⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Provisioning SCIM

Table des matières
Subscription: Business
For: Administrators

Le Système de Gestion d'Identité Inter-domaines (SCIM) est disponible pour les clients Docker Business. Ce guide fournit un aperçu du provisioning SCIM.

Comment fonctionne SCIM

SCIM automatise le provisioning et dé-provisioning des utilisateurs pour Docker via votre fournisseur d'identité (IdP). Après avoir activé SCIM, tout utilisateur assigné à votre application Docker dans votre IdP est automatiquement provisionné et ajouté à votre organisation Docker. Quand un utilisateur est retiré de l'application Docker dans votre IdP, SCIM le désactive et le retire de votre organisation Docker.

En plus du provisioning et retrait, SCIM synchronise aussi les mises à jour de profil comme les changements de nom—effectués dans votre IdP. Vous pouvez utiliser SCIM aux côtés du provisioning Just-in-Time (JIT) par défaut de Docker ou seul avec JIT désactivé.

SCIM automatise :

  • Créer des utilisateurs
  • Mettre à jour les profils utilisateur
  • Retirer et désactiver les utilisateurs
  • Ré-activer les utilisateurs
  • Mappage de groupe
Note

SCIM ne gère que les utilisateurs provisionnés via votre IdP après que SCIM soit activé. Il ne peut pas retirer les utilisateurs qui ont été ajoutés manuellement à votre organisation Docker avant que SCIM soit configuré.

Pour retirer ces utilisateurs, supprimez-les manuellement de votre organisation Docker. Pour plus d'informations, voir Gérer les membres d'organisation.

Attributs pris en charge

SCIM utilise des attributs (ex. nom, email) pour synchroniser les informations utilisateur entre votre IdP et Docker. Mapper correctement ces attributs dans votre IdP assure que le provisioning utilisateur fonctionne en douceur et empêche des problèmes comme les comptes utilisateur dupliqués lors de l'utilisation du single sign-on (SSO).

Docker prend en charge les attributs SCIM suivants :

Attribut Description
userName Adresse email principale de l'utilisateur, utilisée comme identifiant unique
name.givenName Prénom de l'utilisateur
name.familyName Nom de famille de l'utilisateur
active Indique si un utilisateur est activé ou désactivé, définir à "false" pour dé-provisionner un utilisateur

Pour des détails supplémentaires sur les attributs pris en charge et SCIM, voir Référence SCIM API Docker Hub.

Important

Par défaut, Docker utilise le provisioning Just-in-Time (JIT) pour SSO. Si SCIM est activé, les valeurs JIT ont toujours priorité et écraseront les valeurs d'attribut définies par SCIM. Pour éviter les conflits, assurez-vous que vos valeurs d'attribut JIT correspondent à vos valeurs SCIM.

Alternativement, vous pouvez désactiver le provisioning JIT pour vous appuyer uniquement sur SCIM. Pour des détails, voir Just-in-Time.

Prérequis

  • Vous avez configuré SSO avec Docker et vérifié votre domaine.
  • Vous avez accès au portail administrateur de votre fournisseur d'identité avec permission de créer et gérer des applications.

Activer SCIM dans Docker

Vous devez configurer SSO avant d'activer SCIM. Forcer SSO n'est pas requis pour utiliser SCIM.

  1. Sign in to the Admin Console.
  2. Select your organization or company in the left navigation drop-down menu, and then select SSO and SCIM.
  3. In the SSO connections table, select the Actions icon and Setup SCIM.
  4. Copy the SCIM Base URL and API Token and paste the values into your IdP.
Important

La gestion des organisations est en cours de transfert vers la console d'administration.

Gérez les membres, les équipes, les paramètres et les journaux d'activité dans la console d'administration Docker. L'accès à ces fonctionnalités dans Docker Hub prendra bientôt fin. Explorez la console d'administration.

