⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Dépannage de la connexion unique

Table des matières

Lors de la configuration ou de l'utilisation de la connexion unique (SSO), vous pourriez rencontrer des problèmes qui peuvent provenir de votre fournisseur d'identité (IdP) ou de la configuration Docker. Les sections suivantes décrivent quelques erreurs SSO courantes et des solutions possibles.

Vérifier les erreurs

Si vous rencontrez des problèmes avec SSO, vérifiez d'abord la Console d'Administration Docker et votre fournisseur d'identité (IdP) pour les erreurs.

Vérifier les journaux d'erreur Docker

  1. Connectez-vous à la Console d'Administration et sélectionnez votre organisation.
  2. Sélectionnez SSO et SCIM.
  3. Dans le tableau des connexions SSO, sélectionnez le menu Action puis Voir les journaux d'erreur.
  4. Pour plus de détails sur des erreurs spécifiques, sélectionnez Voir les détails de l'erreur à côté d'un message d'erreur.
  5. Notez toutes les erreurs que vous voyez sur cette page pour un dépannage supplémentaire.

Vérifier les erreurs dans votre IdP

  1. Examinez les journaux ou pistes d'audit de votre IdP pour toute tentative d'authentification ou de provisioning échouée.
  2. Confirmez que les paramètres SSO de votre IdP correspondent aux valeurs fournies dans Docker.
  3. Si applicable, confirmez que vous avez configuré le provisioning d'utilisateurs correctement et qu'il est activé dans votre IdP.
  4. Si applicable, vérifiez que votre IdP mappe correctement les attributs utilisateur requis de Docker.
  5. Essayez de provisionner un utilisateur test depuis votre IdP et vérifiez s'il apparaît dans Docker.

Pour un dépannage supplémentaire, consultez la documentation de votre IdP. Vous pouvez aussi contacter leur équipe support pour obtenir des conseils sur les messages d'erreur.

Les groupes ne sont pas formatés correctement

Message d'erreur

Quand ce problème se produit, le message d'erreur suivant est courant :

Some of the groups assigned to the user are not formatted as '<organization name>:<team name>'. Directory groups will be ignored and user will be provisioned into the default organization and team.

Causes possibles

  • Formatage incorrect du nom de groupe dans votre fournisseur d'identité (IdP) : Docker exige que les groupes suivent le format <organisation>:<équipe>. Si les groupes assignés à un utilisateur ne suivent pas ce format, ils seront ignorés.
  • Groupes non correspondants entre IdP et organisation Docker : Si un groupe dans votre IdP n'a pas d'équipe correspondante dans Docker, il ne sera pas reconnu, et l'utilisateur sera placé dans l'organisation et l'équipe par défaut.

Environnements affectés

  • Configuration de connexion unique Docker utilisant des IdP comme Okta ou Azure AD
  • Organisations utilisant des assignations de rôles basées sur les groupes dans Docker

Étapes pour reproduire

Pour reproduire ce problème :

  1. Tentez de vous connecter à Docker en utilisant SSO.
  2. L'utilisateur est assigné à des groupes dans l'IdP mais n'est pas placé dans l'équipe Docker attendue.
  3. Examinez les journaux Docker ou IdP pour trouver le message d'erreur.

Solutions

Mettez à jour les noms de groupe dans votre IdP :

  1. Allez à la section de gestion des groupes de votre IdP.
  2. Vérifiez les groupes assignés à l'utilisateur affecté.
  3. Assurez-vous que chaque groupe suit le format requis : <organisation>:<équipe>
  4. Mettez à jour tous les groupes incorrectement formatés pour correspondre à ce modèle.
  5. Sauvegardez les changements et réessayez de vous connecter avec SSO.

L'utilisateur n'est pas assigné à l'organisation

Message d'erreur

Quand ce problème se produit, le message d'erreur suivant est courant :

User '$username' is not assigned to this SSO organization. Contact your administrator. TraceID: XXXXXXXXXXXXX

Causes possibles

  • L'utilisateur n'est pas assigné à l'organisation : Si le provisioning Just-in-Time (JIT) est désactivé, l'utilisateur pourrait ne pas être assigné à votre organisation.
  • L'utilisateur n'est pas invité à l'organisation : Si JIT est désactivé et que vous ne voulez pas l'activer, l'utilisateur doit être invité manuellement.
  • Le provisioning SCIM est mal configuré : Si vous utilisez SCIM pour le provisioning d'utilisateurs, il pourrait ne pas synchroniser correctement les utilisateurs depuis votre IdP.

Solutions

Activer le provisioning JIT

JIT est activé par défaut quand vous activez SSO. Si vous avez JIT désactivé et devez le réactiver :

  1. Connectez-vous à la Console d'Administration et sélectionnez votre organisation.
  2. Sélectionnez SSO et SCIM.
  3. Dans le tableau des connexions SSO, sélectionnez le menu Action puis Activer le provisioning JIT.
  4. Sélectionnez Activer pour confirmer.

