⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

FAQ sur SSO et la gestion des utilisateurs

Table des matières

Comment gérer les utilisateurs lors de l'utilisation de SSO ?

Vous pouvez gérer les utilisateurs via les organisations dans Docker Hub ou la Console d'Administration. Lorsque vous configurez SSO dans Docker, vous devez vous assurer qu'un compte existe pour chaque utilisateur dans votre compte IdP. Quand un utilisateur se connecte à Docker pour la première fois en utilisant son adresse e-mail de domaine, il sera automatiquement ajouté à l'organisation après une authentification réussie.

Dois-je ajouter manuellement les utilisateurs à mon organisation ?

Non, vous n'avez pas besoin d'ajouter manuellement les utilisateurs à votre organisation dans Docker ou la Console d'Administration. Vous devez juste vous assurer qu'un compte pour vos utilisateurs existe dans votre IdP. Quand les utilisateurs se connectent à Docker, ils sont automatiquement assignés à l'organisation en utilisant leur adresse e-mail de domaine.

Quand un utilisateur se connecte à Docker pour la première fois en utilisant son adresse e-mail de domaine, il sera automatiquement ajouté à l'organisation après une authentification réussie.

Les utilisateurs de mon organisation peuvent-ils utiliser des adresses e-mail différentes pour s'authentifier via SSO ?

Pendant la configuration SSO, vous devrez spécifier les domaines e-mail d'entreprise qui sont autorisés à s'authentifier. Tous les utilisateurs de votre organisation doivent s'authentifier en utilisant le domaine e-mail spécifié pendant la configuration SSO. Certains de vos utilisateurs peuvent vouloir maintenir un compte différent pour leurs projets personnels.

Si SSO n'est pas appliqué, les utilisateurs avec une adresse e-mail qui ne correspond pas au domaine e-mail vérifié peuvent se connecter avec nom d'utilisateur et mot de passe pour rejoindre l'organisation comme invités.

Les propriétaires d'organisation et d'entreprise Docker peuvent-ils approuver les utilisateurs pour rejoindre une organisation et utiliser un siège, plutôt que de les ajouter automatiquement quand SSO est activé ?

Les propriétaires d'organisation et d'entreprise peuvent approuver les utilisateurs en configurant leurs permissions via leur IdP. Si le compte utilisateur est configuré dans l'IdP, l'utilisateur sera automatiquement ajouté à l'organisation dans Docker Hub tant qu'il y a un siège disponible.

Comment les utilisateurs seront-ils informés qu'ils font partie d'une organisation Docker ?

Quand SSO est activé, les utilisateurs seront invités à s'authentifier via SSO la prochaine fois qu'ils essaient de se connecter à Docker Hub ou Docker Desktop. Le système verra que l'utilisateur final a un e-mail de domaine associé au Docker ID avec lequel il essaie de s'authentifier, et l'incitera à se connecter avec l'e-mail et les identifiants SSO à la place.

Si les utilisateurs tentent de se connecter via CLI, ils doivent s'authentifier en utilisant un jeton d'accès personnel (PAT).

Est-il possible de forcer les utilisateurs de Docker Desktop à s'authentifier, et/ou s'authentifier en utilisant le domaine de leur entreprise ?

Oui. Les administrateurs peuvent forcer les utilisateurs à s'authentifier avec Docker Desktop en utilisant une clé de registre, un fichier .plist, ou un fichier registry.json.

Une fois l'application SSO configurée sur leur organisation ou entreprise Docker Business sur Hub, quand l'utilisateur est forcé de s'authentifier avec Docker Desktop, l'application SSO forcera aussi les utilisateurs à s'authentifier via SSO avec leur IdP (au lieu de s'authentifier en utilisant leur nom d'utilisateur et mot de passe).

Les utilisateurs peuvent encore être capables de s'authentifier comme compte invité en utilisant une adresse e-mail qui ne correspond pas au domaine vérifié. Cependant, ils ne peuvent s'authentifier comme invités que si cet e-mail non-domaine a été invité.

Est-il possible de convertir les utilisateurs existants de comptes non-SSO vers SSO ?

Oui, vous pouvez convertir les utilisateurs existants vers un compte SSO. Pour convertir les utilisateurs d'un compte non-SSO :

  • Assurez-vous que vos utilisateurs ont une adresse e-mail de domaine d'entreprise et qu'ils ont un compte dans votre IdP.
  • Vérifiez que tous les utilisateurs ont Docker Desktop version 4.4.2 ou ultérieure installée sur leurs machines.
  • Chaque utilisateur a créé un PAT pour remplacer leurs mots de passe pour leur permettre de se connecter via Docker CLI.
  • Confirmez que tous les systèmes d'automatisation de pipelines CI/CD ont remplacé leurs mots de passe par des PAT.

