provision users
目录
配置完单点登录(SSO)连接后,下一步是为用户分配资源。此过程可确保用户能够访问贵组织的资源。 本指南概述了用户资源调配流程及支持的调配方法。
什么是配置(Provisioning)?
预配功能可帮助您通过自动化任务(如根据身份提供商(IdP)的数据创建、更新和停用用户)来管理用户。用户预配有三种方法,分别适用于不同组织的需求优势:
| provision method | 描述 | Docker 中的默认设置 | 推荐适用于 |
|---|---|---|---|
| 即时编译 (JIT) | 当用户首次通过SSO登录时,自动创建并配置用户账户 | 默认启用 | 适用于需要最少配置、团队规模较小或安全要求较低的组织 |
| 跨域身份管理系统(SCIM) | 持续将用户数据与您的身份提供商(IdP)和Docker进行同步,确保用户属性保持最新,无需手动更新。 | 默认禁用 | 最适合大型组织或用户信息或角色频繁变化的环境 |
| 组映射 | 将来自您的身份提供商(IdP)的用户组映射到Docker中特定的角色和权限,从而基于组成员资格实现精细化访问控制。 | 默认禁用 | 最适合需要严格访问控制并根据用户角色和权限进行管理的组织 |
默认配置设置
默认情况下,当您配置单点登录(SSO)连接时,Docker 会启用即时(JIT)供应功能。启用 JIT 后,用户首次通过您的 SSO 流程登录时,系统将自动为其创建账户。
即时(JIT)供应可能无法满足某些组织对控制或安全性的要求。在此类情况下,可配置SCIM或组映射,以使管理员对用户访问权限和属性拥有更多控制权。
SSO 属性
当用户通过单点登录(SSO)进行登录时,Docker 会从您的身份提供商(IdP)获取多个属性,以管理用户的身份和权限。这些属性包括:
- 电子邮件地址:用户的唯一标识符
- 全名: 用户的完整姓名
- 用户组:可选。用于基于用户组的访问控制
- Docker 组织:可选。指定用户所属的组织
- Docker 团队:可选。定义用户在组织内所属的团队
- Docker角色:可选。确定用户在Docker中的权限
如果您的组织使用 SAML 进行单点登录(SSO),Docker 将从 SAML 断言消息中获取这些属性。请注意,不同的身份提供商(IdP)可能对这些属性使用不同的名称。下表列出了 Docker 可能使用的 SAML 属性参考:
| SSO属性 | SAML断言消息属性 |
|---|---|
| 邮箱地址 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", email |
| 全名 | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", name, "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" |
| 组(可选) | "http://schemas.xmlsoap.org/claims/Group", "http://schemas.microsoft.com/ws/2008/06/identity/claims/groups", Groups, groups |
| Docker 组织(可选) | dockerOrg |
| Docker 团队(可选) | dockerTeam |
| Docker 角色(可选) | dockerRole |
接下来是什么?
查看配置供应方法的指南,了解相关步骤: