企业用户
- Tier: 专业版, 旗舰版
- Offering: JihuLab.com
企业用户拥有由组织管理的用户账户,该组织已验证其电子邮件域并购买了极狐GitLab订阅。
企业用户通过其姓名旁边的企业徽章在成员列表中识别。
企业用户的自动声明
当满足以下两个条件时,用户会自动被声明为群组的企业用户:
- 用户的主电子邮件具有已由付费群组验证的域。
- 用户账户至少满足一个以下条件:
- 创建于 2021 年 2 月 1 日或之后。
- 拥有与组织群组绑定的 SAML 或 SCIM 身份。
- 拥有 provisioned_by_group_id 值,与组织群组的 ID 相同。
- 是组织群组的成员,该群组的订阅是在 2021 年 2 月 1 日或之后购买或续订的。
用户被声明为企业用户后:
- 其 enterprise_group_id 属性将设置为组织群组的 ID。
如果群组购买的订阅到期或被取消:
如果群组的验证域被移除:
如果组织将其验证域转移到另一个付费群组,其企业用户会被自动声明为该群组的企业用户。
识别未声明的用户
如果用户未自动被声明为企业用户,其现有访问权限不会被撤销。启用域验证的群组可以同时拥有被声明和未声明的用户作为成员。
被声明为企业用户的成员和未声明的成员之间唯一的区别是群组所有者无法管理未声明的用户。
识别未被声明为企业用户的群组成员
启用域验证的群组可以同时拥有被声明和未声明的用户作为成员。未声明的用户保留其现有访问权限,但不受群组所有者管理。
请参阅在命名空间中管理企业用户。
您可以通过访问和分析您的可计费用户列表来发现群组中的任何未声明用户:https://gitlab.com/groups/<group_id>/-/usage_quotas#seats-quota-tab。
从该列表中,未声明的用户之一:
- 没有可见的电子邮件地址。
- 电子邮件地址与您的验证域不匹配。
要声明这些用户,他们必须更新其主电子邮件地址以匹配验证域。这些用户将在下一个计划的声明工作运行时自动被声明。
企业用户限制
主电子邮件更改
企业用户只能将其主电子邮件更改为其组织拥有的电子邮件,符合其验证域。如果组织移除所有验证域,其企业用户无法更改其主电子邮件地址。
只有极狐GitLab管理员可以将企业用户的主电子邮件地址更改为具有未验证域的电子邮件。
群组的验证域
以下自动化流程使用验证域运行:
设置验证域
前提条件:
- 自定义域名 example.com 或子域 subdomain.example.com。
- 访问您的域的服务器控制面板以设置 DNS TXT 记录以验证您的域的所有权。
- 群组中的一个项目。该项目将链接到验证域,并且不应删除。该项目还需要在其设置中启用页面组件(常规 -> 可见性、项目功能、权限 -> 页面)。如果页面组件在其设置中被禁用,则在域验证期间将生成 500 错误。
- 确保项目已启用极狐GitLab Pages。如果极狐GitLab Pages被禁用,添加域可能会导致错误。
- 您必须拥有顶级群组的所有者角色。
域验证适用于顶级群组以及所有子群组和项目,该顶级父群组下的嵌套项目。
您不能为多个群组验证一个域。例如,如果名为“群组 1”的群组有一个名为“域 1”的验证域,则不能也验证“域 1”用于名为“群组 2”的不同群组。
设置验证域类似于在极狐GitLab Pages上设置自定义域。然而,您:
- 不需要拥有极狐GitLab Pages网站。
- 必须将域链接到单个项目,尽管域验证适用于顶级群组及其所有嵌套子群组和项目,因为域验证:
- 绑定到您选择的项目。如果项目被删除,域验证将被移除。
- 重用极狐GitLab Pages自定义域验证功能,需要一个项目。
- 必须仅在 DNS 记录中配置 TXT 以验证域的所有权。
除了在顶级群组域验证列表中出现外,域还会出现在选择的项目中。此项目中的成员至少具有维护者角色可以修改或移除域验证。
如果需要,您可以创建一个新项目以直接在顶级群组下设置域验证。这限制了修改域验证的能力,只有至少具有维护者角色的成员,因为这些用户能够设置域并因此允许群组的企业用户更新其电子邮件以匹配该域。
1. 为匹配的电子邮件域添加自定义域
自定义域必须与电子邮件域完全匹配。例如,如果您的电子邮件是 username@example.com,则验证 example.com 域。
- 在左侧边栏,选择 搜索或转到并找到您的群组。 此群组必须在顶级。
- 选择 设置 > 域验证。
