单点登录概述

单点登录 (SSO) 允许用户通过其身份提供者 (IdP) 进行身份验证来访问 Docker。SSO 可以为整个公司（包括所有关联的组织）或具有 Docker Business 订阅的单个组织配置。

SSO 的工作原理

启用 SSO 后，Docker 支持用户登录的非 IdP 初始化流程。用户不再使用 Docker 用户名和密码登录，而是被重定向到您的 IdP 登录页面。用户必须通过登录 Docker Hub 或 Docker Desktop 来启动 SSO 身份验证过程。

下图说明了 SSO 在 Docker Hub、Docker Desktop 和您的 IdP 之间如何运行和管理。

设置 SSO

要在 Docker 中配置 SSO，请按照以下步骤操作：

1. 配置您的域名，创建并验证它。
2. 在 Docker 和您的 IdP 中创建 SSO 连接。
3. 将 Docker 链接到您的身份提供者。
4. 测试您的 SSO 连接。
5. 在 Docker 中配置用户。
6. 可选。强制登录。
7. 管理您的 SSO 配置。

配置完成后，用户可以使用其公司电子邮件地址登录 Docker 服务。登录后，用户将被添加到您的公司，分配到组织，并加入团队。

先决条件

开始之前，请确保满足以下条件：

• 通知您的公司即将进行的 SSO 登录流程。
• 确保所有用户已安装 Docker Desktop 4.42 或更高版本。
• 确认每个 Docker 用户都有一个有效的 IdP 账户，使用与其唯一主要标识符 (UPN) 相同的电子邮件地址。
• 如果您计划 强制 SSO，通过 CLI 访问 Docker 的用户必须 创建个人访问令牌 (PAT)。PAT 替代其用户名和密码进行身份验证。
• 确保 CI/CD 管道使用 PAT 或 OAT 而非密码。

Important

Docker 计划在未来的版本中弃用基于密码的 CLI 登录。使用 PAT 可确保继续 CLI 访问。更多信息请参阅 安全公告。

后续步骤

• 开始 配置 SSO。
• 阅读 常见问题。
• 排查 SSO 问题。