  1. Sign in to Docker Hub.
  2. Navigate to the SSO settings page for your organization.
    • Organization: Select My Hub, your organization, Settings, and then Security.
  3. In the SSO connections table, select the Actions icon and Setup SCIM.
  4. Copy the SCIM Base URL and API Token and paste the values into your IdP.

Activer SCIM dans votre IdP

L'interface utilisateur de votre IdP peut différer légèrement des étapes suivantes. Vous pouvez vous référer à la documentation de votre IdP pour vérifier. Pour des détails supplémentaires, voir la documentation de votre IdP :

Note

Microsoft ne prend actuellement pas en charge SCIM et OIDC dans la même application non-galerie dans Entra ID. Ce guide fournit une solution de contournement vérifiée utilisant une application non-galerie séparée pour le provisioning SCIM. Bien que Microsoft ne documente pas officiellement cette configuration, elle est largement utilisée et supportée en pratique.

Étape une : Activer SCIM

  1. Connectez-vous à Okta et sélectionnez Admin pour ouvrir le portail admin.
  2. Ouvrez l'application que vous avez créée quand vous avez configuré votre connexion SSO.
  3. Sur la page d'application, sélectionnez l'onglet Général, puis Modifier les Paramètres d'App.
  4. Activez le provisioning SCIM, puis sélectionnez Sauvegarder.
  5. Maintenant vous pouvez accéder à l'onglet Provisioning dans Okta. Naviguez vers cet onglet, puis sélectionnez Modifier la Connexion SCIM.
  6. Pour configurer SCIM dans Okta, configurez votre connexion en utilisant les valeurs et paramètres suivants :
    • URL Base SCIM : URL de base du connecteur SCIM (copiée depuis Docker Hub)
    • Champ d'identifiant unique pour les utilisateurs : email
    • Actions de provisioning supportées : Pousser Nouveaux Utilisateurs et Pousser Mises à Jour de Profil
    • Mode d'Authentification : En-tête HTTP
    • Jeton Bearer SCIM : Jeton Bearer d'Autorisation d'En-tête HTTP (copié depuis Docker Hub)
  7. Sélectionnez Tester la Configuration du Connecteur.
  8. Examinez les résultats de test et sélectionnez Sauvegarder.

Étape deux : Activer la synchronisation

  1. Dans Okta, sélectionnez Provisioning.
  2. Sélectionnez Vers l'App, puis Modifier.
  3. Activez Créer Utilisateurs, Mettre à Jour Attributs Utilisateur, et Désactiver Utilisateurs.
  4. Sélectionnez Sauvegarder.
  5. Retirez les mappages non nécessaires. Les mappages nécessaires sont :
    • Nom d'utilisateur
    • Prénom
    • Nom de famille
    • Email

Microsoft ne prend pas en charge SCIM et OIDC dans la même application non-galerie. Vous devez créer une seconde application non-galerie dans Entra ID pour le provisioning SCIM.

Étape une : Créer une app SCIM séparée

  1. Dans le Portail Azure, allez à Microsoft Entra ID > Applications d'Entreprise > Nouvelle application.
  2. Sélectionnez Créer votre propre application.
  3. Nommez votre application et choisissez Intégrer toute autre application que vous ne trouvez pas dans la galerie.
  4. Sélectionnez Créer.

Étape deux : Configurer le provisioning SCIM

  1. Dans votre nouvelle application SCIM, allez à Provisioning > Commencer.
  2. Définissez Mode de Provisioning à Automatique.
  3. Sous Identifiants Admin :
    • URL de Locataire : Collez l'URL Base SCIM de Docker.
    • Jeton Secret : Collez le jeton API SCIM de Docker.
  4. Sélectionnez Tester la Connexion pour vérifier.
  5. Sélectionnez Sauvegarder pour stocker les identifiants.

Ensuite, configurez le mappage de rôle.