- 在右上角,选择 添加域。
- 在 域中,输入域名。
- 在 项目中,链接到一个项目。
- 在 证书中:
- 如果您没有或不想使用 SSL 证书,则保留 使用 Let's Encrypt 自动证书管理选项。
- 可选。打开 手动输入证书信息切换以添加 SSL/TLS 证书。您也可以稍后添加证书和密钥。
- 选择 添加域。
2. 获取验证代码
创建新域后,将提示您进行验证代码。将值从极狐GitLab复制并粘贴到您的域控制面板中作为 TXT 记录。
3. 验证域的所有权
添加所有 DNS 记录后:
- 在左侧边栏,选择 搜索或转到并找到您的群组。
- 选择 设置 > 域验证。
- 在域表行中,选择 重试验证 ()。
在群组中查看域
要查看群组中所有配置的域:
- 在左侧边栏,选择 搜索或转到并找到您的群组。 此群组必须在顶级。
- 选择 设置 > 域验证。
然后您会看到:
- 添加的域列表。
- 域的状态为 已验证或 未验证。
- 配置域的项目。
在群组中管理域
要编辑或移除域:
- 在左侧边栏,选择 搜索或转到并找到您的群组。 此群组必须在顶级。
- 选择 设置 > 域验证。
- 在查看 域验证时,选择相关域旁边列出的项目。
- 根据相关的极狐GitLab Pages自定义域说明编辑或移除域。
在命名空间中管理企业用户
付费计划上的命名空间的顶级所有者可以检索信息并管理该命名空间中的企业用户账户。
这些企业用户特定的操作是标准的group成员权限之外的。
禁用双因素身份验证
History
- 在极狐GitLab 15.8 中引入。
顶级群组所有者可以为企业用户禁用双因素身份验证 (2FA)。
禁用 2FA:
- 在左侧边栏,选择 搜索或转到并找到您的群组。
- 选择 管理 > 成员。
- 找到带有 企业和 2FA徽章的用户。
- 选择 更多操作 () 并选择 禁用双因素身份验证。
为 Web IDE 和工作空间启用扩展市场
- 状态:测试版
History
- 在极狐GitLab 17.0 中引入为测试版,使用名为 web_ide_oauth 和 web_ide_extensions_marketplace 的功能标志。默认禁用。
- 在极狐GitLab 17.4 中,web_ide_oauth 在极狐GitLab.com、极狐GitLab 私有化部署中启用。
- 在极狐GitLab 17.4 中,web_ide_extensions_marketplace 在极狐GitLab.com 中启用。
- web_ide_oauth 在极狐GitLab 17.5 中移除。
- 在极狐GitLab 17.10 中引入 vscode_extension_marketplace_settings 功能标志。默认禁用。
- 在极狐GitLab 17.11 中,web_ide_extensions_marketplace 和 vscode_extension_marketplace_settings 在极狐GitLab 私有化部署中启用。
前提条件:
- 在管理区域,极狐GitLab 管理员必须启用扩展市场。
如果您拥有顶级群组的所有者角色,可以为企业用户启用扩展市场。
- 在左侧边栏,选择 搜索或转到并找到您的群组。
- 选择 设置 > 常规。
- 展开 权限和群组功能部分。
- 在 Web IDE 和工作空间下,选择 启用扩展市场复选框。
- 选择 保存更改。
防止企业用户在企业群组之外创建群组和项目
SAML 身份管理员可以配置 SAML 响应以设置:
- 企业用户是否可以创建新的顶级群组。
- 企业用户可以创建的个人项目的最大数量。
有关详细信息,请参阅如何从 SAML 响应配置企业用户设置。
绕过已配置用户的电子邮件确认
顶级群组所有者可以设置验证域以绕过确认电子邮件。
获取用户的电子邮件地址
顶级群组所有者可以使用 UI 访问企业用户的电子邮件地址:
- 在左侧边栏,选择 搜索或转到并找到您的项目或群组。
- 选择 管理 > 成员。
- 在群组或项目成员页面,悬停在企业用户的姓名上以查看其电子邮件地址。
群组所有者还可以使用群组和项目成员 API访问用户的信息。对于群组的企业用户,此信息包括用户的电子邮件地址。
从账户中移除企业管理功能
将企业用户的主电子邮件更改为非验证域的电子邮件会自动从账户中移除企业徽章。这不会改变用户的任何账户角色或权限,但会限制群组所有者管理此账户的能力。
禁用企业用户的密码认证
顶级群组所有者可以禁用企业用户的密码认证。