シングル サインオンの設定

• SAML 2.0: エンティティ ID、ACS URL、シングル ログアウト URL、および証明書ダウンロード URL
• Azure AD: クライアント ID (登録した AD アプリケーションの一意の識別子)、クライアント シークレット (登録した Azure AD アプリケーションにアクセスするための文字列)、および AD ドメインの詳細

現在、SSO は 1 つの組織でのみ有効にできます。組織内に異なるドメイン (ソーシャル ドメインを含む) を持つユーザーがいる場合、ゲストとして組織に追加されます。ゲストは引き続き Docker ID とパスワードを使用して Docker 認証されます。

以下の図は、Docker Hub と Docker Desktop でシングル サインオン (SSO) がどのように動作し、管理されるかを示しています。さらに、IdP 間の認証方法についても記載しています。

※クリックして拡大

• 最初に、新しい SSO ログイン方法について社内に告知する必要があります。
• 組織のメンバーのマシンに Docker Desktop バージョン 4.4.2 がインストールされていることを確認します。
• CLI にログインするためには、新規で [個人用アクセス トークンの作成] (PAT) を作成する必要があります。既存のユーザーは、以下で説明する猶予期間中は既存のユーザー名とパスワードを使用することが可能です。
• すべての CI/CD パイプラインがパスワードを PAT に変更したことを確認します。
• サービス アカウントの場合、ドメインを追加するか、IdP で有効にします。
• ドメイン メール アドレスと IdP パスワードで SSO をテストして、Docker Hub へのログイン/ログアウトができることを確認します。

組織の SSO を設定する前に、組織の各メンバーは CLI にログインするためのアクセス トークンを作成する必要があります。現在、既存のユーザーには猶予期間を設けています。猶予期間が終了し、PAT の使用が強制される前までは、ユーザーは以前の認証情報を使用して Docker Desktop CLI からログインすることができます。また、すべてのメールアドレスを IdP に追加する必要があります。

1. Docker Hub に管理者としてログインして、[Organizations] に移動し、SSO を有効にする組織を選択します。
2. [Settings] をクリックして、[Security] タブを選択します。
3. 認証方法で [SAML 2.0] を選択します。



4. [Identity Provider Set Up] で、Entity ID、ACS URL、Certificate Download URL をコピーします。



5. IdP にログインして IdP サーバーの設定作業を完了します。詳細な手順は、IdP のドキュメントを参照してください。
注意: NameID はデフォルト設定でお客様のメールアドレスとなっています。例: yourname@mycompany.com。オプションで `name` 属性もサポートしています。この属性名は小文字にする必要があります。 以下は、Okta の属性の例です。



6. [Configuration Settings] セクションのフィールドに必要事項を入力して、[Save] をクリックします。IdP を変更する場合は、既存のプロバイダを削除し、新しい IdP で SSO を構成する必要があります。



7. SSO をテストして適用する前に、ドメインの追加に進んでください。

1. Docker Hub に管理者としてログインして、[Organizations] に移動し、SSO を有効にする組織を選択します。
2. [Settings] をクリックして、[Security] タブを選択します。
3. 認証方法で [Azure AD] を選択します。



4. [Identity Provider Set Up] で、Redirect URL / Reply URL をコピーします。



5. IdP にログインして IdP サーバーの設定作業を完了します。詳細な手順は、IdP のドキュメントを参照してください。
注意: NameID はデフォルト設定でお客様のメールアドレスとなっています。例: yourname@mycompany.com。
6. [Configuration Settings] セクションのフィールドに必要事項を入力して、[Save] をクリックします。IdP を変更する場合は、既存のプロバイダを削除し、新しい IdP で SSO を構成する必要があります。



7. SSO をテストして適用する前に、ドメインの追加に進んでください。

ドメインの所有権を確認するには、ドメイン ネーム システム (DNS) の設定に TXT レコードを追加します。

1. 提供された TXT レコードの値をコピーして、DNS ホストに移動し、新しいレコードを追加するための設定ページを見つけます。
2. 新しいレコードを追加するオプションを選択し、TXT レコードの値を該当するフィールドに貼り付けます。例: [Value]、[Answer]、[Description] フィールドなど。
   DNS レコードには、以下のようなフィールドがあります。
   • レコード タイプ: 'TXT' レコードの値を入力します。
   • 名前/ホスト/エイリアス: デフォルト (@ または空白) のままにしてください。
   • TTL (Time to Live): [86400] と入力します。
3. フィールドを更新したら、[保存] をクリックします。
注意: DNS の変更が有効になるまでに、DNS ホストによっては最大 72時間かかることがあります。この間、ドメイン テーブルのステータスは未確認となります。
4. Docker Organization のセキュリティ セクションで、72時間後に検証したいドメインの横にある [Verify] をクリックします。

Docker Hub で SSO 設定作業が完了したら、シークレット ブラウザーを使用して Docker Hub にログインし、設定をテストできます。ドメイン メール アドレスと IdP パスワードでログインすると、認証のため ID プロバイダーのログイン ページにリダイレクトされます。

1. Docker ID の代わりにメールで認証して、ログイン プロセスをテストします。
2. CLI で認証を行うには、CLI ユーザーに SSO を実施する前にユーザーが PAT を保有していなければなりません。

1. Docker Hub のシングル サインオン ページで [Turn ON Enforcement] をクリックして SSO を有効にします。

2. SSO が実施されると、メンバーは Docker Hub を通じてメール アドレスやパスワードの変更、ユーザー アカウントから組織への変換、2FA の設定ができなくなります。IdP を通じて 2FA を有効にする必要があります。

   注意: SSO を無効にして Docker の組込み認証に戻すには、[Turn OFF Enforcement] をクリックします。メンバーは IdP 経由での認証を強制されず、個人の認証情報を使用して Docker にログインできます。

   

IdP 経由で認証されていないゲストを Docker Hub の組織に追加するには、次の操作を行います。

1. Docker Hub の [Organizations] に移動して、組織を選択します。
2. [Add Member] をクリックして、メール アドレスを選択し、ドロップダウン・リストからチームを選択します。
3. [Add] をクリックします。

組織からメンバーを削除するには、次の操作を行います。

1. 組織の管理者として Docker Hub にログインします。リストから組織を選択します。組織ページにメンバーのリストが表示されます。
2. 組織内のすべてのチームからメンバーを削除するには、メンバーの名前の横にある x をクリックします。
3. [Remove] をクリックして確定します。メンバーに削除を確認するメールが送信されます。
   注意: SSO 組織からメンバーを削除すると、そのメンバーはメール アドレスでログインできなくなります。

詳細は、「FAQ」を参照してください。

SSOを無効にする場合、接続を削除することで、構成設定と追加されたドメインを削除することができます。この接続を一度削除すると、元に戻すことはできません。ユーザーは、Docker ID とパスワードで認証するか、パスワードがない場合はパスワード リセットを行う必要があります。