{{< details >}}
- Tier: 基础版,专业版,旗舰版
- Offering: 私有化部署
{{< /details >}}
您可以对注册实施以下限制:
- 禁用新注册。
- 要求管理员批准新注册。
- 要求用户邮件确认。
- 使用特定邮件域名允许或拒绝注册。
禁用新注册
默认情况下,任何访问您的极狐GitLab 域的用户都可以注册一个账户。对于运行面向公众的极狐GitLab 实例的客户,我们 强烈 建议您考虑禁用新注册,除非您不希望公众用户注册账户。
要禁用注册:
- 在左侧边栏底部,选择 管理员。
- 选择 设置 > 常规。
- 展开 注册限制。
- 清除 启用注册 复选框,然后选择 保存更改。
您还可以通过运行以下命令在 Rails 控制台 中禁用新注册:
::Gitlab::CurrentSettings.update!(signup_enabled: false)
要求管理员批准新注册
此设置默认启用新的极狐GitLab 实例。启用此设置后,任何访问您的极狐GitLab 域并使用注册表单注册新账户的用户,必须由管理员明确批准才能开始使用他们的账户。仅在注册启用时适用。
要要求管理员批准新注册:
- 在左侧边栏底部,选择 管理员。
- 选择 设置 > 常规。
- 展开 注册限制。
- 选择 要求管理员批准新注册 复选框,然后选择 保存更改。
如果管理员禁用此设置,待审批状态的用户将在后台作业中自动批准。
{{< alert type=”note” >}}
此设置不适用于 LDAP 或 OmniAuth 用户。要对使用 OmniAuth 或 LDAP 注册的新用户实施审批,请在 OmniAuth 配置 或 LDAP 配置 中将 block_auto_created_users
设置为 true
。还可以使用 用户上限 来强制对新用户进行审批。
{{< /alert >}}
确认用户邮件
{{< history >}}
- 软邮件确认在 极狐GitLab 15.9 中从功能标志更改为应用设置。
{{< /history >}}
您可以在注册期间发送确认邮件,并要求用户确认他们的邮件地址后才能登录。
要强制确认用于新注册的邮件地址:
- 在左侧边栏底部,选择 管理员。
- 选择 设置 > 常规。
- 展开 注册限制。
- 在 邮件确认设置 下选择 硬性。
以下设置可用:
- 硬性 - 在注册期间发送确认邮件。新用户必须确认他们的邮件地址才能登录。
- 软性 - 在注册期间发送确认邮件。新用户可以立即登录,但必须在三天内确认他们的邮件。三天后,用户无法登录,直到他们确认邮件。
- 关闭 - 新用户可以注册而无需确认邮件地址。
启用受限访问
{{< details >}}
- Tier: 专业版,旗舰版
- Offering: 极狐GitLab 私有化部署
- Status: Beta
{{< /details >}}
{{< history >}}
- 在极狐GitLab 17.8 中引入。
{{< /history >}}
使用受限访问以防止超额费用。当您超出订阅中的许可用户数量时,会产生超额费用,并且必须在下一个季度结算时支付。
启用受限访问时,在订阅中没有许可席位时,实例无法添加新的可计费用户。
先决条件:
- 您必须是管理员。
要启用受限访问:
- 在左侧边栏,选择 设置 > 常规。
- 展开 注册限制。
- 在 席位控制 下选择 受限访问。
已知问题
启用受限访问时,可能会发生以下已知问题并导致超额:
- 如果您使用 SAML 或 SCIM 添加新成员,并且超出了订阅中的席位数量,则仍可能超出可计费用户数量。
- 多个具有管理员访问权限的用户同时添加成员。
- 新的可计费用户延迟接受邀请。
- 如果您通过极狐GitLab 销售团队续订订阅的用户数量少于您当前的订阅,您将产生超额费用。为避免此费用,请在续订开始之前删除额外用户。例如,如果您有 20 个用户并续订 15 个用户的订阅,您将为五个额外用户支付超额费用。
用户上限
{{< details >}}
- Tier: 专业版,旗舰版
- Offering: 极狐GitLab 私有化部署
{{< /details >}}
用户上限是无需管理员批准即可注册或添加到订阅的最大可计费用户数量。达到用户上限后,注册或添加的用户必须由管理员批准。用户只有在获得管理员批准后才能使用他们的账户。
如果管理员增加或移除用户上限,待审批的用户将自动获得批准。
您还可以为单个群组设置用户上限。
{{< alert type=”note” >}}
对于使用 LDAP 或 OmniAuth 的实例,当启用或禁用新注册的管理员批准时,由于 Rails 配置的更改可能会发生停机。您可以设置用户上限以强制对新用户进行审批。
{{< /alert >}}
设置用户上限
