⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Créer une connexion SSO

Table des matières
Subscription: Business
For: Administrators

Créer une connexion de connexion unique (SSO) nécessite de configurer la connexion dans Docker d'abord, suivi de la configuration de la connexion dans votre fournisseur d'identité (IdP). Ce guide fournit les étapes pour configurer votre connexion SSO dans Docker et votre IdP.

Tip

Ce guide nécessite de copier et coller des valeurs dans Docker et votre IdP. Pour assurer un processus de connexion fluide, complétez toutes les étapes de ce guide en une session et gardez des navigateurs séparés ouverts pour Docker et votre IdP.

Prérequis

Assurez-vous d'avoir complété ce qui suit avant de commencer :

Étape un : Créer une connexion SSO dans Docker

Note

Avant de créer une connexion SSO dans Docker, vous devez vérifier au moins un domaine.

  1. Connectez-vous à la Console d'Administration.
  2. Sélectionnez votre organisation ou entreprise depuis la page Choisir le profil. Notez que lorsqu'une organisation fait partie d'une entreprise, vous devez sélectionner l'entreprise et configurer le domaine pour l'organisation au niveau de l'entreprise.
  3. Sous Sécurité et accès, sélectionnez SSO et SCIM.
  4. Sélectionnez Créer une Connexion et fournissez un nom pour la connexion.
  5. Sélectionnez une méthode d'authentification, SAML ou Azure AD (OIDC).
  6. Copiez les champs suivants pour ajouter à votre IdP :
    • Okta SAML : ID d'Entité, URL ACS
    • Azure OIDC : URL de Redirection
  7. Gardez cette fenêtre ouverte pour pouvoir coller les informations de connexion de votre IdP ici à la fin de ce guide.
Important

La gestion des organisations est en cours de transfert vers la console d'administration.

Gérez les membres, les équipes, les paramètres et les journaux d'activité dans la console d'administration Docker. L'accès à ces fonctionnalités dans Docker Hub prendra bientôt fin. Explorez la console d'administration.

  1. Connectez-vous à Docker Hub.
  2. Sélectionnez Mon Hub puis votre organisation dans la liste.
  3. Sur la page de votre organisation, sélectionnez Paramètres puis Sécurité.
  4. Dans le tableau des connexions SSO, sélectionnez Créer une Connexion et fournissez un nom pour la connexion.
  5. Sélectionnez une méthode d'authentification, SAML ou Azure AD (OIDC).
  6. Copiez les champs suivants pour ajouter à votre IdP :
    • Okta SAML : ID d'Entité, URL ACS
    • Azure OIDC : URL de Redirection
  7. Gardez cette fenêtre ouverte pour pouvoir coller les informations de connexion de votre IdP ici à la fin de ce guide.

Étape deux : Créer une connexion SSO dans votre IdP

L'interface utilisateur pour votre IdP peut différer légèrement des étapes suivantes. Référez-vous à la documentation de votre IdP pour vérifier.

  1. Connectez-vous à votre compte Okta.
  2. Sélectionnez Admin pour ouvrir le portail Admin Okta.
  3. Depuis la navigation de gauche, sélectionnez Administration.
  4. Sélectionnez Administration puis Créer une Intégration d'App.
  5. Sélectionnez SAML 2.0 puis Suivant.
  6. Entrez "Docker Hub" comme votre Nom d'App.
  7. Optionnel. Téléchargez un logo.
  8. Sélectionnez Suivant.
  9. Entrez les valeurs suivantes de Docker dans leurs champs Okta correspondants :
    • URL ACS Docker : URL de Connexion Unique
    • ID d'Entité Docker : URI d'Audience (ID d'Entité SP)
  10. Configurez les paramètres suivants dans Okta :
    • Format d'ID de nom : EmailAddress
    • Nom d'utilisateur d'application : Email
    • Mettre à jour l'application sur : Créer et mettre à jour
  11. Optionnel. Ajoutez des attributs SAML. Voir Attributs SSO pour un tableau des attributs SSO.
  12. Sélectionnez Suivant.
  13. Sélectionnez la case Ceci est une app interne que nous avons créée.
  14. Sélectionnez Terminer.
  1. Connectez-vous à votre portail admin Azure AD.
  2. Sélectionnez Répertoire par Défaut puis Ajouter.
  3. Choisissez Application d'Entreprise et sélectionnez Créer votre propre application.
  4. Entrez "Docker" pour le nom d'application et sélectionnez l'option non-galerie.
  5. Après la création de l'application, allez à Connexion Unique et sélectionnez SAML.
  6. Sélectionnez Modifier sur la section Configuration SAML de base.
  7. Entrez les valeurs suivantes de Docker dans leurs champs Azure correspondants :
    • ID d'Entité Docker : Identifiant
    • URL ACS Docker : URL de Réponse
  8. Optionnel. Ajoutez des attributs SAML. Voir Attributs SSO pour un tableau des attributs SSO.
  9. Sauvegardez la configuration.
  10. Depuis la section Certificat de Signature SAML, téléchargez votre Certificat (Base64).