Configurer le provisioning SCIM

  1. Dans le Portail Azure, allez à Microsoft Entra ID > Applications d'Entreprise, et sélectionnez votre app SAML Docker.
  2. Sélectionnez Provisioning > Commencer.
  3. Définissez Mode de Provisioning à Automatique.
  4. Sous Identifiants Admin :
    • URL de Locataire : Collez l'URL Base SCIM de Docker.
    • Jeton Secret : Collez le jeton API SCIM de Docker.
  5. Sélectionnez Tester la Connexion pour vérifier.
  6. Sélectionnez Sauvegarder pour stocker les identifiants.

Ensuite, configurez le mappage de rôle.

Configurer le mappage de rôle

Vous pouvez assigner des rôles Docker aux utilisateurs en ajoutant des attributs SCIM optionnels dans votre IdP. Ces attributs écrasent les valeurs de rôle et équipe par défaut définies dans votre configuration SSO.

Note

Les mappages de rôle sont pris en charge pour SCIM et le provisioning Just-in-Time (JIT). Pour JIT, le mappage de rôle s'applique seulement quand l'utilisateur est d'abord provisionné.

Le tableau suivant liste les attributs optionnels au niveau utilisateur pris en charge :

Attribut Valeurs possibles Notes
dockerRole member, editor, ou owner Si non défini, l'utilisateur a par défaut le rôle member. Définir cet attribut écrase la valeur par défaut.

Pour les définitions de rôle, voir Rôles et permissions.
dockerOrg organizationName Docker (ex. moby) Écrase l'organisation par défaut configurée dans votre connexion SSO.

Si non défini, l'utilisateur est provisionné à l'organisation par défaut. Si dockerOrg et dockerTeam sont tous deux définis, l'utilisateur est provisionné à l'équipe dans l'organisation spécifiée.
dockerTeam teamName Docker (ex. developers) Provisionne l'utilisateur à l'équipe spécifiée dans l'organisation par défaut ou spécifiée. Si l'équipe n'existe pas, elle est automatiquement créée.

Vous pouvez toujours utiliser le mappage de groupe pour assigner des utilisateurs à plusieurs équipes dans les organisations.

L'espace de nom externe utilisé pour ces attributs est : urn:ietf:params:scim:schemas:extension:docker:2.0:User. Cette valeur est requise dans votre IdP lors de la création d'attributs SCIM personnalisés pour Docker.

Étape une : Configurer le mappage de rôle dans Okta

  1. Configurez SSO et SCIM d'abord.
  2. Dans le portail admin Okta, allez à Répertoire, sélectionnez Éditeur de Profil, puis Utilisateur (Par défaut).
  3. Sélectionnez Ajouter Attribut et configurez les valeurs pour le rôle, organisation, ou équipe que vous voulez ajouter. Un nommage exact n'est pas requis.
  4. Retournez à l'Éditeur de Profil et sélectionnez votre application.
  5. Sélectionnez Ajouter Attribut et entrez les valeurs requises. Le Nom Externe et Espace de Nom Externe doivent être exacts. Les valeurs de nom externe pour le mappage organisation/équipe/rôle sont dockerOrg, dockerTeam, et dockerRole respectivement, comme listé dans le tableau précédent. L'espace de nom externe est le même pour tous : urn:ietf:params:scim:schemas:extension:docker:2.0:User.
  6. Après avoir créé les attributs, naviguez vers le haut de la page et sélectionnez Mappages, puis Utilisateur Okta vers VOTRE APP.
  7. Allez aux attributs nouvellement créés et mappez les noms de variable aux noms externes, puis sélectionnez Sauvegarder les Mappages. Si vous utilisez le provisioning JIT, continuez vers les étapes suivantes.
  8. Naviguez vers Applications et sélectionnez VOTRE APP.
  9. Sélectionnez Général, puis Paramètres SAML, et Modifier.
  10. Sélectionnez Étape 2 et configurez le mappage de l'attribut utilisateur vers les variables Docker.

