注册限制

您可以对注册实施以下限制:

  • 禁用新注册。
  • 新注册需要管理员批准。
  • 需要用户电子邮件确认。
  • 允许或拒绝使用特定电子邮件域名的注册。

禁用新注册

默认情况下,任何访问您的极狐GitLab 域名的用户都可以注册一个账户。对于运行面向公众的极狐GitLab 实例的客户,如果您不希望公众用户注册账户,我们强烈建议您考虑禁用新注册。

要禁用注册:

  1. 在左侧导航栏底部,选择 管理员
  2. 选择 设置 > 通用
  3. 展开 注册限制
  4. 清除 已启用注册功能 复选框,然后选择 保存修改

您还可以在 Rails 控制台上通过运行如下命令来禁用新注册:

::Gitlab::CurrentSettings.update!(signup_enabled: false)

新注册需要管理员批准

新的极狐GitLab 实例默认开启此设置。当开启此设置时,任何访问您极狐GitLab 域名和使用注册表单注册新账户的用户,在开始使用他们的账户前都必须由管理员明确批准。此设置仅适用于启用注册的情况。

要求管理员批准新注册:

  1. 在左侧导航栏底部,选择 管理员
  2. 选择 设置 > 通用
  3. 展开 注册限制
  4. 选中 新的注册需要管理员批准 复选框,然后选择 保存修改

如果管理员禁用此设置,处于待批准状态的用户将在后台作业中自动获得批准。

note 此设置不适用于 LDAP 或 OmniAuth 用户。要强制批准使用 OmniAuth 或 LDAP 注册的新用户,请在 OmniAuth 配置LDAP 配置中将 block_auto_created_users 设置为 true

确认用户邮件

  • 软设置邮件确认从功能标志变更为应用设置于极狐GitLab 15.9。

您可以在注册期间发送确认电子邮件,并要求用户在允许登录之前确认其电子邮件地址。

要强制确认用于新注册的电子邮件地址:

  1. 在左侧导航栏底部,选择 管理员
  2. 选择 设置 > 通用
  3. 展开 注册限制
  4. 选中 注册时发送确认电子邮件 复选框,然后选择 保存修改

有以下可用设置:

  • Hard - 在注册期间发送确认邮件。新用户必须确认其电子邮件地址才能登录。
  • Soft - 在注册期间发送确认邮件。新用户可以立即登录,但必须在三天内确认其电子邮件。三天后,用户无法登录,直到他们确认电子邮件。
  • Off - 新用户可以注册,无需确认电子邮件地址。

用户容量

用户容量是指在无需管理员批准的情况下,能够注册或者被添加到订阅中的计费用户数。一旦达到用户容量,任何注册或添加的用户必须由管理员批准,用户只有在获得管理员的审批后才能使用他们的账号。

如果管理员增加或移除用户容量,处于待批准状态的用户将在后台作业中自动获得批准。

查看如何为群组设置用户容量

note 对于使用 LDAP 或 OmniAuth 的实例,当启用或禁用管理员对新注册用户的批准时,可能会涉及更改 Rails 配置,并且可能需要停机。您可以设置用户容量来对新用户执行强制审批。为了确保用户容量立即生效,请将其设置为低于当前计费用户数的较低值,例如:1

设置用户容量

设置用户容量来限制无需管理员审批就能够注册的用户数。

计费用户的数量每天更新一次。用户容量可能仅在容量超限以后才发挥作用。为了确保用户容量立即生效,请将其设置为低于当前计费用户数的较低值,例如:1

先决条件:

  • 您必须是管理员。

设置用户容量:

  1. 在导航栏左侧底部,选择 管理员
  2. 选择 设置 > 通用
  3. 展开 注册限制
  4. 用户容量 中输入数值。
  5. 选择 保存更改

移除用户容量

移除用户容量以便在无需管理员批准的情况下,能够注册的用户数不受限制。

在您移除用户容量后,处于待批准状态的用户会自动获得批准。

先决条件:

