⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Mappage de groupe

Table des matières
Subscription: Business
For: Administrators

Le mappage de groupe vous permet de synchroniser les groupes d'utilisateurs de votre fournisseur d'identité (IdP) avec les équipes de votre organisation Docker. Ceci automatise la gestion de l'appartenance aux équipes, gardant vos équipes Docker à jour selon les changements dans votre IdP. Vous pouvez utiliser le mappage de groupe une fois que vous avez configuré single sign-on (SSO).

Tip

Le mappage de groupe est idéal pour ajouter des utilisateurs à plusieurs organisations ou plusieurs équipes dans une organisation. Si vous n'avez pas besoin de configurer une assignation multi-organisation ou multi-équipe, vous pouvez utiliser les attributs au niveau utilisateur SCIM.

Comment fonctionne le mappage de groupe

Avec le mappage de groupe activé, quand un utilisateur s'authentifie via SSO, votre IdP partage des attributs clés avec Docker, tels que l'adresse email de l'utilisateur, le nom, et les groupes. Docker utilise ces attributs pour créer ou mettre à jour le profil de l'utilisateur, ainsi que pour gérer leurs assignations d'équipe et d'organisation. Avec le mappage de groupe, les appartenances d'équipe des utilisateurs dans Docker reflètent automatiquement les changements effectués dans vos groupes IdP.

Il est important de noter que Docker utilise l'adresse email de l'utilisateur comme identifiant unique. Chaque compte Docker doit toujours avoir une adresse email unique.

Utiliser le mappage de groupe

Pour assigner des utilisateurs aux équipes Docker via votre IdP, vous devez créer des groupes dans votre IdP suivant le motif de nommage : organisation:équipe. Par exemple, si votre organisation s'appelle "moby" et vous voulez gérer l'équipe "développeurs", le nom du groupe dans votre IdP devrait être moby:développeurs. Dans cet exemple, tout utilisateur ajouté à ce groupe dans votre IdP est automatiquement assigné à l'équipe "développeurs" dans Docker.

Vous pouvez aussi utiliser ce format pour assigner des utilisateurs à plusieurs organisations. Par exemple, pour ajouter un utilisateur à l'équipe "backend" dans l'organisation "moby" et l'équipe "desktop" dans l'organisation "whale", les noms de groupe seraient moby:backend et whale:desktop.

Tip

Faites correspondre les noms de groupe dans votre IdP avec vos équipes Docker. Quand les groupes sont synchronisés, Docker crée une équipe si elle n'existe pas déjà.

La liste suivante énumère les attributs de mappage de groupe pris en charge :

Attribut Description
id ID unique du groupe au format UUID. Cet attribut est en lecture seule.
displayName Nom du groupe suivant le format de mappage de groupe : organisation:équipe.
members Une liste d'utilisateurs qui sont membres de ce groupe.
members(x).value ID unique de l'utilisateur qui est membre de ce groupe. Les membres sont référencés par ID.

Les étapes générales pour utiliser le mappage de groupe sont :

  1. Dans votre IdP, créez des groupes avec le format organisation:équipe.
  2. Ajoutez des utilisateurs au groupe.
  3. Ajoutez l'application Docker que vous avez créée dans votre IdP au groupe.
  4. Ajoutez des attributs dans l'IdP.
  5. Poussez les groupes vers Docker.

La configuration exacte peut varier selon votre IdP. Vous pouvez utiliser le mappage de groupe avec SSO, ou avec SSO et SCIM activé.

Utiliser le mappage de groupe avec SSO

Les étapes suivantes décrivent comment configurer et utiliser le mappage de groupe avec des connexions SSO qui utilisent la méthode d'authentification SAML. Notez que le mappage de groupe avec SSO n'est pas pris en charge avec la méthode d'authentification Azure AD (OIDC). De plus, SCIM n'est pas requis pour ces configurations.

L'interface utilisateur de votre IdP peut différer légèrement des étapes suivantes. Vous pouvez vous référer à la documentation Okta pour vérifier.

Pour configurer le mappage de groupe :

  1. Connectez-vous à Okta et ouvrez votre application.
  2. Naviguez vers la page Paramètres SAML de votre application.
  3. Dans la section Déclarations d'Attribut de Groupe (optionnel), configurez comme suit :
    • Nom : groups
    • Format de nom : Non spécifié
    • Filtre : Commence par + organisation:organisation est le nom de votre organisation L'option de filtre filtrera les groupes qui ne sont pas affiliés à votre organisation Docker.
  4. Créez vos groupes en sélectionnant Répertoire, puis Groupes.
  5. Ajoutez vos groupes en utilisant le format organisation:équipe qui correspond aux noms de votre/vos organisation(s) et équipe(s) dans Docker.
  6. Assignez des utilisateurs au(x) groupe(s) que vous créez.

La prochaine fois que vous synchronisez vos groupes avec Docker, vos utilisateurs seront mappés aux groupes Docker que vous avez définis.

L'interface utilisateur de votre IdP peut différer légèrement des étapes suivantes. Vous pouvez vous référer à la documentation Entra ID pour vérifier.

