запись службы использует электронную почту для домена с включенным единым входом, для использования интерфейса командной строки и API требуется PAT.
Вопрос. Требуется ли проверка DNS для включения единого входа
Да. Вы должны подтвердить домен, прежде чем использовать его с подключением SSO.
Вопрос. Поддерживает ли Docker SSO аутентификацию через командную строку
Да. Когда SSO включён, вы можете получает доступ к Docker CLI через токены личного доступа (PAT). Каждый пользователь должен создать PAT для доступа к CLI. Чтобы узнать, как создать PAT, см. статью Управление токенами доступа. Прежде чем мы перейдем на PAT, пользователи CLI могут продолжать входить в систему, используя свои личные учетные данные, до начала следующего года, чтобы снизить риск прерывания конвейеров CI/CD.
Вопрос: Как SSO влияет на наши системы автоматизации и конвейеры CI/CD
Перед применением единого входа необходимо создать PAT для систем автоматизации и конвейеров CI/CD и использовать токены вместо пароля.
Вопрос. У меня есть пользователь, работающий над проектами в Docker Desktop, но авторизованный по личной электронной почте или без нее. После того, как они приобретут лицензии Docker Business, они будут внедрять и применять SSO через Okta для управления своими пользователями. Когда данный пользователь входит в SSO, его работа над DD скомпрометирована или затронута переходом на новую учетную запись
Если в их учетной записи уже есть корпоративная электронная почта, она будет перенесена в систему единого входа.
Вопрос. Если в организации включён единый вход, владельцы могут управлять идентификаторами Docker, связанными с их рабочим доменом электронной почты. Некоторые из данных идентификаторов Docker не будут пользователями Docker Desktop, поэтому для них не требуется подписка Business. Могут ли владельцы выбирать, какие идентификаторы Docker ID добавлять в свою организацию Docker и получать доступ к бизнес-функциям? Есть ли способ отметить, какие из данных идентификаторов Docker ID являются пользователями Docker Desktop
Принудительное применение единого входа будет применяться к любому пользователю электронной почты домена и автоматически добавлять этого пользователя в организацию Docker Hub, которая включает принудительное применение. Администратор может удаляет пользователей из организации вручную, но данные пользователи не смогут пройти аутентификацию, если будет применен единый вход.
Вопрос: Могу ли я включить систему единого входа и отложить проверку домена и параметры принудительного применения
Да, они могут отказаться от принудительного применения, и пользователи могут использовать либо Docker ID (стандартный адрес электронной почты/пароль), либо адрес электронной почты (SSO) на экране входа.
Q: Система единого входа включена, но один из наших пользователей подключен к нескольким организациям (и нескольким адресам электронной почты) и может обойти систему единого входа и войти в систему с помощью идентификатора пользователя и пароля. Почему это происходит?
Они могут обойти систему единого входа, если адрес электронной почты, который они используют для входа, не совпадает с адресом электронной почты организации, используемым при принудительном использовании системы единого входа.
В: Есть ли способ протестировать эту функциональность в тестовом клиенте с Okta, прежде чем переходить к рабочей среде
Да, вы можете создать тестовую организацию. Компании могут настроить новый бизнес-план на 5 рабочих мест в новой организации для тестирования (убедиться, что включена только система единого входа, а не принудительно, иначе все пользователи электронной почты домена будут вынуждены войти в данный тестовый клиент).
Вопрос: Как только мы включим SSO для Docker Desktop, как это повлияет на процесс сборки систем, использующих учетные записи служб
Если SSO включён, на данный момент это не влияет. Мы продолжим поддерживать вход с использованием имени пользователя и пароля или личного маркера доступа. Однако, если вы обеспечите SSO:
Адреса электронной почты домена сервисного аккаунта должны быть без псевдонимов и включены в их IdP
Имя пользователя/пароль и личный токен доступа по-прежнему будут работать (но только если они существуют, чего не будет для новых учетных записей)
Те, кто знает учетные данные поставщика удостоверений, могут войти в систему под этой учетной записью службы через систему единого входа в Hub и создать или изменяет токен личного доступа для этой учетной записи службы.
Управление пользователями
Вопрос. Как управлять пользователями при использовании системы единого входа
Пользователи управляются через организации в Docker Hub. При настройке системы единого входа в Docker необходимо убедиться, что для каждого пользователя в вашей учетной записи IdP существует учетная запись. Когда пользователь впервые входит в Docker, используя адрес электронной почты своего домена, он будет автоматически добавлен в организацию после успешной аутентификации.
Вопрос. Нужно ли мне вручную добавлять пользователей в мою организацию
Нет, вам не нужно вручную добавлять пользователей в вашу организацию в Docker Hub. Вам просто нужно убедиться, что учетная запись для ваших пользователей существует в вашем IdP. Когда пользователи входят в Docker Hub, они автоматически назначаются организации, используя адрес электронной почты своего домена.
Когда пользователь впервые входит в Docker, используя адрес электронной почты своего домена, он будет автоматически добавлен в организацию после успешной аутентификации.
Вопрос. Могут ли пользователи в моей организации использовать разные адреса электронной почты для аутентификации через систему единого входа
Во время настройки SSO вам нужно будет указывает домены электронной почты компании, которым разрешено проходить аутентификацию. Все пользователи в вашей организации должны пройти аутентификацию, используя домен электронной почты, указанный во время настройки единого входа. Некоторые из ваших пользователей могут захотеть сохраняет другую учетную запись для своих личных проектов.
Пользователи с общедоступным адресом электронной почты будут добавлены в качестве гостей.