  • 您必须是管理员。

要移除用户容量:

  1. 在左侧导航栏底部,选择 管理员
  2. 选择 设置 > 通用
  3. 展开 注册限制
  4. 用户上限 中删除数字。
  5. 选择 保存更改

最小密码长度限制

您可以通过极狐GitLab 用户界面,更改用户密码中必须包含的最小字符数。

密码复杂度要求

  • 引入于 15.2 版本。

默认情况下,用户密码的唯一要求是最小密码长度。 您可以添加额外的复杂度要求。密码复杂度要求的更改适用于:

  • 新用户注册时创建的新密码
  • 已有用户重置密码时设置的新密码

现有密码不受影响。要更改密码复杂度要求:

  1. 在左侧导航栏底部,选择 管理员
  2. 选择 设置 > 通用
  3. 展开 注册限制
  4. 最小密码长度(字符数) 下,选择其他密码复杂度要求。您可以要求使用数字、大写字母、小写字母和符号。
  5. 选择 保存更改

允许或拒绝使用特定电子邮件域名的注册

您可以指定可用于用户注册的电子邮件域名的列表,可包含的或除外的均可。

这些限制仅适用于外部用户注册。管理员可以通过管理员面板添加具有不允许使用的域名的用户。另外,请注意,用户可以在注册后将其电子邮件地址更改为不允许的域名。

电子邮件域名白名单

您可以限制用户仅使用与给定域名列表匹配的电子邮件地址进行注册。

电子邮件域名黑名单

您可以在使用特定域名的电子邮件地址时阻止用户注册。这可以降低恶意用户使用一次性电子邮件地址创建垃圾邮件账户的风险。

创建电子邮件域名白名单或黑名单

  1. 在左侧导航栏底部,选择 管理员
  2. 选择 设置 > 通用
  3. 展开 注册限制

  4. 对于白名单,您必须手动输入该名单。对于黑名单,您可以手动输入列表或上传包含列表条目的 .txt 文件。

    白名单和黑名单都接受通配符。例如,您可以使用 *.company.com 来接受每个 company.com 子域,或使用 *.io 来阻止所有以 .io 结尾的域名。域名必须用空格、分号、逗号或换行符分隔。

    Domain Denylist

设置 LDAP 用户过滤器

您可以将极狐GitLab 访问权限限制为 LDAP 服务器上的部分 LDAP 用户。

有关更多信息,请参阅有关设置 LDAP 用户过滤器的文档

为角色晋升开启管理员审批

  • 自极狐GitLab 16.9 引入,并使用名为 member_promotion_management 的功能标志。
  • 在极狐GitLab 17.5 中,功能标志 member_promotion_management 已从 wip 更改为 beta,并默认启用。
此功能的可用性受控于功能标志。

为了阻止将项目或群组的既有用户晋升为付费角色,您可以开启管理员审批以进行角色晋升。您可以在待审批的角色晋升中批准或拒绝晋升请求。

  • 如果管理员向群组或项目添加了用户:
    • 如果新用户的角色是计费的,则此用户的其他成员关系请求都会被自动批准。
    • 如果新用户的角色不是计费的,则此用户的其他请求都会被挂起直到管理员审批通过。
  • 如果是非管理员向群组或项目添加了用户:
  • 如果用户已经具有计费角色,则无需管理员审批。

先决条件:

  • 您必须是管理员。

要为角色晋升开启审批:

  1. 在左侧导航栏底部,选择 管理员
  2. 选择 设置 > 通用
  3. 展开 注册限制
  4. 席位控制 部分,选中 审批角色晋升 勾选框。

已知问题

当用户请求群组访问时,初始角色分配为开发人员。如果此访问是由群组所有者批准的,且用户成为群组成员后,如果该用户之前没有计费角色,则计费数量会增加,。