Pour les prérequis détaillés et instructions sur comment activer SSO, voir Configurer la Connexion Unique.

Quel impact les utilisateurs peuvent-ils s'attendre une fois que nous commençons à les intégrer aux comptes SSO ?

Quand SSO est activé et appliqué, vos utilisateurs doivent juste se connecter en utilisant l'adresse e-mail de domaine vérifié.

Est-ce que Docker SSO est entièrement synchronisé avec l'IdP ?

Docker SSO fournit le provisioning Just-in-Time (JIT) par défaut, avec une option pour désactiver JIT. Les utilisateurs sont provisionnés quand un utilisateur s'authentifie avec SSO. Si un utilisateur quitte l'organisation, les administrateurs doivent se connecter à Docker et manuellement supprimer l'utilisateur de l'organisation.

SCIM est disponible pour fournir une synchronisation complète avec les utilisateurs et groupes. Quand vous auto-provisionnez les utilisateurs avec SCIM, la configuration recommandée est de désactiver JIT pour que tout l'auto-provisioning soit géré par SCIM.

De plus, vous pouvez utiliser l' API Docker Hub pour compléter ce processus.

Comment la désactivation du provisioning Just-in-Time impacte-t-elle la connexion utilisateur ?

L'option pour désactiver JIT est disponible quand vous utilisez la Console d'Administration et activez SCIM. Si un utilisateur tente de se connecter à Docker en utilisant une adresse e-mail qui est un domaine vérifié pour votre connexion SSO, il doit être membre de l'organisation pour y accéder, ou avoir une invitation en attente à l'organisation. Les utilisateurs qui ne répondent pas à ces critères rencontreront une erreur Accès refusé, et auront besoin d'un administrateur pour les inviter à l'organisation.

Voir Authentification SSO avec provisioning JIT désactivé.

Pour auto-provisionner les utilisateurs sans provisioning JIT, vous pouvez utiliser SCIM.

Quelle est la meilleure façon de provisionner l'abonnement Docker sans SSO ?

Les propriétaires d'entreprise ou d'organisation peuvent inviter les utilisateurs via Docker Hub ou la Console d'Administration, par adresse e-mail (pour tout utilisateur) ou par Docker ID (en supposant que l'utilisateur a un compte Docker existant).

Quelqu'un peut-il rejoindre une organisation sans invitation ? Est-il possible d'ajouter des utilisateurs spécifiques à une organisation avec des comptes e-mail existants ?

Pas sans SSO. Rejoindre nécessite une invitation d'un propriétaire d'organisation. Quand SSO est appliqué, alors les domaines vérifiés via SSO permettront aux utilisateurs de rejoindre automatiquement l'organisation la prochaine fois qu'ils se connectent comme utilisateur qui a un e-mail de domaine assigné.

Quand nous envoyons une invitation à l'utilisateur, le compte existant sera-t-il consolidé et conservé ?

Oui, le compte utilisateur existant rejoindra l'organisation avec tous les actifs conservés.

Comment puis-je voir, mettre à jour, et supprimer plusieurs adresses e-mail pour mes utilisateurs ?

Nous ne supportons qu'un e-mail par utilisateur sur la plateforme Docker.

Comment puis-je supprimer les invités à l'organisation qui ne se sont pas connectés ?

Vous pouvez aller à la page Membres pour votre organisation dans Docker Hub ou la Console d'Administration, voir les invitations en attente, et supprimer les invités selon vos besoins.

Le flux d'authentification de compte de service est-il différent d'un compte utilisateur UI ?

Non, nous ne différencions pas les deux dans le produit.

Les informations utilisateur sont-elles visibles dans Docker Hub ?

Tous les comptes Docker ont un profil public associé à leur espace de noms. Si vous ne voulez pas que les informations utilisateur (par exemple, nom complet) soient visibles, vous pouvez supprimer ces attributs de vos mappages SSO et SCIM. Alternativement, vous pouvez utiliser un identifiant différent pour remplacer le nom complet d'un utilisateur.

Que se passe-t-il pour les utilisateurs licenciés existants quand SCIM est activé ?

Activer SCIM ne supprime ou ne modifie pas immédiatement les utilisateurs licenciés existants dans votre organisation Docker. Ils conservent leur accès et rôles actuels, mais après avoir activé SCIM, vous les gérerez dans votre fournisseur d'identité (IdP). Si SCIM est désactivé plus tard, les utilisateurs précédemment gérés par SCIM restent dans Docker mais ne sont plus automatiquement mis à jour ou supprimés basé sur votre IdP.