Вопрос. Могут ли владельцы/администраторы организации Docker утверждать пользователей в организации и использовать рабочее место, а не автоматически добавлять их при включенной системе единого входа
В настоящее время администраторы и владельцы организаций могут утверждать пользователей, настраивая их разрешения через своего поставщика удостоверений. Т. е., если учетная запись пользователя настроена в IdP, пользователь будет автоматически добавлен в организацию в Docker Hub, если есть свободное место.
В: Как пользователи узнают, что они становятся частью организации Docker
Когда SSO включён, пользователям будет предложено пройти аутентификацию через SSO при следующей попытке войти в Docker Hub или Docker Desktop. Система увидит, что у конечного пользователя есть адрес электронной почты домена, связанный с идентификатором Docker, с которым он пытается пройти аутентификацию, и предложит ему вместо этого войти в систему с помощью электронной почты и учетных данных SSO.
Если пользователи пытаются войти через интерфейс командной строки, они должны пройти аутентификацию с помощью маркера личного доступа (PAT).
Вопрос. Можно ли заставить пользователей Docker Desktop проходить аутентификацию и/или аутентификацию с использованием домена своей компании
Да. Администраторы могут заставить пользователей проходить аутентификацию с помощью Docker Desktop, предоставив файл конфигурации реестр.json. Файл registry.json
заставит пользователей аутентифицироваться как пользователь, настроенный в списке allowedOrgs
в файле registry.json
.
После того как в организации Docker Business на Hub настроено принудительное использование единого входа, когда пользователь вынужден проходить аутентификацию с помощью Docker Desktop, принудительное использование единого входа также заставит пользователей проходить аутентификацию через единый вход с помощью своего поставщика удостоверений (вместо аутентификации с использованием имени пользователя и пароля).
Пользователи по-прежнему могут проходить аутентификацию в качестве «гостевой» учетной записи в организации, используя не доменный адрес электронной почты. Однако они могут аутентифицироваться как гости только в том случае, если данный адрес электронной почты, не относящийся к домену, был приглашен в организацию владельцем организации.
Вопрос. Можно ли преобразовывает существующих пользователей с учетных записей без единого входа в учетные записи с единым входом
Да, вы можете преобразовывает существующих пользователей в учетную запись SSO. Преобразовывает пользователей из учетной записи без единого входа:
Убедиться, что у ваших пользователей есть адрес электронной почты домена компании, и у них есть учетная запись в вашем IdP
Убедиться, что на компьютерах всех пользователей установлен Docker Desktop версии 4.4.2 или более поздней
Каждый пользователь создал PAT для замены своих паролей, чтобы позволить им входить в систему через интерфейс командной строки Docker
Убедиться, что все системы автоматизации конвейеров CI/CD заменили свои пароли на PAT.
Подробные предварительные требования и инструкции по включению единого входа см. в статье Настройка единого входа.
Вопрос. Какие последствия могут ожидать пользователи после того, как мы начнем подключать их к учетным записям SSO
Когда система единого входа включена и применяется принудительно, вашим пользователям достаточно войти в систему, используя адрес электронной почты и пароль.
Вопрос. Полностью ли синхронизирован Docker SSO с Active Directory (AD)
В настоящее время Docker не поддерживает полную синхронизацию с AD. Т. е., если пользователь покидает организацию, администраторы должны войти в Docker Hub и вручную удаляет пользователя из организации.
Кроме того, вы можете использовать наши API для завершения этого процесса.
Вопрос. Как лучше всего предоставить подписку Docker без единого входа
Администраторы в группе «Владельцы» в организациях могут приглашать пользователей через пользовательский интерфейс Docker Hub, по адресу электронной почты (для любого пользователя) или по идентификатору Docker (при условии, что пользователь уже создал учетную запись пользователя в Hub).
В: Если мы впервые добавим пользователя вручную, могу ли я зарегистрироваться в панели управления и получит ли пользователь ссылку-приглашение по электронной почте
Да, если пользователь добавлен через адрес электронной почты в организацию, он получит приглашение по электронной почте. Если вместо этого вы приглашены через Docker ID в качестве существующего пользователя, они будут автоматически добавлены в организацию. В ближайшем будущем появится новый поток приглашений, для которого потребуется приглашение по электронной почте (чтобы пользователь мог отказаться). Если позже организация настроит систему единого входа для домена zeiss.com, пользователь будет автоматически добавлен в домен SSO организации при следующем входе в систему, для которого требуется SSO-аутентификация с поставщиком удостоверений. (Вход в Hub будет автоматически перенаправлен на поставщика удостоверений).
В: Может ли кто-нибудь вступить в организацию без приглашения? Можно ли добавить конкретных пользователей в организацию с существующими учетными записями электронной почты
Не без SSO. Для присоединения требуется приглашение от члена группы владельцев. При принудительном использовании единого входа домены, проверенные с помощью единого входа, позволят пользователям автоматически присоединяться к организации при следующем входе в систему в качестве пользователя, которому назначен адрес электронной почты домена.
В: Когда мы отправим пользователю приглашение, будет ли существующая учетная запись объединена и сохранена
Да, существующая учетная запись пользователя присоединится к организации со всеми сохраненными активами.
В: Как просмотреть, обновить и удаляет несколько адресов электронной почты для моих пользователей
Мы поддерживаем только одно электронное письмо на пользователя на платформе Docker.
В: Как я могу удаляет приглашенных в организацию, которые не вошли в систему
Они могут перейти к списку приглашенных в представлении организации и удаляет их.
Вопрос. Чем отличается процесс аутентификации учетной записи службы от учетной записи пользователя пользовательского интерфейса
Это не так; мы не различаем два продукта.