企业用户
- Tier: Premium, Ultimate
- Offering: GitLab.com
企业用户是由组织管理的用户账户,该组织已验证其电子邮件域名并购买了GitLab 订阅。
企业用户在成员列表中其姓名旁边有 Enterprise 标识。
您还可以使用 API 与企业用户进行交互。
企业用户的自动归属
当满足以下两个条件时,用户会被自动归属为某个组的企业用户:
- 用户的主电子邮件域名已被付费组验证。
- 用户账户满足以下至少一个条件:
- 账户创建于 2021 年 2 月 1 日或之后。
- 账户具有与组织组绑定的 SAML 或 SCIM 身份。
- 账户具有与组织组 ID 相同的
provisioned_by_group_id值。 - 账户是组织组的成员,且该组的订阅购买或续订于 2021 年 2 月 1 日或之后。
用户被归属为企业用户后:
- 他们的
enterprise_group_id属性被设置为组织组的 ID。 - 用户会收到欢迎邮件。
如果某个组购买的订阅到期或被取消:
如果某个组的已验证域名被移除:
- 已归属的企业用户仍然是该组的企业用户。
- 用户账户的主电子邮件必须来自已验证的域名。
- 在域名重新验证之前,无法将新用户自动关联到该组。
如果组织将其已验证域名转移到另一个付费组,其企业用户会自动归属为该组的企业用户。
识别未归属的用户
如果用户未被自动归属为企业用户,其现有访问权限不会被撤销。 启用域名验证的组可以同时拥有已归属和未归属的用户作为成员。
已归属的企业用户成员与未归属成员的唯一区别在于,组所有者无法管理未归属用户。
识别未归属为企业用户的组成员
启用域名验证的组可以同时拥有已归属和未归属的用户作为成员。 未归属用户保留其现有访问权限,但不由组所有者管理。
请参阅在命名空间中管理企业用户。
您可以通过访问并分析可计费用户列表来发现组中的任何未归属用户:
https://gitlab.com/groups/<group_id>/-/usage_quotas#seats-quota-tab。
从此列表中,未归属用户具有以下特征之一:
- 没有可见的电子邮件地址。
- 电子邮件地址与您的已验证域名不匹配。
要归属这些用户,他们必须将其主电子邮件地址更新为匹配已验证域名。 当下一个计划的任务运行程序运行时,这些用户会被自动归属。
组的已验证域名
以下自动化流程使用已验证域名运行:
设置已验证域名
先决条件:
- 自定义域名
example.com或子域名subdomain.example.com。 - 能够访问域名服务器的控制面板以设置 DNS
TXT记录来验证域名所有权。 - 组中的项目。该项目将链接到已验证域名,不应被删除。该项目还需要在设置中启用 Pages 组件(常规 -> 可见性、项目功能、权限 -> Pages)。如果在其设置中禁用了 Pages 组件,域名验证期间将生成
500错误。 - 确保GitLab Pages 已为项目启用。如果禁用了 GitLab Pages,添加域名可能会导致错误。
- 您必须拥有顶级组的 Owner 角色。
域名验证应用于顶级组及其下的所有子组和项目。
您不能为多个组验证同一个域名。例如,如果名为 ‘group1’ 的组有一个名为 ‘domain1’ 的已验证域名,您就不能为名为 ‘group2’ 的不同组也验证 ‘domain1’。
设置已验证域名类似于在 GitLab Pages 上设置自定义域名。但是,您:
- 不需要拥有 GitLab Pages 网站。
- 必须将域名链接到单个项目,尽管域名验证应用于顶级组及其下的所有嵌套子组和项目,因为域名验证:
- 与您选择的项目绑定。如果项目被删除,域名验证也会被移除。
- 重用 GitLab Pages 自定义域名验证功能,该功能需要一个项目。
- 必须仅在 DNS 记录中配置
TXT来验证域名所有权。
除了出现在顶级组域名验证列表中,该域名也会出现在所选项目中。该项目中具有至少 Maintainer 角色的成员可以修改或移除域名验证。
如果需要,您可以直接在顶级组下创建新项目来设置域名验证。这会将修改域名验证的能力限制给具有至少 Maintainer 角色的成员,因为这些用户能够设置域名,从而允许组的用户更新其电子邮件以匹配该域名。
有关组级别域名验证的更多信息,请参阅epic 5299。
1. 为匹配的电子邮件域名添加自定义域名
自定义域名必须与电子邮件域名完全匹配。例如,如果您的电子邮件是 username@example.com,请验证 example.com 域名。
- 在左侧边栏,选择搜索或跳转至并找到您的组。 该组必须是顶级组。
- 选择设置 > 域名验证。