Inviter manuellement les utilisateurs

Quand JIT est désactivé, les utilisateurs ne sont pas automatiquement ajoutés à votre organisation lorsqu'ils s'authentifient via SSO. Pour inviter manuellement les utilisateurs, voir Inviter des membres

Configurer le provisioning SCIM

Si vous avez SCIM activé, dépannez votre connexion SCIM en utilisant les étapes suivantes :

  1. Connectez-vous à la Console d'Administration et sélectionnez votre organisation.
  2. Sélectionnez SSO et SCIM.
  3. Dans le tableau des connexions SSO, sélectionnez le menu Action puis Voir les journaux d'erreur. Pour plus de détails sur des erreurs spécifiques, sélectionnez Voir les détails de l'erreur à côté d'un message d'erreur. Notez toutes les erreurs que vous voyez sur cette page.
  4. Naviguez de retour à la page SSO et SCIM de la Console d'Administration et vérifiez votre configuration SCIM :
    • Assurez-vous que l'URL de Base SCIM et le Jeton API dans votre IdP correspondent à ceux fournis dans la Console d'Administration Docker.
    • Vérifiez que SCIM est activé dans Docker et votre IdP.
  5. Assurez-vous que les attributs synchronisés depuis votre IdP correspondent aux attributs supportés de Docker pour SCIM.
  6. Testez le provisioning d'utilisateurs en essayant de provisionner un utilisateur test via votre IdP et vérifiez s'il apparaît dans Docker.

La connexion initiée par l'IdP n'est pas activée pour la connexion

Message d'erreur

Quand ce problème se produit, le message d'erreur suivant est courant :

IdP-Initiated sign in is not enabled for connection '$ssoConnection'.

Causes possibles

Docker ne supporte pas un flux SAML initié par l'IdP. Cette erreur se produit quand un utilisateur tente de s'authentifier depuis votre IdP, comme utiliser la tuile d'application Docker SSO sur la page de connexion.

Solutions

S'authentifier depuis les applications Docker

L'utilisateur doit initier l'authentification depuis les applications Docker (Hub, Desktop, etc). L'utilisateur doit entrer son adresse e-mail dans une application Docker et il sera redirigé vers l'IdP SSO configuré pour son domaine.

Masquer l'application Docker SSO

Vous pouvez masquer l'application Docker SSO des utilisateurs dans votre IdP. Cela empêche les utilisateurs de tenter de démarrer l'authentification depuis le tableau de bord IdP. Vous devez masquer et configurer cela dans votre IdP.

Pas assez de sièges dans l'organisation

Message d'erreur

Quand ce problème se produit, le message d'erreur suivant est courant :

Not enough seats in organization '$orgName'. Add more seats or contact your administrator.

Causes possibles

Cette erreur se produit quand l'organisation n'a pas de sièges disponibles pour l'utilisateur lors du provisioning via le provisioning Just-in-Time (JIT) ou SCIM.

Solutions

Ajouter plus de sièges à l'organisation

Achetez des sièges d'abonnement Docker Business supplémentaires. Pour plus de détails, voir Gérer les sièges d'abonnement.

Supprimer des utilisateurs ou invitations en attente

Examinez les membres de votre organisation et invitations en attente. Supprimez les utilisateurs inactifs ou invitations en attente pour libérer des sièges. Pour plus de détails, voir Gérer les membres d'organisation.

Le domaine n'est pas vérifié pour la connexion SSO

Message d'erreur

Quand ce problème se produit, le message d'erreur suivant est courant :

Domain '$emailDomain' is not verified for your SSO connection. Contact your company administrator. TraceID: XXXXXXXXXXXXXX

Causes possibles

Cette erreur se produit si l'IdP a authentifié un utilisateur via SSO et le Nom Principal Utilisateur (UPN) retourné à Docker ne correspond à aucun des domaines vérifiés associés à la connexion SSO configurée dans Docker.

Solutions

Vérifier le mappage d'attribut UPN

Assurez-vous que la connexion SSO IdP retourne la valeur UPN correcte dans les attributs d'assertion.

Ajouter et vérifier tous les domaines

Ajoutez et vérifiez tous les domaines et sous-domaines utilisés comme UPN par votre IdP et associez-les avec votre connexion Docker SSO. Pour plus de détails, voir Configurer la connexion unique.

Impossible de trouver la session

Message d'erreur

Quand ce problème se produit, le message d'erreur suivant est courant :

We couldn't find your session. You may have pressed the back button, refreshed the page, opened too many sign-in dialogs, or there is some issue with cookies. Try signing in again. If the issue persists, contact your administrator.

Causes possibles

Les causes suivantes peuvent créer ce problème :

  • L'utilisateur a appuyé sur le bouton retour ou actualiser pendant l'authentification.
  • Le flux d'authentification a perdu la trace de la demande initiale, empêchant l'achèvement.

Solutions

Ne pas perturber le flux d'authentification

N'appuyez pas sur le bouton retour ou actualiser pendant la connexion.

Redémarrer l'authentification

Fermez l'onglet du navigateur et redémarrez le flux d'authentification depuis l'application Docker (Desktop, Hub, etc).

L'ID de nom n'est pas une adresse e-mail

Message d'erreur

Quand ce problème se produit, le message d'erreur suivant est courant :

The name ID sent by the identity provider is not an email address. Contact your company administrator.

Causes possibles

Les causes suivantes peuvent créer ce problème :

  • L'IdP envoie un ID de Nom (UPN) qui ne respecte pas le format e-mail requis par Docker.
  • Docker SSO exige que l'ID de Nom soit l'adresse e-mail principale de l'utilisateur.

Solutions

Dans votre IdP, assurez-vous que le format d'attribut ID de Nom est correct :

  1. Vérifiez que le format d'attribut ID de Nom dans votre IdP est défini sur EmailAddress.
  2. Ajustez les paramètres de votre IdP pour retourner le format d'ID de Nom correct.