Pour configurer le mappage de groupe :

  1. Connectez-vous à Entra ID et ouvrez votre application.
  2. Sélectionnez Gérer, puis Single sign-on.
  3. Sélectionnez Ajouter une revendication de groupe.
  4. Dans la section Revendications de Groupe, sélectionnez Groupes assignés à l'application avec l'attribut source Noms d'affichage de groupe cloud uniquement (Aperçu).
  5. Sélectionnez Options avancées, puis l'option Filtrer les groupes.
  6. Configurez l'attribut comme suit :
    • Attribut à faire correspondre : Nom d'affichage
    • Faire correspondre avec : Contient
    • Chaîne : :
  7. Sélectionnez Sauvegarder.
  8. Sélectionnez Groupes, Tous les groupes, puis Nouveau groupe pour créer votre/vos groupe(s).
  9. Assignez des utilisateurs au(x) groupe(s) que vous créez.

La prochaine fois que vous synchronisez vos groupes avec Docker, vos utilisateurs seront mappés aux groupes Docker que vous avez définis.

Utiliser le mappage de groupe avec SCIM

Les étapes suivantes décrivent comment configurer et utiliser le mappage de groupe avec SCIM. Avant de commencer, assurez-vous de configurer SCIM d'abord.

L'interface utilisateur de votre IdP peut différer légèrement des étapes suivantes. Vous pouvez vous référer à la documentation Okta pour vérifier.

Pour configurer vos groupes :

  1. Connectez-vous à Okta et ouvrez votre application.
  2. Sélectionnez Applications, puis Provisioning, et Intégration.
  3. Sélectionnez Modifier pour activer les groupes sur votre connexion, puis sélectionnez Pousser les groupes.
  4. Sélectionnez Sauvegarder. Sauvegarder cette configuration ajoutera l'onglet Pousser les Groupes à votre application.
  5. Créez vos groupes en naviguant vers Répertoire et en sélectionnant Groupes.
  6. Ajoutez vos groupes en utilisant le format organisation:équipe qui correspond aux noms de votre/vos organisation(s) et équipe(s) dans Docker.
  7. Assignez des utilisateurs au(x) groupe(s) que vous créez.
  8. Retournez à la page Intégration, puis sélectionnez l'onglet Pousser les Groupes pour ouvrir la vue où vous pouvez contrôler et gérer comment les groupes sont provisionnés.
  9. Sélectionnez Pousser les Groupes, puis Trouver les groupes par règle.
  10. Configurez les groupes par règle comme suit :
    • Entrez un nom de règle, par exemple Synchroniser les groupes avec Docker Hub
    • Faire correspondre le groupe par nom, par exemple commence par docker: ou contient : pour multi-organisation
    • Si vous activez Pousser immédiatement les groupes par règle, la synchronisation se produira dès qu'il y a un changement dans le groupe ou les assignations de groupe. Activez ceci si vous ne voulez pas pousser manuellement les groupes.

Trouvez votre nouvelle règle sous Par règle dans la colonne Groupes Poussés. Les groupes qui correspondent à cette règle sont listés dans le tableau des groupes sur le côté droit.

Pour pousser les groupes de ce tableau :

  1. Sélectionnez Groupe dans Okta.
  2. Sélectionnez le menu déroulant Statut de Poussée.
  3. Sélectionnez Pousser Maintenant.

L'interface utilisateur de votre IdP peut différer légèrement des étapes suivantes. Vous pouvez vous référer à la documentation Entra ID pour vérifier.

Complétez ce qui suit avant de configurer le mappage de groupe :

  1. Connectez-vous à Entra ID et allez à votre application.
  2. Dans votre application, sélectionnez Provisioning, puis Mappages.
  3. Sélectionnez Provisionner les Groupes Microsoft Entra ID.
  4. Sélectionnez Afficher les options avancées, puis Modifier la liste d'attributs.
  5. Mettez à jour le type externalId vers reference, puis sélectionnez la case Multi-Valeur et choisissez l'attribut d'objet référencé urn:ietf:params:scim:schemas:core:2.0:Group.
  6. Sélectionnez Sauvegarder, puis Oui pour confirmer.
  7. Allez à Provisioning.
  8. Basculez Statut de Provisioning vers Activé, puis sélectionnez Sauvegarder.

Ensuite, configurez le mappage de groupe :

  1. Allez à la page d'aperçu de l'application.
  2. Sous Provisionner les comptes utilisateur, sélectionnez Commencer.
  3. Sélectionnez Ajouter utilisateur/groupe.
  4. Créez votre/vos groupe(s) en utilisant le format organisation:équipe.
  5. Assignez le groupe au groupe de provisioning.
  6. Sélectionnez Commencer le provisioning pour démarrer la synchronisation.

Pour vérifier, sélectionnez Surveiller, puis Journaux de provisioning pour voir que vos groupes ont été provisionnés avec succès. Dans votre organisation Docker, vous pouvez vérifier que les groupes ont été correctement provisionnés et les membres ont été ajoutés aux équipes appropriées.

Une fois terminé, un utilisateur qui se connecte à Docker via SSO est automatiquement ajouté aux organisations et équipes mappées dans l'IdP.

Tip

Activez SCIM pour profiter du provisioning et dé-provisioning automatique d'utilisateurs. Si vous n'activez pas SCIM, les utilisateurs ne sont que automatiquement provisionnés. Vous devez les dé-provisionner manuellement.

Plus de ressources

Les vidéos suivantes démontrent comment utiliser le mappage de groupe avec votre IdP avec SCIM activé :