设置用户上限以限制无需管理员批准即可注册的用户数量。
可计费用户的数量每天更新一次。用户上限可能仅在超过上限后才适用。如果将上限设置为低于当前可计费用户数量的值(例如 1
),则上限立即启用。
先决条件:
- 您必须是管理员。
要设置用户上限:
- 在左侧边栏底部,选择 管理员。
- 选择 设置 > 常规。
- 展开 注册限制。
- 在 用户上限 字段中输入一个数字或留空表示无限制。
- 选择 保存更改。
移除用户上限
移除用户上限,以便无需管理员批准即可注册的新用户数量没有限制。
移除用户上限后,待审批的用户将自动获得批准。
先决条件:
- 您必须是管理员。
要移除用户上限:
- 在左侧边栏底部,选择 管理员。
- 选择 设置 > 常规。
- 展开 注册限制。
- 从 用户上限 中移除数字。
- 选择 保存更改。
最小密码长度限制
您可以使用极狐GitLab UI更改用户密码中必须包含的最小字符数。
密码复杂性要求
{{< details >}}
- Tier: 专业版,旗舰版
- Offering: 极狐GitLab 私有化部署
{{< /details >}}
{{< history >}}
- 在极狐GitLab 15.2 中引入。
{{< /history >}}
默认情况下,用户密码的唯一要求是最小密码长度。您可以添加额外的复杂性要求。密码复杂性要求的更改适用于新密码:
- 对于新注册的用户。
- 对于重置密码的现有用户。
现有密码不受影响。要更改密码复杂性要求:
- 在左侧边栏底部,选择 管理员。
- 选择 设置 > 常规。
- 展开 注册限制。
- 在 最小密码长度(字符数) 下选择额外的密码复杂性要求。您可以要求数字、大写字母、小写字母和符号。
- 选择 保存更改。
使用特定邮件域名允许或拒绝注册
您可以指定一个包含或排除的邮件域名列表,用于用户注册。
这些限制仅在外部用户注册期间应用。管理员可以通过管理员面板添加具有不允许的域的用户。用户注册后也可以更改其邮件地址为不允许的域。
允许名单邮件域
您可以限制用户仅使用匹配给定域名列表的邮件地址进行注册。
拒绝名单邮件域
您可以阻止用户在使用特定域的邮件地址时注册。这可以降低恶意用户使用一次性邮件地址创建垃圾账户的风险。
创建邮件域允许名单或拒绝名单
要创建邮件域允许名单或拒绝名单:
- 在左侧边栏底部,选择 管理员。
- 选择 设置 > 常规。
- 展开 注册限制。
-
对于允许名单,您必须手动输入列表。对于拒绝名单,您可以手动输入列表或上传包含列表条目的
.txt
文件。允许名单和拒绝名单均接受通配符。例如,您可以使用
*.company.com
接受每个company.com
子域,或使用*.io
阻止所有以.io
结尾的域。域名必须用空格、分号、逗号或换行符分隔。
设置 LDAP 用户过滤器
您可以限制极狐GitLab 访问您 LDAP 服务器上的 LDAP 用户子集。
有关设置 LDAP 用户过滤器的更多信息,请参阅文档。
启用角色晋升的管理员批准
{{< details >}}
- Tier: 旗舰版
- Offering: 极狐GitLab 私有化部署,极狐GitLab 专用
- Status: Beta
{{< /details >}}
{{< history >}}
- 在极狐GitLab 16.9 中引入,使用名为
member_promotion_management
的功能标志。 - 功能标志
member_promotion_management
在极狐GitLab 17.5 中从wip
更改为beta
并默认启用。
{{< /history >}}
{{< alert type=”flag” >}}
此功能的可用性由功能标志控制。
{{< /alert >}}
为了防止现有用户在项目或群组中晋升为可计费角色,启用角色晋升的管理员批准。然后您可以批准或拒绝待管理员批准的晋升请求。
- 如果管理员将用户添加到群组或项目:
- 如果新用户角色是可计费,该用户的所有其他成员请求将自动批准。
- 如果新用户角色不可计费,该用户的其他请求将保持待审批状态,直到管理员批准。
- 如果不是管理员的用户将用户添加到群组或项目:
- 如果用户在任何群组或项目中没有任何可计费角色,并且被添加或晋升为可计费角色,他们的请求将保持待管理员批准。
- 如果用户已经有可计费角色,则不需要管理员批准。
先决条件:
- 您必须是管理员。
要启用角色晋升的审批:
- 在左侧边栏底部,选择 管理员。
- 选择 设置 > 常规。
- 展开 注册限制。
- 在 席位控制 部分中选择 批准角色晋升。
已知问题
当用户请求访问群组时,初始分配的角色为开发者。如果此访问由具有群组所有者角色的用户批准,并且该用户成为群组成员,则如果该用户以前没有可计费角色,计费数量将增加。