Бөлісу құралы:

Интеграция единого входа Microsoft Entra с Docker Business

  • Мақала

В этой статье вы узнаете, как интегрировать Docker Business с идентификатором Microsoft Entra. Интеграция Docker Business с идентификатором Microsoft Entra позволяет:

  • Управление доступом к Docker Business в Microsoft Entra ID.
  • Включите автоматический вход пользователей в Docker Business с помощью учетных записей Microsoft Entra.
  • Управляйте своими учетными записями в одном месте.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Docker Business поддерживает только SSO, инициированный SP.
  • Docker Business поддерживает подготовку пользователей в нужный момент.

Чтобы настроить интеграцию Docker Business с идентификатором Microsoft Entra ID, необходимо добавить Docker Business из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
  2. Перейдите к Identity>приложениям>корпоративным приложениям>новому приложению.
  3. В разделе "Добавление из коллекции" в поле поиска введите Docker Business.
  4. Выберите Docker Business на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш тенант.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и выполнить настройку единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Docker Business

Настройте и проверьте единый вход Microsoft Entra в Docker Business с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Docker Business.

Чтобы настроить и проверить единый вход Microsoft Entra в Docker Business, выполните следующие действия:

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначить тестового пользователя Microsoft Entra, чтобы B.Simon мог использовать единый вход Microsoft Entra.
  2. Настройка Docker Business SSO — для конфигурации параметров единого входа (SSO) на стороне приложения.
    1. Создайте тестового пользователя Docker Business - для создания в Docker Business аналога пользователя B.Simon, связанного с представлением пользователя в Microsoft Entra ID.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка SSO в Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra в Центре администрирования Microsoft Entra.

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли Администратора облачных приложений.

  2. Перейдите к Identity>приложениям>Корпоративные приложения>Docker Business>Единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Снимок экрана: изменение базовой конфигурации SAML.

  5. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

    a. В текстовое поле Идентификатор (идентификатор сущности) введите значение в следующем формате: urn:auth0:docker-prod:<Docker_SsoID>.

    b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://login.docker.com/login/callback?connection=<Docker_SsoID>.

    c. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://hub.docker.com/auth/start?connection=<Docker_SsoID>

    Примечание.

    Эти значения не являются реальными. Измените их на фактические значения идентификатора и URL-адресов ответа и входа. При настройке SSO для Docker Business вы получите эти значения. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML" в Центре администрирования Microsoft Entra.

  6. Приложение Docker Business ожидает уникального идентификатора пользователя, сопоставленного с адресом электронной почты (user.mail), а не user.userprincipalname, а также поддерживает имя пользователя и фамилию для синхронизации полного имени пользователей с приложением Docker Business. На следующем снимке экрана показан список атрибутов по умолчанию.

    Снимок экрана показывает изображение атрибутов.

    Примечание.

    Удалите имя и адрес электронной почты вручную из приведенных выше атрибутов по умолчанию в Центре администрирования Microsoft Entra в соответствии с требованиями приложения.

  7. В дополнение к вышесказанному, приложение Docker Business поддерживает необязательные атрибуты, которые могут передаваться обратно в ответе SAML, и которые показаны ниже. Эти атрибуты можно добавить для управления подготовкой пользователей в определенных командах и их ролями в организации Docker Business.

    Название требования Пространство имен Атрибут источника
    dockerOrg <empty> Имя организации Docker
    dockerTeam <empty> Имя команды Docker
    докерРоль <empty> Роль пользователя в организации. Допустимые значения: "owner", "editor", "member".

    Примечание.

    Если организации требуется управлять пользователями в нескольких командах, можно также включить групповые утверждения. Дополнительные сведения об управлении группами единого входа Docker см. здесь.

  8. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите пункт Сертификат (Base64) и щелкните Скачать, чтобы скачать сертификат. Сохраните этот сертификат на компьютере.

  9. Скопируйте соответствующие URL-адреса в разделе "Настройка Docker Business" в соответствии с вашим требованием.

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя в Центре администрирования Microsoft Entra с именем B.Simon.

  1. Войдите в административный центр Microsoft Entra в качестве не менее, чем администратором пользователей.
  2. Перейдите в раздел Идентификация>Пользователи>Все пользователи.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле основного имени пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Просмотр и создание.
  5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход Microsoft Entra, предоставив этому пользователю доступ к Docker Business.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора облачных приложений.
  2. Перейдите к Identity>Applications>Enterprise applications>Docker Business.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
    1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
    2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа Docker Business

  1. Войдите на корпоративный сайт Docker Business в качестве администратора.

  2. Выберите свою организацию или компанию в раскрывающемся меню слева и нажмите SSO и SCIM.

  3. В таблице подключений SSO выберите "Создать подключение" и задайте имя подключения.

    Примечание.

    Перед созданием подключений необходимо проверить хотя бы один домен.

  4. Выберите SAML в качестве метода проверки подлинности и выполните следующие действия.

    Снимок экрана: вкладка

    1. Скопируйте значение идентификатора сущности, вставьте это значение в текстовое поле "Идентификатор сущности" в разделе "Базовая конфигурация SAML" в Центре администрирования Microsoft Entra.

    2. Скопируйте значение URL-адреса ACS, вставьте это значение в текстовое поле URL-адреса ответа в разделе "Базовая конфигурация SAML" в Центре администрирования Microsoft Entra.

    3. В поле URL-адрес входа SAML вставьте значение URL-адреса входа, скопированное из Центра администрирования Microsoft Entra.

    4. Откройте скачанный сертификат (Base64) в Блокнот и вставьте содержимое в текстовое поле "Сертификат ключа x509 ".

    5. Нажмите кнопку "Далее" и "Сохранить подключение".

Создание тестового пользователя Docker Business

В этом разделе пользователь с именем Britta Simon создается в Docker Business. Docker Business поддерживает подготовку пользователей по принципу "точно вовремя", которая включена по умолчанию. В этом разделе никакие действия с вашей стороны не требуются. Если пользователь еще не существует в Docker Business, он создается после проверки подлинности.

Проверка единого входа

В этом разделе вы протестируете вашу конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

  • Щелкните "Тестировать это приложение" в Центре администрирования Microsoft Entra. Вы будете перенаправлены на страницу входа в Docker Business, где можно инициировать процесс входа.

  • Перейдите непосредственно по URL-адресу для входа в Docker Business и начните процесс входа.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку Docker Business в Мои приложения, вы перейдете по URL-адресу для входа в Docker Business. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанное содержимое

После настройки Docker Business вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.