共享项目和群组

  • 在极狐GitLab 16.10 中,更改为在成员页面的成员选项卡上显示被邀请群组成员,使用名为 webui_members_inherited_users 的功能标志。默认禁用。
  • 功能标志 webui_members_inherited_users 在极狐GitLab 17.0 中为 JihuLab.com 和私有化部署启用。
  • 功能标志 webui_members_inherited_users 在极狐GitLab 17.4 中被移除。

您可以通过邀请来共享:

  • 项目到群组。
  • 群组到群组。

共享项目

当您想要某个群组能访问您的项目时,您可以邀请群组到项目。群组的直接和继承成员可以访问此项目,项目会变为 共享项目

在这种情况下,继承成员是那些从父群组继承到被邀请群组的成员。仅有被邀请群组的成员能够访问共享项目。如果你想让你所邀请的群组中的某个子群组的成员获得对该项目的访问权限,那你就必须邀请这个子群组。

下面的表提供了一个共享项目的成员访问情况概述。

群组成员来源 访问共享项目
共享群组的直接成员 Yes
共享群组的继承成员 Yes
子群组的直接成员,但是不是共享群组的成员 No
子群组的继承成员,但是不是共享群组的成员 No

您邀请的群组的可见性级别必须至少与项目具有相同严格程度。比如,您可以邀请:

  • 一个 私有 群组到一个 私有 项目。
  • 一个 私有 群组到一个 内部 项目。
  • 一个 私有 群组到一个 公开 项目。
  • 一个 内部 群组到一个 内部 项目。
  • 一个 内部 群组到一个 公开 项目。
  • 一个 公开 群组到一个 公开 项目。

如果项目的顶级群组不允许项目被共享到群组之外,受邀群组或子群组必须在项目的命名空间中。

成员访问和角色

当您邀请群组到项目时,以下成员将获得访问权限:

  • 直接群组成员。
  • 继承群组成员。
  • 与受邀群组共享的其他群组的成员。

每个成员的访问权限基于:

  • 在群组中分配的角色。
  • 您在邀请时选择的最高项目角色。

如果群组成员在群组中的角色权限少于最高项目角色,则成员保持其群组角色的权限。例如,如果您将具有来宾角色的成员添加到具有最高角色为维护员的项目中,该成员在项目中的权限仅为来宾角色。

此外:

  • 在群组的页面上,项目会列在 共享项目 选项卡上。
  • 在项目的 成员 页面上,群组会列在 群组 选项卡上。此列表会包含公共和私有群组。
  • 在项目的 成员 页面上,受邀群组的成员会列在 成员 选项卡上。
  • 在使用配额页面,个人资料旁边带有 项目邀请 徽章的成员,会被计入共享项目顶级群组的计费成员数量中。

在极狐GitLab 16.1 及后续版本,受邀群组的名称和成员关系源将在 成员群组 选项卡上被遮挡,除非发生以下情况:

  • 受邀群组是公开的。
  • 当前用户是受邀群组的成员。
  • 当前用户是当前群组的所有者或当前项目的维护者/所有者。
note 受邀群组的名称和成员关系来源会对没有权限访问受邀群组的成员所遮挡。然而,项目维护者和所有者即使无法访问私有受邀群组,也可以看到私有受邀群组成员的来源。此行为是意在帮助项目维护者和所有者更好地管理他们拥有的项目的成员。

示例

命名空间 group/subgroup01/project 中的一个项目:

  • 可以与 group/subgroup02group/subgroup01/subgroup03 分享。
  • 不能与 group_abc 分享,除非项目顶级群组不允许项目被分享到群组之外。

对于由 Group 1 创建的项目:

  • Group 1 的成员可以访问项目。
  • Group 1 的所有者可以邀请 Group 2 到项目。这样,Group 1Group 2 的成员都可以访问共享项目。

邀请群组到项目

  • 在极狐GitLab 16.10 中,更改为在成员页面的成员选项卡上显示受邀群组的成员,使用名为 webui_members_inherited_users 的功能标志。默认禁用。
  • 功能标志 webui_members_inherited_users 在极狐GitLab 17.0 中为 JihuLab.com 和私有化部署启用。
  • 子群组和项目直接成员的访问过期日期在极狐GitLab 17.4 中被移除。
在私有化部署上,此功能默认可用。要为每个用户隐藏此功能,管理员可以禁用功能标志 webui_members_inherited_users。在 JihuLab.com 上,此功能可用。

先决条件:

  • 您必须是维护者或所有者角色。
  • 不能阻止项目被共享到其他群组。
  • 您必须是受邀群组或子群组的成员。

要邀请群组到项目:

