Обзор Docker Single Sign-on (SSO)

Данный раздел предназначен для администраторов, которые хотят включить Docker Single Sign-on (SSO) для своего бизнеса. Docker SSO позволяет пользователям проходить аутентификацию с помощью своих поставщиков удостоверений (IdP) для доступа к Docker. Вы можете включить систему единого входа в организациях, которые являются частью подписки Docker Business. Чтобы обновить существующую учетную запись до подписки Docker Business, см. статью Обновляет подписку.

Когда система единого входа включена, пользователи перенаправляются на страницу аутентификации вашего провайдера для входа в систему. Они не могут пройти аутентификацию, используя свои учетные данные для входа в Docker (идентификатор Docker и пароль). В настоящее время Docker поддерживает поток SSO, инициированный поставщиком услуг. Ваши пользователи должны войти в Docker Hub или Docker Desktop, чтобы инициировать процесс аутентификации SSO.

Перед включением единого входа в Docker Hub администраторы должны настроить своего поставщика удостоверений, чтобы настроить IdP для работы с Docker Hub. Docker предоставляет URL-адрес службы приема утверждений (ACS) и идентификатор объекта. Администраторы используют эту информацию для установления соединения между своим сервером IdP и Docker Hub.

После установления соединения между сервером IdP и Docker Hub администраторы входят в организацию в Docker Hub и завершают процесс включения единого входа. Подробные инструкции см. в разделе Включение единого входа в Docker Hub.

Чтобы включить систему единого входа в Docker Hub, вам потребуется следующая информация от поставщика удостоверений:

  • SAML 2.0: URL-адрес единого входа и сертификат сигнатуре X.509

  • Azure AD: идентификатор клиента (уникальный идентификатор вашего зарегистрированного приложения AD), секрет клиента (строка, используемая для получения доступа к вашему зарегистрированному приложению Azure AD) и сведения о домене AD

В настоящее время поддерживается включение единого входа в одной организации. Однако единый выход не поддерживается. Если в вашей организации есть пользователи с другим доменом (включая социальные домены), они будут добавлены в организацию в качестве гостей. Гости продолжат проходить аутентификацию через Docker, используя свои учетные данные для входа в Docker (идентификатор Docker и пароль).

Поток архитектуры единого входа

На следующей диаграмме показано, как работает и управляется единый вход (SSO) в Docker Hub и Docker Desktop. Кроме того, он предоставляет информацию о том, как пройти аутентификацию между вашими IdP.