Étape deux : Assigner des rôles par utilisateur

  1. Dans le portail Admin Okta, sélectionnez Répertoire, puis Personnes.
  2. Sélectionnez Profil, puis Modifier.
  3. Sélectionnez Attributs et mettez à jour les attributs aux valeurs désirées.

Étape trois : Assigner des rôles par groupe

  1. Dans le portail Admin Okta, sélectionnez Répertoire, puis Personnes.
  2. Sélectionnez VOTRE GROUPE, puis Applications.
  3. Ouvrez VOTRE APPLICATION et sélectionnez l'icône Modifier.
  4. Mettez à jour les attributs aux valeurs désirées.

Si un utilisateur n'a pas déjà des attributs configurés, les utilisateurs qui sont ajoutés au groupe hériteront de ces attributs lors du provisioning.

Étape une : Configurer les mappages d'attribut

  1. Complétez la configuration du provisioning SCIM.
  2. Dans le Portail Azure, ouvrez Microsoft Entra ID > Applications d'Entreprise, et sélectionnez votre application SCIM.
  3. Allez à Provisioning > Mappages > Provisionner les Utilisateurs Azure Active Directory.
  4. Ajoutez ou mettez à jour les mappages suivants :
    • userPrincipalName -> userName
    • mail -> emails.value
    • Optionnel. Mappez dockerRole, dockerOrg, ou dockerTeam en utilisant une des méthodes de mappage.
  5. Retirez tous attributs non supportés pour empêcher les erreurs de synchronisation.
  6. Optionnel. Allez à Mappages > Provisionner les Groupes Azure Active Directory :
    • Si le provisioning de groupe cause des erreurs, définissez Activé à Non.
    • Si activation, testez les mappages de groupe soigneusement.
  7. Sélectionnez Sauvegarder pour appliquer les mappages.

Étape deux : Choisir une méthode de mappage de rôle

Vous pouvez mapper dockerRole, dockerOrg, ou dockerTeam en utilisant une des méthodes suivantes :

Mappage d'expression

Utilisez cette méthode si vous avez seulement besoin d'assigner des rôles Docker comme member, editor, ou owner.

  1. Dans la vue Modifier Attribut, définissez le type de mappage à Expression.
  2. Dans le champ Expression :
    1. Si vos Rôles d'App correspondent exactement aux rôles Docker, utilisez : SingleAppRoleAssignment([appRoleAssignments])
    2. S'ils ne correspondent pas, utilisez une expression switch : Switch(SingleAppRoleAssignment([appRoleAssignments]), "My Corp Admins", "owner", "My Corp Editors", "editor", "My Corp Users", "member")
  3. Définissez :
    • Attribut cible : urn:ietf:params:scim:schemas:extension:docker:2.0:User:dockerRole
    • Faire correspondre les objets utilisant cet attribut : Non
    • Appliquer ce mappage : Toujours
  4. Sauvegardez vos changements.
Warning

Vous ne pouvez pas utiliser dockerOrg ou dockerTeam avec cette méthode. Le mappage d'expression n'est compatible qu'avec un attribut.

Mappage direct

Utilisez cette méthode si vous avez besoin de mapper plusieurs attributs (ex. dockerRole + dockerTeam).

  1. Pour chaque attribut Docker, choisissez un attribut d'extension Entra unique (ex. extensionAttribute1, extensionAttribute2, etc.).
  2. Dans la vue Modifier Attribut :
    • Définissez le type de mappage à Direct.
    • Définissez Attribut source à votre attribut d'extension sélectionné (ex. extensionAttribute1).
    • Définissez Attribut cible à un de :
      • dockerRole: urn:ietf:params:scim:schemas:extension:docker:2.0:User:dockerRole
      • dockerOrg: urn:ietf:params:scim:schemas:extension:docker:2.0:User:dockerOrg
      • dockerTeam: urn:ietf:params:scim:schemas:extension:docker:2.0:User:dockerTeam
    • Définissez Appliquer ce mappage à Toujours.
  3. Sauvegardez vos changements.

