⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

FAQ pour SSO et fournisseurs d'identité

Table des matières

Est-il possible d'utiliser plus d'un IdP avec Docker SSO ?

Oui. Docker prend en charge plusieurs configurations IdP. Un domaine peut être associé avec plusieurs IdP. Docker prend en charge Entra ID (anciennement Azure AD) et les fournisseurs d'identité qui prennent en charge SAML 2.0.

Est-il possible de changer mon fournisseur d'identité après avoir configuré SSO ?

Oui. Vous devez supprimer votre configuration IdP existante dans votre connexion Docker SSO puis configurer SSO en utilisant votre nouvel IdP. Si vous aviez déjà activé l'application, vous devriez désactiver l'application avant de mettre à jour la connexion SSO du fournisseur.

Quelles informations ai-je besoin de mon fournisseur d'identité pour configurer SSO ?

Pour activer SSO dans Docker, vous avez besoin des éléments suivants de votre IdP :

  • SAML : Entity ID, ACS URL, Single Logout URL et le certificat public X.509

  • Entra ID (anciennement Azure AD) : Client ID, Client Secret, AD Domain.

Que se passe-t-il si mon certificat existant expire ?

Si votre certificat existant a expiré, vous pourriez avoir besoin de contacter votre fournisseur d'identité pour récupérer un nouveau certificat X.509. Ensuite, vous devez mettre à jour le certificat dans les paramètres de configuration SSO dans Docker Hub ou Docker Admin Console.

Que se passe-t-il si mon IdP tombe en panne quand SSO est activé ?

Si SSO est appliqué, alors il n'est pas possible d'accéder à Docker Hub quand votre IdP est en panne. Vous pouvez toujours accéder aux images Docker Hub depuis le CLI en utilisant votre Jeton d'Accès Personnel.

Si SSO est activé mais pas appliqué, alors les utilisateurs pourraient se rabattre sur l'authentification avec nom d'utilisateur/mot de passe et déclencher un flux de réinitialisation de mot de passe (si nécessaire).

Comment gérer les comptes utilisant Docker Hub comme registre secondaire ? Ai-je besoin d'un compte bot ?

Vous pouvez ajouter un compte bot à votre IdP et créer un jeton d'accès pour lui pour remplacer les autres identifiants.

Un compte bot a-t-il besoin d'un siège pour accéder à une organisation utilisant SSO ?

Oui, les comptes bot ont besoin d'un siège, similaire à un utilisateur final régulier, ayant un email de domaine non-aliasé activé dans l'IdP et utilisant un siège dans Hub.

SAML SSO utilise-t-il le provisioning Just-in-Time ?

L'implémentation SSO utilise le provisioning Just-in-Time (JIT) par défaut. Vous pouvez optionnellement désactiver JIT dans la Console Admin si vous activez l'auto-provisioning en utilisant SCIM. Voir Provisioning Just-in-Time.

La connexion initiée par IdP est-elle disponible ?

Docker SSO ne prend pas en charge la connexion initiée par IdP, seulement la connexion initiée par le Fournisseur de Service (SP-initiated).

Est-il possible de connecter Docker Hub directement avec un groupe Microsoft Entra (anciennement Azure AD) ?

Oui, Entra ID (anciennement Azure AD) est pris en charge avec SSO pour Docker Business, à la fois via une intégration directe et via SAML.

Ma connexion SSO avec Entra ID ne fonctionne pas et je reçois une erreur que l'application est mal configurée. Comment puis-je résoudre cela ?

Confirmez que vous avez configuré les permissions API nécessaires dans Entra ID (anciennement Azure AD) pour votre connexion SSO. Vous devez accorder le consentement administrateur dans votre locataire Entra ID (anciennement Azure AD). Voir Documentation Entra ID (anciennement Azure AD).