Compartir comentarios
Las respuestas se generan en base a la documentación.

Resolución de problemas del inicio de sesión único

Tabla de contenidos

Esta página describe los errores comunes del inicio de sesión único (SSO) y sus soluciones. Los problemas pueden originarse en la configuración de tu proveedor de identidad (IdP) o en los ajustes de Docker.

Comprobar si hay errores

Si tienes problemas con el SSO, comprueba primero tanto Docker como tu proveedor de identidad para ver si hay errores.

Comprobar los registros de errores de Docker

  1. Inicia sesión en Docker Home y selecciona tu organización en el menú desplegable de cuentas de la esquina superior izquierda.
  2. Selecciona Admin Console (Consola de administración) y luego SSO and SCIM.
  3. En la tabla de conexiones SSO, selecciona el menú Action (Acción) y luego View error logs (Ver registros de errores).
  4. Para obtener más detalles sobre errores específicos, selecciona View error details (Ver detalles del error) junto a un mensaje de error.
  5. Toma nota de cualquier error que veas en esta página para continuar con la resolución de problemas.

Comprobar errores del proveedor de identidad

  1. Revisa los registros o pistas de auditoría de tu IdP para buscar cualquier intento fallido de autenticación o aprovisionamiento.
  2. Confirma que los ajustes de SSO de tu IdP coinciden con los valores proporcionados en Docker.
  3. Si corresponde, confirma que has configurado correctamente el aprovisionamiento de usuarios y que está habilitado en tu IdP.
  4. Si corresponde, verifica que tu IdP mapee correctamente los atributos de usuario requeridos por Docker.
  5. Intenta aprovisionar un usuario de prueba desde tu IdP y verifica si aparece en Docker.

Para obtener más ayuda, consulta la documentación de tu IdP o ponte en contacto con su equipo de soporte.

Los grupos no tienen el formato correcto

Mensaje de error

Cuando ocurre este problema, el siguiente mensaje de error es común:

Some of the groups assigned to the user are not formatted as '<organization name>:<team name>'. Directory groups will be ignored and user will be provisioned into the default organization and team.

Causas

  • Formato incorrecto del nombre del grupo en tu proveedor de identidad (IdP): Docker requiere que los grupos sigan el formato <organización>:<equipo>. Si los grupos asignados a un usuario no siguen este formato, se ignorarán.
  • Grupos que no coinciden entre el IdP y la organización de Docker: Si un grupo en tu IdP no tiene un equipo correspondiente en Docker, no será reconocido y el usuario será asignado a la organización y equipo predeterminados.

Entornos afectados

  • Configuración de inicio de sesión único de Docker utilizando proveedores de identidad como Okta o Azure AD
  • Organizaciones que utilizan asignaciones de roles basadas en grupos en Docker

Pasos para replicar

Para replicar este problema:

  1. Intenta iniciar sesión en Docker utilizando SSO.
  2. El usuario tiene grupos asignados en el IdP pero no es ubicado en el equipo (Docker Team) esperado.
  3. Revisa los registros de Docker o de tu IdP para encontrar el mensaje de error.

Soluciones

Actualiza los nombres de los grupos en tu IdP:

  1. Ve a la sección de gestión de grupos de tu IdP.
  2. Comprueba los grupos asignados al usuario afectado.
  3. Asegúrate de que cada grupo siga el formato requerido: <organización>:<equipo>
  4. Actualiza cualquier grupo formateado incorrectamente para que coincida con este patrón.
  5. Guarda los cambios e intenta iniciar sesión de nuevo con SSO.

El usuario no está asignado a la organización

Mensaje de error

Cuando ocurre este problema, el siguiente mensaje de error es común:

User '$username' is not assigned to this SSO organization. Contact your administrator. TraceID: XXXXXXXXXXXXX

Causas

  • El usuario no está asignado a la organización: Si el aprovisionamiento Just-in-Time (JIT) está desactivado, es posible que el usuario no esté asignado a tu organización.
  • El usuario no está invitado a la organización: Si JIT está desactivado y no deseas activarlo, el usuario debe ser invitado manualmente.
  • El aprovisionamiento SCIM está mal configurado: Si utilizas SCIM para el aprovisionamiento de usuarios, es posible que no esté sincronizando correctamente los usuarios desde tu IdP.

Soluciones

Habilitar el aprovisionamiento JIT

JIT está habilitado de forma predeterminada cuando activas el SSO. Si lo tienes desactivado y necesitas volver a habilitarlo:

  1. Inicia sesión en Docker Home y selecciona tu organización en el menú desplegable de cuentas de la esquina superior izquierda.
  2. Selecciona Admin Console (Consola de administración) y luego SSO and SCIM.
  3. En la tabla de conexiones SSO, selecciona el menú Action (Acción) y luego Enable JIT provisioning (Habilitar aprovisionamiento JIT).
  4. Selecciona Enable (Habilitar) para confirmar.

Invitar usuarios manualmente

Cuando JIT está desactivado, los usuarios no se añaden automáticamente a tu organización al autenticarse a través de SSO. Para invitar usuarios manualmente, consulta Invitar miembros.

