Compartir comentarios
Las respuestas se generan en base a la documentación.

Resolución de problemas de aprovisionamiento

Tabla de contenidos

Esta página ayuda a resolver problemas comunes de aprovisionamiento de usuarios, incluyendo roles de usuario, atributos y comportamiento inesperado de la cuenta con SCIM y el aprovisionamiento Just-in-Time (JIT).

Los valores de los atributos SCIM se sobrescriben o ignoran

Mensaje de error

Normalmente, este escenario no produce un mensaje de error en Docker ni en tu IdP. Este problema se suele manifestar como una asignación incorrecta de roles o equipos.

Causas

  • El aprovisionamiento JIT está habilitado y Docker está utilizando los valores del flujo de inicio de sesión SSO de tu IdP para aprovisionar al usuario, lo que sobrescribe los atributos proporcionados por SCIM.
  • SCIM se habilitó después de que el usuario ya hubiera sido aprovisionado mediante JIT, por lo que las actualizaciones de SCIM no surten efecto.

Entornos afectados

  • Organizaciones de Docker que utilizan SCIM con SSO
  • Usuarios aprovisionados mediante JIT antes de la configuración de SCIM

Pasos para replicar

  1. Habilita JIT y SSO para tu organización de Docker.
  2. Inicia sesión en Docker como usuario a través de SSO.
  3. Habilita SCIM y establece atributos de rol/equipo para ese usuario.
  4. SCIM intenta actualizar los atributos del usuario, pero la asignación de rol o equipo no refleja los cambios.

Soluciones

Deshabilitar el aprovisionamiento JIT (recomendado)

  1. Inicia sesión en Docker Home.
  2. Selecciona Admin Console (Consola de administración), luego SSO and SCIM.
  3. Busca la conexión SSO correspondiente.
  4. Selecciona el actions menu (menú de acciones) y elige Edit (Editar).
  5. Deshabilita Just-in-Time provisioning (Aprovisionamiento Just-in-Time).
  6. Guarda tus cambios.

Con JIT deshabilitado, Docker utiliza SCIM como la fuente de verdad para la creación de usuarios y la asignación de roles.

Mantener JIT habilitado y hacer coincidir los atributos

Si prefieres mantener JIT habilitado:

  • Asegúrate de que los mapeos de atributos de SSO de tu IdP coincidan con los valores enviados por SCIM.
  • Evita configurar SCIM para sobrescribir los atributos ya establecidos mediante JIT.

Esta opción requiere una coordinación estricta entre los atributos de SSO y SCIM en la configuración de tu IdP.

Las actualizaciones de SCIM no se aplican a los usuarios existentes

Causas

Las cuentas de usuario se crearon originalmente de forma manual o mediante JIT, y SCIM no está vinculado para gestionarlas.

Solución

SCIM solo gestiona a los usuarios que aprovisiona. Para permitir que SCIM funcione con un usuario existente:

  1. Elimina al usuario manualmente desde la Admin Console de Docker.
  2. Activa el aprovisionamiento desde tu IdP.
  3. SCIM volverá a crear al usuario con los atributos correctos.
Warning

Eliminar a un usuario quita su propiedad sobre los recursos (por ejemplo, repositorios). Transfiere la propiedad antes de eliminar al usuario.