- 在右上角,选择添加域名。
- 在域名中,输入域名。
- 在项目中,链接到项目。
- 在证书中:
- 如果您没有或不想使用 SSL 证书,保持选择使用 Let’s Encrypt 进行自动证书管理。
- 可选。开启手动输入证书信息开关以添加 SSL/TLS 证书。您也可以稍后添加证书和密钥。
- 选择添加域名。
域名验证不需要有效证书。如果您不使用 GitLab Pages,可以忽略关于证书的错误消息。
2. 获取验证码
创建新域名后,系统会提示您获取验证码。从 GitLab 复制值并将其作为 TXT 记录粘贴到您的域名控制面板中。
3. 验证域名所有权
添加所有 DNS 记录后:
- 在左侧边栏,选择搜索或跳转至并找到您的组。
- 选择设置 > 域名验证。
- 在域名表格行中,选择重试验证( )。
对于启用域名验证的 GitLab 实例,如果域名在 7 天内无法验证,该域名将从 GitLab 项目中移除。
- 域名验证是** GitLab.com 用户被标记为企业用户的必需条件**。
- DNS 传播可能需要长达 24 小时,尽管通常几分钟就能完成。在完成之前,域名显示为未验证。
- 域名验证后,请保留验证记录。您的域名会定期重新验证,如果移除记录,可能会被禁用。
- 域名验证不需要有效证书。
在组中查看域名
要查看组中所有已配置的域名:
- 在左侧边栏,选择搜索或跳转至并找到您的组。 该组必须是顶级组。
- 选择设置 > 域名验证。
您将看到:
- 已添加域名列表。
- 域名的已验证或未验证状态。
- 域名已配置的项目。
在组中管理域名
要编辑或移除域名:
- 在左侧边栏,选择搜索或跳转至并找到您的组。 该组必须是顶级组。
- 选择设置 > 域名验证。
- 查看域名验证时,选择相关域名旁边列出的项目。
- 按照GitLab Pages 自定义域名的相关说明编辑或移除域名。
管理企业用户
除了标准的组成员权限外,顶级组的所有者还可以管理其组中的企业用户。
限制认证方法
您可以限制企业用户可用的特定认证方法,这有助于减少用户的安全足迹。
限制组和项目创建
您可以限制企业用户的组和项目创建,这有助于您定义:
- 企业用户是否可以创建顶级组。
- 每个企业用户可以创建的个人项目数量上限。
这些限制在 SAML 响应中定义。有关更多信息,请参阅从 SAML 响应配置企业用户设置。
为预配用户绕过电子邮件确认
默认情况下,使用 SAML 或 SCIM 预配的用户会收到验证电子邮件以验证其身份。相反,您可以使用自定义域名配置 GitLab,GitLab 会自动确认用户账户。用户仍然会收到企业用户欢迎邮件。
有关更多信息,请参阅使用已验证域名绕过用户电子邮件确认。
查看企业用户的电子邮件地址
顶级组的所有者可以使用 UI 访问企业用户的电子邮件地址:
- 在左侧边栏,选择搜索或跳转至并找到您的项目或组。
- 选择管理 > 成员。
- 在组或项目成员页面,将鼠标悬停在企业用户姓名上以查看其电子邮件地址。
组所有者还可以使用组和项目成员 API访问用户信息。对于该组的企业用户,此信息包括用户的电子邮件地址。
更改企业用户的电子邮件地址
企业用户可以遵循与其他 GitLab 用户相同的流程来更改其主电子邮件地址。新电子邮件地址必须来自已验证的域名。如果您的组织没有已验证的域名,您的企业用户无法更改其主电子邮件地址。
只有 GitLab 支持可以将主电子邮件地址更改为来自未验证域名的电子邮件地址。这样做会释放企业用户。
释放企业用户
可以从用户账户中移除企业管理功能。例如,如果用户想在离开公司后保留其 GitLab 账户,这可能需要这样做。释放用户不会更改其账户角色或权限,但会移除组所有者的管理选项。
要释放用户,GitLab 支持必须将用户的主电子邮件地址更新为来自未验证域名的电子邮件地址。此操作会自动释放账户。
允许组所有者更改主电子邮件地址已在问题 412966中提出。
为 Web IDE 和工作空间启用扩展市场
- Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
先决条件:
- 在Admin区域,GitLab 管理员必须启用扩展市场。
如果您拥有顶级组的 Owner 角色,可以为企业用户启用扩展市场。
- 在左侧边栏,选择搜索或跳转至并找到您的组。
- 选择设置 > 常规。
- 展开权限和组功能部分。
- 在Web IDE 和工作空间下,选择启用扩展市场复选框。
- 选择保存更改。
故障排除
无法禁用企业用户的双因素认证
如果用户没有Enterprise标识,组所有者无法禁用或重置其账户的 2FA。相反,所有者应该告诉企业用户考虑可用的恢复选项。