1password/scim Docker Image Overview

1password/scim

1password

1Password SCIM bridge允许1Password商业版用户从Azure AD或Okta进行配置。

31 次收藏下载次数: 0状态：社区镜像维护者：1password仓库类型：镜像最近更新：13 天前

轩辕镜像，快一点，稳很多。点击查看

中文简介版本下载

轩辕镜像，快一点，稳很多。点击查看

1Password SCIM bridge Docker镜像文档

1. 镜像概述和主要用途

1Password SCIM bridge Docker镜像是1Password官方提供的容器化部署方案，用于1Password Business环境中的用户与组自动化管理。该镜像实现了SCIM 2.0协议兼容，可与Azure Active Directory、Okta等主流身份提供商集成，帮助管理员通过身份提供商自动化执行1Password中的用户生命周期管理任务，简化企业级账号治理流程。

2. 核心功能和特性

2.1 核心功能

用户与组管理：通过身份提供商创建1Password用户和组，并支持自动完成用户账户确认流程。
权限控制：基于身份提供商的组配置，自动授予或撤销用户对1Password组的访问权限。
用户生命周期管理：根据身份提供商的用户状态变更，自动暂停或删除1Password中的用户账户。

2.2 关键特性

SCIM 2.0兼容：遵循SCIM 2.0标准协议，确保与符合该标准的身份提供商无缝集成。
多身份提供商支持：已验证支持Azure Active Directory、Okta等主流企业级身份提供商。
官方维护：由1Password官方开发和维护，确保与1Password Business服务的兼容性和安全性。

3. 使用场景和适用范围

3.1 适用场景

企业用户批量管理：在1Password Business环境中，通过身份提供商批量创建、更新或删除用户及组。
权限自动化：当员工加入/离开团队或角色变更时，自动同步1Password中的组权限，减少手动操作。
合规性管理：通过身份提供商的用户状态（如离职）自动暂停1Password账户，降低数据泄露风险。

3.2 适用范围

用户：1Password Business订阅用户。
身份提供商：Azure Active Directory、Okta或其他支持SCIM 2.0的企业级身份管理平台。
环境：需部署Docker引擎的服务器环境（物理机、虚拟机或容器平台）。

4. 使用方法和配置说明

4.1 前提条件

已获取1Password Business订阅及管理员权限。
已部署Docker Engine（20.10+）和Docker Compose（v2+，如需使用）。
已在身份提供商（如Azure AD、Okta）中配置SCIM应用，并获取相关配置参数（如租户URL、访问令牌）。

4.2 环境变量配置

以下为运行镜像所需的核心环境变量（完整参数需参考1Password官方文档）：

环境变量名	描述	示例值	是否必填
`DATABASE_URL`	用于存储SCIM桥状态的数据库连接URL（支持PostgreSQL、SQLite等）	`postgresql://user:pass@db:5432/scim`	是
`OP_CONNECT_TOKEN`	1Password Connect API令牌，用于SCIM桥与1Password服务的认证	`op.eyJ...`（从1Password管理界面获取）	是
`IDP_TYPE`	身份提供商类型（如`azure`、`okta`）	`azure`	是
`SCIM_BASE_URL`	SCIM桥对外提供服务的基础URL（需与身份提供商配置的SCIM端点一致）	`[***]`	是
`TLS_CERT_PATH`	TLS证书文件路径（用于HTTPS加密，如未指定则使用HTTP）	`/etc/scim/tls/cert.pem`	否
`TLS_KEY_PATH`	TLS私钥文件路径（与TLS证书配套使用）	`/etc/scim/tls/key.pem`	否

4.3 Docker部署方案

4.3.1 使用`docker run`部署

bash
docker run -d \
  --name op-scim-bridge \
  -p 3000:3000 \
  -e DATABASE_URL="postgresql://user:pass@db:5432/scim" \
  -e OP_CONNECT_TOKEN="op.eyJ..." \
  -e IDP_TYPE="azure" \
  -e SCIM_BASE_URL="[***]" \
  -v /path/to/tls:/etc/scim/tls \  # 如启用HTTPS需挂载TLS证书
  1password/scim-bridge:latest

4.3.2 使用Docker Compose部署

创建docker-compose.yml文件：

yaml
version: "3.8"

services:
  scim-bridge:
    image: 1password/scim-bridge:latest
    container_name: op-scim-bridge
    ports:
      - "3000:3000"
    environment:
      - DATABASE_URL=postgresql://user:pass@db:5432/scim
      - OP_CONNECT_TOKEN=op.eyJ...
      - IDP_TYPE=okta
      - SCIM_BASE_URL=[***]
    volumes:
      - ./tls:/etc/scim/tls  # 挂载TLS证书目录（如启用HTTPS）
    depends_on:
      - db
    restart: unless-stopped

  db:
    image: postgres:14-alpine
    environment:
      - POSTGRES_USER=user
      - POSTGRES_PASSWORD=pass
      - POSTGRES_DB=scim
    volumes:
      - postgres_data:/var/lib/postgresql/data
    restart: unless-stopped

volumes:
  postgres_data:

4.4 验证部署

启动容器后，通过docker logs op-scim-bridge检查日志，确认服务正常启动。
访问SCIM_BASE_URL/.well-known/scim-configuration，验证SCIM元数据接口返回200 OK。
在身份提供商中测试SCIM同步（如创建测试用户），检查1Password管理界面中是否同步创建用户。

5. 注意事项

安全性：生产环境中必须启用HTTPS（通过TLS_CERT_PATH和TLS_KEY_PATH挂载证书），并限制SCIM桥的网络访问（仅允许身份提供商IP访问）。
数据库持久化：使用外部数据库（如PostgreSQL）而非SQLite，确保数据持久化和高可用性。
版本更新：定期更新镜像至最新版本，以获取安全补丁和功能改进（参考1Password SCIM bridge更新日志）。
故障排查：若同步失败，可通过docker logs查看详细错误信息，或参考官方故障排查指南。

查看更多 scim 相关镜像 →