⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Dépannage du provisioning

Table des matières

Si vous rencontrez des problèmes avec les rôles d'utilisateur, les attributs, ou un comportement de compte inattendu avec le provisioning d'utilisateurs, ce guide fournit des recommandations de dépannage pour résoudre les conflits.

Les valeurs d'attributs SCIM sont écrasées ou ignorées

Message d'erreur

Typiquement, ce scénario ne produit pas de message d'erreur dans Docker ou votre IdP. Ce problème apparaît généralement comme une assignation incorrecte de rôle ou d'équipe.

Causes possibles

  • Le provisioning JIT est activé, et Docker utilise les valeurs du flux de connexion SSO de votre IdP pour provisionner l'utilisateur, ce qui remplace les attributs fournis par SCIM.
  • SCIM a été activé après que l'utilisateur a déjà été provisionné via JIT, donc les mises à jour SCIM ne prennent pas effet.

Environnements affectés

  • Organisations Docker utilisant SCIM avec SSO
  • Utilisateurs provisionnés via JIT avant la configuration SCIM

Étapes pour reproduire

  1. Activez JIT et SSO pour votre organisation Docker.
  2. Connectez-vous à Docker en tant qu'utilisateur via SSO.
  3. Activez SCIM et définissez les attributs de rôle/équipe pour cet utilisateur.
  4. SCIM tente de mettre à jour les attributs de l'utilisateur, mais l'assignation de rôle ou d'équipe ne reflète pas les changements.

Solutions

Désactiver le provisioning JIT (recommandé)

  1. Connectez-vous à la Console d'Administration Docker.
  2. Allez aux Paramètres de votre organisation > Sécurité > SSO et SCIM.
  3. Trouvez la connexion SSO concernée.
  4. Sélectionnez le menu d'actions et choisissez Modifier.
  5. Désactivez Provisioning Just-in-Time.
  6. Sauvegardez vos changements.

Avec JIT désactivé, Docker utilise SCIM comme source de vérité pour la création d'utilisateurs et l'assignation de rôles.

Garder JIT activé et faire correspondre les attributs

Si vous préférez garder JIT activé :

  • Assurez-vous que les mappages d'attributs SSO de votre IdP correspondent aux valeurs envoyées par SCIM.
  • Évitez de configurer SCIM pour remplacer les attributs déjà définis via JIT.

Cette option nécessite une coordination stricte entre les attributs SSO et SCIM dans votre configuration IdP.

Les mises à jour SCIM ne s'appliquent pas aux utilisateurs existants

Causes possibles

Les comptes utilisateurs ont été créés à l'origine manuellement ou via JIT, et SCIM n'est pas lié pour les gérer.

Solution

SCIM gère seulement les utilisateurs qu'il provisionne. Pour permettre à SCIM de gérer un utilisateur existant :

  1. Supprimez l'utilisateur manuellement de la Console d'Administration Docker.
  2. Déclenchez le provisioning depuis votre IdP.
  3. SCIM recréera l'utilisateur avec les attributs corrects.
Warning

Supprimer un utilisateur retire sa propriété de ressources (par ex., dépôts). Transférez la propriété avant de supprimer l'utilisateur.