Provisionner les utilisateurs
Une fois que vous avez configuré votre connexion SSO, l'étape suivante est de provisionner les utilisateurs. Ce processus assure que les utilisateurs peuvent accéder à votre organisation. Ce guide fournit un aperçu du provisioning d'utilisateurs et des méthodes de provisioning supportées.
Qu'est-ce que le provisioning ?
Le provisioning aide à gérer les utilisateurs en automatisant des tâches comme créer, mettre à jour, et désactiver les utilisateurs basé sur les données de votre fournisseur d'identité (IdP). Il y a trois méthodes pour le provisioning d'utilisateurs, avec des avantages pour différents besoins d'organisation :
| Méthode de provisioning | Description | Paramètre par défaut dans Docker | Recommandé pour |
|---|---|---|---|
| Just-in-Time (JIT) | Crée et provisionne automatiquement les comptes utilisateur lors de leur première connexion via SSO | Activé par défaut | Idéal pour les organisations qui ont besoin d'une configuration minimale, qui ont des petites équipes, ou des environnements de faible sécurité |
| System for Cross-domain Identity Management (SCIM) | Synchronise continuellement les données utilisateur entre votre IdP et Docker, assurant que les attributs utilisateur restent à jour sans nécessiter de mises à jour manuelles | Désactivé par défaut | Idéal pour les grandes organisations ou environnements avec des changements fréquents dans les informations utilisateur ou rôles |
| Mappage de groupe | Mappe les groupes d'utilisateurs de votre IdP à des rôles et permissions spécifiques dans Docker, permettant un contrôle d'accès finement ajusté basé sur l'appartenance au groupe | Désactivé par défaut | Idéal pour les organisations qui nécessitent un contrôle d'accès strict et pour gérer les utilisateurs basé sur leurs rôles et permissions |
Configuration de provisioning par défaut
Par défaut, Docker active le provisioning JIT quand vous configurez une connexion SSO. Avec JIT activé, les comptes utilisateur sont automatiquement créés la première fois qu'un utilisateur se connecte en utilisant votre flux SSO.
Le provisioning JIT peut ne pas fournir le niveau de contrôle ou sécurité dont certaines organisations ont besoin. Dans de tels cas, SCIM ou le mappage de groupe peuvent être configurés pour donner aux administrateurs plus de contrôle sur l'accès utilisateur et les attributs.
Attributs SSO
Quand un utilisateur se connecte via SSO, Docker obtient plusieurs attributs de votre IdP pour gérer l'identité et les permissions de l'utilisateur. Ces attributs incluent :
- Adresse e-mail : L'identifiant unique pour l'utilisateur
- Nom complet : Le nom complet de l'utilisateur
- Groupes : Optionnel. Utilisé pour le contrôle d'accès basé sur les groupes
- Docker Org : Optionnel. Spécifie l'organisation à laquelle l'utilisateur appartient
- Docker Team : Optionnel. Définit l'équipe à laquelle l'utilisateur appartient dans l'organisation
- Docker Role : Optionnel. Détermine la permission de l'utilisateur dans Docker
- Docker session minutes : Optionnel. Définit la durée de la session d'un utilisateur avant qu'il doive se ré-authentifier avec son fournisseur d'identité (IdP). La valeur doit être un entier positif supérieur à 0.
Si cet attribut n'est pas fourni, par défaut :
- Docker Desktop vous déconnecte après 90 jours, ou 30 jours d'inactivité.
- Docker Hub et Docker Home vous déconnectent après 24 heures.
Si votre organisation utilise SAML pour SSO, Docker récupère ces attributs du message d'assertion SAML. Gardez à l'esprit que différents IdP peuvent utiliser des noms différents pour ces attributs. Le tableau de référence suivant décrit les attributs SAML possibles utilisés par Docker :
| Attribut SSO | Attributs de Message d'Assertion SAML |
|---|---|
| Adresse e-mail | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", email |
| Nom complet | "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", name, "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname" |
| Groupes (optionnel) | "http://schemas.xmlsoap.org/claims/Group", "http://schemas.microsoft.com/ws/2008/06/identity/claims/groups", Groups, groups |
| Docker Org (optionnel) | dockerOrg |
| Docker Team (optionnel) | dockerTeam |
| Docker Role (optionnel) | dockerRole |
| Docker session minutes (optionnel) | dockerSessionMinutes, doit être un entier positif > 0 |
Quelle est la suite ?
Consultez les guides des méthodes de provisioning pour les étapes de configuration des méthodes de provisioning :