Pour assigner des valeurs, vous devrez utiliser l'API Microsoft Graph.

Étape trois : Assigner des utilisateurs et groupes

Pour l'une ou l'autre méthode de mappage :

  1. Dans l'app SCIM, allez à Utilisateurs et Groupes > Ajouter utilisateur/groupe.
  2. Sélectionnez les utilisateurs ou groupes à provisionner vers Docker.
  3. Sélectionnez Assigner.

Si vous utilisez le mappage d'expression :

  1. Allez à Enregistrements d'App > votre app SCIM > Rôles d'App.
  2. Créez des Rôles d'App qui correspondent aux rôles Docker.
  3. Assignez des utilisateurs ou groupes aux Rôles d'App sous Utilisateurs et Groupes.

Si vous utilisez le mappage direct :

  1. Allez à Microsoft Graph Explorer et connectez-vous en tant qu'admin de locataire.
  2. Utilisez l'API Microsoft Graph pour assigner des valeurs d'attribut. Exemple de requête PATCH :
PATCH https://graph.microsoft.com/v1.0/users/{user-id}
Content-Type: application/json

{
  "extensionAttribute1": "owner",
  "extensionAttribute2": "moby",
  "extensionAttribute3": "developers"
}
Note

Vous devez utiliser un attribut d'extension différent pour chaque champ SCIM.

Voir la documentation de votre IdP pour des détails supplémentaires :

Tester le provisioning SCIM

Après avoir complété le mappage de rôle, vous pouvez tester la configuration manuellement.

  1. Dans le portail admin Okta, allez à Répertoire > Personnes.
  2. Sélectionnez un utilisateur que vous avez assigné à votre application SCIM.
  3. Sélectionnez Provisionner Utilisateur.
  4. Attendez quelques secondes, puis vérifiez la Console Admin Docker sous Membres.
  5. Si l'utilisateur n'apparaît pas, examinez les journaux dans Rapports > Journal Système et confirmez les paramètres SCIM dans l'app.
  1. Dans le Portail Azure, allez à Microsoft Entra ID > Applications d'Entreprise, et sélectionnez votre app SCIM.
  2. Allez à Provisioning > Provisionner à la demande.
  3. Sélectionnez un utilisateur ou groupe et choisissez Provisionner.
  4. Confirmez que l'utilisateur apparaît dans la Console Admin Docker sous Membres.
  5. Si nécessaire, vérifiez Journaux de provisioning pour les erreurs.

Désactiver SCIM

Si SCIM est désactivé, tout utilisateur provisionné via SCIM restera dans l'organisation. Les changements futurs pour vos utilisateurs ne se synchroniseront pas depuis votre IdP. Le dé-provisioning d'utilisateur n'est possible que lors de la suppression manuelle de l'utilisateur de l'organisation.

  1. Sign in to the Admin Console.
  2. Select your organization or company in the left navigation drop-down menu, and then select SSO and SCIM.
  3. In the SSO connections table, select the Actions icon.
  4. Select Disable SCIM.
Important

La gestion des organisations est en cours de transfert vers la console d'administration.

Gérez les membres, les équipes, les paramètres et les journaux d'activité dans la console d'administration Docker. L'accès à ces fonctionnalités dans Docker Hub prendra bientôt fin. Explorez la console d'administration.

  1. Sign in to Docker Hub.
  2. Navigate to the SSO settings page for your organization.
    • Organization: Select My Hub, your organization, Settings, and then Security.
  3. In the SSO connections table, select the Actions icon.
  4. Select Disable SCIM.

Plus de ressources

Les vidéos suivantes démontrent comment configurer SCIM pour votre IdP :

Référez-vous au guide de dépannage suivant si nécessaire :