Compartir comentarios
Las respuestas se generan en base a la documentación.

Preguntas frecuentes (FAQs) sobre la gestión de usuarios de SSO

Tabla de contenidos

¿Necesito añadir usuarios manualmente a mi organización?

No, no necesitas añadir usuarios manualmente a tu organización. Solo asegúrate de que las cuentas de usuario existan en tu IdP. Cuando los usuarios inicien sesión en Docker con la dirección de correo electrónico de su dominio, se añadirán automáticamente a la organización tras autenticarse con éxito.

¿Puedo utilizar diferentes direcciones de correo electrónico para autenticarme a través de SSO?

Todos los usuarios deben autenticarse utilizando el dominio de correo electrónico especificado durante la configuración de SSO. Los usuarios con direcciones de correo electrónico que no coincidan con el dominio verificado pueden iniciar sesión como invitados con nombre de usuario y contraseña si no se exige el SSO, pero solo si han sido invitados.

¿Cómo sabrán los usuarios que se les está añadiendo a una organización de Docker?

Cuando se activa el SSO, se solicita a los usuarios que se autentiquen a través de SSO la próxima vez que inicien sesión en Docker Hub o Docker Desktop. El sistema detecta el correo de su dominio y les pide que inicien sesión con sus credenciales de SSO en su lugar.

Para el acceso a la CLI, los usuarios deben autenticarse utilizando tokens de acceso personal.

¿Puedo convertir usuarios existentes de cuentas que no son de SSO a cuentas de SSO?

Sí, puedes convertir usuarios existentes a cuentas de SSO. Asegúrate de que los usuarios tengan:

  • Direcciones de correo electrónico del dominio de la empresa y cuentas en tu IdP
  • Versión de Docker Desktop 4.4.2 o posterior
  • Tokens de acceso personal creados para reemplazar las contraseñas para el acceso a la CLI
  • Canalizaciones (pipelines) de CI/CD actualizadas para utilizar PATs en lugar de contraseñas

Para obtener instrucciones detalladas, consulta Configurar el inicio de sesión único.

¿El SSO de Docker está completamente sincronizado con el IdP?

El SSO de Docker proporciona de forma predeterminada el aprovisionamiento Just-in-Time (JIT). Los usuarios son aprovisionados cuando se autentican con SSO. Si los usuarios abandonan la organización, los administradores deben eliminar al usuario de la organización manualmente.

SCIM proporciona una sincronización completa de usuarios y grupos. Al utilizar SCIM, la configuración recomendada es desactivar JIT para que todo el aprovisionamiento automático sea gestionado por SCIM.

Además, puedes utilizar la API de Docker Hub para completar este proceso.

¿Cómo afecta la desactivación del aprovisionamiento Just-in-Time al inicio de sesión de los usuarios?

Cuando JIT está desactivado (opción disponible con SCIM en la Admin Console), los usuarios deben ser miembros de la organización o tener invitaciones pendientes para acceder a Docker. Los usuarios que no cumplan con estos criterios recibirán un error de "Acceso denegado" y necesitarán una invitación del administrador.

Consulta Autenticación de SSO con aprovisionamiento JIT desactivado.

¿Alguien puede unirse a una organización sin una invitación?

No sin SSO. Para unirse se requiere una invitación del propietario de la organización. Cuando se exige el SSO, los usuarios con correos electrónicos de dominio verificado pueden unirse automáticamente a la organización al iniciar sesión.

¿Qué sucede con los usuarios con licencia existentes cuando se activa SCIM?

Activar SCIM no elimina ni modifica de inmediato a los usuarios con licencia existentes. Conservan su acceso y roles actuales, pero los gestionarás a través de tu IdP una vez que SCIM esté activo. Si posteriormente se desactiva SCIM, los usuarios previamente gestionados por SCIM permanecerán en Docker pero ya no se actualizarán automáticamente en función de tu IdP.

¿Es visible la información del usuario en Docker Hub?

Todas las cuentas de Docker tienen perfiles públicos asociados a su espacio de nombres (namespace). Si no deseas que la información del usuario (como los nombres completos) sea visible, elimina esos atributos de tus mapeos de SSO y SCIM, o utiliza identificadores diferentes para reemplazar los nombres completos de los usuarios.