Aller au contenu

Authentification au registre

Le registre distingue deux modes d'authentification selon que vous utilisez l'interface web ou la ligne de commande.

Contexte Identifiant Mot de passe
Interface web (registry.isima.fr) Compte UCA (SSO) Mot de passe UCA
Ligne de commande (docker login) Votre nom d'utilisateur CLI secret (et non le mot de passe UCA)

Interface web : connexion via le SSO

L'accès à l'interface web se fait par le Single Sign-On de l'ISIMA / LIMOS.

  1. Rendez-vous sur https://registry.isima.fr
  2. Vous serez redirigé vers le SSO de l'ISIMA / LIMOS
  3. Authentifiez-vous avec votre compte UCA (le même que pour la messagerie, Moodle, Teams…)

Première connexion

À votre première connexion, votre compte est automatiquement créé dans le registre. Vous pouvez ensuite créer vos propres projets.

Ligne de commande : le CLI secret

Votre mot de passe UCA ne fonctionne pas avec docker login

Les outils en ligne de commande (docker, podman, helm…) ne savent pas gérer la redirection du SSO/OIDC. Harbor fournit donc un identifiant alternatif dédié : le CLI secret.

Récupérer son CLI secret

  1. Connectez-vous à l'interface web (voir ci-dessus)
  2. Cliquez sur votre nom d'utilisateur en haut à droite, puis User Profile
  3. Le CLI secret s'affiche ; cliquez sur l'icône pour le copier

Profil utilisateur et CLI secret

S'authentifier avec docker login

Utilisez votre nom d'utilisateur et le CLI secret comme mot de passe :

docker login registry.isima.fr -u <votre_login>
# Password: collez ici votre CLI secret

Authentification non interactive (scripts, CI)

Pour éviter de saisir le secret de manière interactive, passez-le via l'entrée standard. C'est la méthode recommandée car elle n'inscrit pas le secret dans l'historique du shell :

echo "$CLI_SECRET" | docker login registry.isima.fr -u <votre_login> --password-stdin

Pour automatiser des accès dans la durée (pipelines, serveurs), préférez toutefois un compte robot plutôt que votre CLI secret personnel.

Régénérer son CLI secret

Si votre secret est compromis ou perdu :

  1. Dans User Profile, cliquez sur l'icône
  2. Choisissez de générer automatiquement un nouveau secret, ou d'en saisir un manuellement

Un seul CLI secret à la fois

Chaque utilisateur ne possède qu'un seul CLI secret. Dès qu'un nouveau secret est généré, l'ancien est immédiatement invalidé : pensez à mettre à jour vos docker login existants.

Le CLI secret est lié à votre jeton d'authentification OIDC

Harbor rafraîchit automatiquement ce jeton, le CLI secret reste donc valide même après expiration. Toutefois, si le rafraîchissement échoue, le secret devient invalide : reconnectez-vous à l'interface web via le SSO pour qu'Harbor obtienne un nouveau jeton et réactive le secret.