Pour créer une connexion Azure Connect (OIDC), vous devez créer un enregistrement d'app, des secrets client, et configurer les permissions API pour Docker :

Créer un enregistrement d'app

  1. Connectez-vous à votre portail admin Azure AD.
  2. Sélectionnez Enregistrement d'App puis Nouveau Enregistrement.
  3. Entrez "Docker Hub SSO" ou similaire pour le nom d'application.
  4. Sous Types de compte supportés, spécifiez qui peut utiliser cette application ou accéder à l'app.
  5. Dans la section URI de Redirection, sélectionnez Web depuis le menu déroulant et collez la valeur URI de Redirection de la console Docker dans ce champ.
  6. Sélectionnez Enregistrer pour enregistrer l'app.
  7. Copiez l'ID Client de la page d'aperçu de l'app. Vous avez besoin de cette information pour continuer à configurer SSO dans Docker.

Créer des secrets client

  1. Ouvrez votre app dans Azure AD et sélectionnez Certificats & secrets.
  2. Sélectionnez + Nouveau secret client.
  3. Spécifiez la description du secret et définissez combien de temps les clés peuvent être utilisées.
  4. Sélectionnez Ajouter pour continuer.
  5. Copiez le champ Valeur du secret. Vous en avez besoin pour continuer à configurer SSO dans Docker.

Configurer les permissions API

  1. Ouvrez votre app dans Azure AD et naviguez vers les paramètres de votre app.
  2. Sélectionnez Permission API puis Accorder le consentement admin pour [nom de votre tenant].
  3. Sélectionnez Oui pour confirmer.
  4. Après confirmation, sélectionnez Ajouter une permission puis Permissions déléguées.
  5. Recherchez User.Read et sélectionnez cette option.
  6. Sélectionnez Ajouter des permissions pour confirmer.
  7. Vérifiez que le consentement admin a été accordé pour chaque permission en vérifiant la colonne Statut.

Étape trois : Connecter Docker et votre IdP

Après avoir créé votre connexion dans Docker et votre IdP, vous pouvez les connecter mutuellement pour compléter votre connexion SSO :

  1. Ouvrez votre app que vous avez créée dans Okta et sélectionnez Voir les instructions de configuration SAML.

  2. Copiez les valeurs suivantes depuis la page d'instructions de configuration SAML Okta :

    • URL de Connexion SAML

    • Certificat x509

      Important

      Vous devez copier tout le contenu de votre Certificat x509, incluant les lignes ----BEGIN CERTIFICATE---- et ----END CERTIFICATE----.

  3. Ouvrez Docker Hub ou la Console d'Administration. Votre page de configuration SSO devrait encore être ouverte depuis l'Étape un de ce guide.

  4. Sélectionnez Suivant pour ouvrir la page Mettre à jour la connexion de connexion unique.

  5. Collez vos valeurs URL de Connexion SAML et Certificat x509 Okta dans Docker.

  6. Sélectionnez Suivant.

  7. Optionnel. Sélectionnez une équipe par défaut pour provisionner les utilisateurs et sélectionnez Suivant.

  8. Vérifiez les détails de votre connexion SSO et sélectionnez Créer une Connexion.

  1. Ouvrez votre app dans Azure AD.

  2. Ouvrez votre Certificat (Base64) téléchargé dans un éditeur de texte.

  3. Copiez les valeurs suivantes :

    • Depuis Azure AD : URL de Connexion

    • Copiez le contenu de votre fichier Certificat (Base64) depuis votre éditeur de texte

      Important

      Vous devez copier tout le contenu de votre Certificat (base64), incluant les lignes ----BEGIN CERTIFICATE---- et ----END CERTIFICATE----.