Configurar el aprovisionamiento SCIM

Si tienes SCIM habilitado, resuelve los problemas de tu conexión SCIM siguiendo estos pasos:

  1. Inicia sesión en Docker Home y selecciona tu organización en el menú desplegable de cuentas de la esquina superior izquierda.
  2. Selecciona Admin Console (Consola de administración) y luego SSO and SCIM.
  3. En la tabla de conexiones SSO, selecciona el menú Action (Acción) y luego View error logs (Ver registros de errores). Para obtener más detalles sobre errores específicos, selecciona View error details (Ver detalles del error) junto a un mensaje de error. Toma nota de cualquier error que veas en esta página.
  4. Vuelve a la página SSO and SCIM de la Admin Console y verifica tu configuración de SCIM:
    • Asegúrate de que la URL base de SCIM y el token de API en tu IdP coincidan con los proporcionados en la Admin Console de Docker.
    • Verifica que SCIM esté habilitado tanto en Docker como en tu IdP.
  5. Asegúrate de que los atributos sincronizados desde tu IdP coincidan con los atributos admitidos de Docker para SCIM.
  6. Prueba el aprovisionamiento de usuarios intentando aprovisionar un usuario de prueba a través de tu IdP y verifica si aparece en Docker.

El inicio de sesión iniciado por el IdP no está habilitado para la conexión

Mensaje de error

Cuando ocurre este problema, el siguiente mensaje de error es común:

IdP-Initiated sign in is not enabled for connection '$ssoConnection'.

Causas

Docker no admite flujos SAML iniciados por el IdP. Este error ocurre cuando un usuario intenta autenticarse desde tu IdP, por ejemplo, utilizando el mosaico de la aplicación de SSO de Docker en la página de inicio de sesión de tu IdP.

Soluciones

Autenticarse desde las aplicaciones de Docker

El usuario debe iniciar la autenticación desde las aplicaciones de Docker (Hub, Desktop, etc.). Debe introducir su dirección de correo electrónico en una aplicación de Docker y será redirigido al IdP de SSO configurado para su dominio.

Ocultar la aplicación de SSO de Docker

Puedes ocultar la aplicación de SSO de Docker a los usuarios en tu IdP. Esto evita que los usuarios intenten iniciar la autenticación desde el panel de control del IdP. Debes ocultar y configurar esto en los ajustes de tu IdP.

No hay suficientes asientos en la organización

Mensaje de error

Cuando ocurre este problema, el siguiente mensaje de error es común:

Not enough seats in organization '$orgName'. Add more seats or contact your administrator.

Causas

Este error ocurre cuando la organización no tiene asientos disponibles para el usuario al realizar el aprovisionamiento a través de Just-in-Time (JIT) o SCIM.

Soluciones

Añadir más asientos a la organización

Compra asientos de suscripción adicionales de Docker Business. Para obtener más detalles, consulta Gestionar asientos de suscripción.

Eliminar usuarios o invitaciones pendientes

Revisa los miembros de tu organización y las invitaciones pendientes. Elimina los usuarios inactivos o las invitaciones pendientes para liberar asientos. Para obtener más detalles, consulta Gestionar miembros de la organización.

El dominio no está verificado para la conexión SSO

Mensaje de error

Cuando ocurre este problema, el siguiente mensaje de error es común:

Domain '$emailDomain' is not verified for your SSO connection. Contact your company administrator. TraceID: XXXXXXXXXXXXXX

Causas

Este error ocurre si el IdP autentica a un usuario a través de SSO y el Nombre Principal de Usuario (UPN) devuelto a Docker no coincide con ninguno de los dominios verificados asociados a la conexión SSO configurada en Docker.

Soluciones

Verificar el mapeo de atributos de UPN

Asegúrate de que la conexión SSO del IdP devuelva el valor de UPN correcto en los atributos de aserción.

Añadir y verificar todos los dominios

Añade y verifica todos los dominios y subdomains utilizados como UPN por tu IdP y asócialos con tu conexión SSO de Docker. Para obtener más detalles, consulta Configurar el inicio de sesión único.

No se puede encontrar la sesión

Mensaje de error

Cuando ocurre este problema, el siguiente mensaje de error es común:

We couldn't find your session. You may have pressed the back button, refreshed the page, opened too many sign-in dialogs, or there is some issue with cookies. Try signing in again. If the issue persists, contact your administrator.

Causas

Las siguientes causas pueden originar este problema:

  • El usuario presionó el botón de retroceso o recarga durante la autenticación.
  • El flujo de autenticación perdió el rastro de la solicitud inicial, impidiendo que se complete.

Soluciones

No interrumpir el flujo de autenticación

No presiones el botón de retroceso ni el de recarga durante el inicio de sesión.

Reiniciar la autenticación

Cierra la pestaña del navegador y reinicia el flujo de autenticación desde la aplicación de Docker (Desktop, Hub, etc.).

El Name ID no es una dirección de correo electrónico

Mensaje de error

Cuando ocurre este problema, el Assemblies de error es común:

The name ID sent by the identity provider is not an email address. Contact your company administrator.

Causas

Las siguientes causas pueden originar este problema:

  • El IdP envía un Name ID (UPN) que no cumple con el formato de correo electrónico requerido por Docker.
  • El SSO de Docker requiere que el Name ID sea la dirección de correo electrónico principal del usuario.

Soluciones

En tu IdP, asegúrate de que el formato del atributo Name ID sea correcto:

  1. Verifica que el formato del atributo Name ID en tu IdP esté configurado como EmailAddress.
  2. Ajusta la configuración de tu IdP para devolver el formato de Name ID correcto.