  4. Ouvrez Docker Hub ou la Console d'Administration. Votre page de configuration SSO devrait encore être ouverte depuis l'Étape un de ce guide.

  5. Collez vos valeurs URL de Connexion et Certificat (Base64) dans Docker.

  6. Sélectionnez Suivant.

  7. Optionnel. Sélectionnez une équipe par défaut pour provisionner les utilisateurs et sélectionnez Suivant.

  8. Vérifiez les détails de votre connexion SSO et sélectionnez Créer une Connexion.

  1. Ouvrez Docker Hub ou la Console d'Administration. Votre page de configuration SSO devrait encore être ouverte depuis l'Étape un de ce guide.
  2. Collez les valeurs suivantes d'Azure AD dans Docker :
    • ID Client
    • Secret Client
    • Domaine Azure AD
  3. Sélectionnez Suivant.
  4. Optionnel. Sélectionnez une équipe par défaut pour provisionner les utilisateurs et sélectionnez Suivant.
  5. Vérifiez les détails de votre connexion SSO et sélectionnez Créer une Connexion.

Étape quatre : Tester votre connexion

Après avoir complété le processus de connexion SSO dans Docker, nous recommandons de le tester :

  1. Ouvrez un navigateur incognito.
  2. Connectez-vous à la Console d'Administration en utilisant votre adresse e-mail de domaine.
  3. Le navigateur redirigera vers la page de connexion de votre fournisseur d'identité pour s'authentifier. Si vous avez plusieurs IdP, choisissez l'option de connexion Continuer avec SSO.
  4. Authentifiez-vous via votre e-mail de domaine au lieu d'utiliser votre Docker ID.

Vous pouvez aussi tester votre connexion SSO via l'interface de ligne de commande (CLI). Si vous voulez tester via CLI, vos utilisateurs doivent avoir un jeton d'accès personnel (PAT).

Optionnel : Configurer plusieurs IdP

Docker supporte les configurations IdP multiples. Avec plusieurs IdP configurés, un domaine peut être associé à plusieurs fournisseurs d'identité SSO. Pour configurer plusieurs IdP, répétez les étapes 1-4 de ce guide pour chaque IdP. Assurez-vous que chaque configuration IdP utilise le même domaine.

Quand un utilisateur se connecte à une organisation Docker qui a plusieurs IdP, sur la page de connexion, il doit choisir l'option Continuer avec SSO. Ceci l'invite à choisir son fournisseur d'identité et s'authentifier via son e-mail de domaine.

Optionnel : Appliquer SSO

Important

Si SSO n'est pas appliqué, les utilisateurs peuvent choisir de se connecter avec soit leur nom d'utilisateur et mot de passe Docker ou SSO.

Appliquer SSO nécessite que les utilisateurs utilisent SSO lors de la connexion à Docker. Ceci centralise l'authentification et applique les politiques définies par l'IdP.

  1. Connectez-vous à la Console d'Administration.
  2. Sélectionnez votre organisation ou entreprise depuis la page Choisir le profil. Notez que lorsqu'une organisation fait partie d'une entreprise, vous devez sélectionner l'entreprise et configurer le domaine pour l'organisation au niveau de l'entreprise.
  3. Sous Sécurité et accès, sélectionnez SSO et SCIM.
  4. Dans le tableau des connexions SSO, sélectionnez l'icône Action puis Activer l'application. Quand SSO est appliqué, vos utilisateurs ne peuvent pas modifier leur adresse e-mail et mot de passe, convertir un compte utilisateur en organisation, ou configurer 2FA via Docker Hub. Si vous voulez utiliser 2FA, vous devez activer 2FA via votre IdP.
  5. Continuez avec les instructions à l'écran et vérifiez que vous avez complété toutes les tâches.
  6. Sélectionnez Activer l'application pour compléter.

Vos utilisateurs doivent maintenant se connecter à Docker avec SSO.

Note

Quand SSO est appliqué, les utilisateurs ne peuvent pas utiliser de mots de passe pour accéder au Docker CLI. Les utilisateurs doivent utiliser un jeton d'accès personnel (PAT) pour l'authentification pour accéder au Docker CLI.

Plus de ressources

Les vidéos suivantes démontrent comment appliquer SSO.

Quelle est la suite