  1. 在左侧导航栏,选择 搜索或转到,然后找到您的项目。
  2. 选择 管理 > 成员
  3. 选择 邀请群组
  4. 选择要邀请的群组 列表中,选择您想要邀请的群组。
  5. 选择您想要为群组成员分配的最高 角色
  6. 可选。选择 访问过期日期。从该日期开始,受邀群组将无法访问项目。
  7. 选择 邀请

受邀群组会展示在 群组 选项卡中。您还可以使用 REST API 来 列出项目邀请的群组

私有群组会:

  • 对未获授权的用户进行隐藏。
  • 在项目设置中显示,用于受保护的分支、标签和环境。

成员 选项卡显示:

  • 直接添加到项目的成员。
  • 项目被添加到的群组命名空间中的继承成员。

受邀群组的成员不会显示在 成员 选项卡中,除非 webui_members_inherited_users 功能标志已启用。

查看群组的共享项目

在群组中,共享项目是通过 邀请群组 操作获取访问权限的项目。

要查看群组的共享项目:

  1. 在左侧导航栏,选择 搜索或转到,然后找到您的群组。
  2. 在群组页面,选择 共享项目 选项卡。

会展示共享项目的列表。您还可以使用 REST API 来 列出群组的共享项目

阻止项目被共享给群组

将项目共享给群组会增加能够邀请更多成员到项目的成员数。每个(子)群组都可以成为额外的访问权限来源,这可能会使情况变得复杂和难以控制。

要阻止项目被共享给其他群组:

  1. 在左侧导航栏,选择 搜索或转到,然后找到您的群组。
  2. 选择 设置 > 通用
  3. 展开 权限和群组功能 部分。
  4. 选择 群组 <group_name> 中的项目不能被共享给其他群组
  5. 选择 保存更改

当此设置启用时:

  • 它适用于所有子群组,除非被群组所有者覆盖。
  • 已添加到项目的群组将失去访问权限。
note 当您制定群组的用户容量后,您将无法禁用此设置。

共享群组

当您想要某个群组能访问您的群组时,您可以邀请群组到群组。受邀群组的直接成员将能访问群组。

在您邀请群组到群组后:

  • 成员 页面的 群组选项卡 列出受邀群组。此列表包含公开和私有群组。
  • 成员 页面的 成员选项卡 列出受邀群组的成员。
  • 所有受邀群组的直接成员将能访问群组。受邀群组所获得的权限是受邀群组原本的权限与邀请方群组所提供的权限两者之中权限最小的那一个。
  • 受邀群组的继承成员将无法访问邀请群组。
  • 在受邀群组的使用配额页面,受邀群组中个人资料旁边带有 群组邀请 徽章的直接成员,会被计入邀请方群组的计费成员数量中。

在极狐GitLab 16.1 及后续版本,受邀群组的名称和成员关系源将在 成员群组 选项卡上被遮挡,除非发生以下情况:

  • 受邀群组是公开的。
  • 当前用户是受邀群组的成员。
  • 当前用户是当前群组的所有者或当前项目的维护者/所有者。
note 对于没有权限访问受邀群组的成员,受邀群组的名称和成员来源信息会被隐藏。然而,即使群组所有者无法访问私有受邀群组,他们也可以看到私有受邀群组成员的来源。此行为是出于帮助群组所有者更好地管理他们拥有的群组成员。

示例

User AGroup 1 的直接成员,并且具有群组的维护者角色。 Group 2 邀请具有开发者角色的 Group 1User AGroup 2 中具有开发者角色。

User BGroup 1 的继承成员,当 Group 1 被邀请时,User B 将无法访问 Group 2

邀请群组到群组

  • 子群组和项目的直接成员访问过期日期移除于极狐GitLab 17.4。

和邀请群组到项目类似,您可以邀请群组到其他群组。

先决条件:

  • 您必须是受邀群组和邀请群组的成员。

要邀请群组到群组:

  1. 在左侧导航栏,选择 搜索或前往 并找到您的群组。
  2. 选择 管理 > 成员
  3. 选择 邀请群组
  4. 选择要邀请的群组 下拉菜单中,选择您想要邀请的群组。
  5. 选择您想要邀请群组的最高 角色自定义角色
  6. 可选。选择 访问过期日期。从该日期起,受邀群组将无法访问群组。
  7. 选择 邀请

移除被邀请的群组

要移除被邀请群组:

  1. 在左侧导航栏,选择 搜索或前往 并找到您的群组。
  2. 选择 管理 > 成员
  3. 选择 群组 选项卡。
  4. 在您要移除群组的右侧,选择 移除群组( )。

当您从群组中移除被邀请群组时:

  • 被邀请群组的直接成员将不再访问您的群组。
  • 被邀请群组的成员将不再计入您的群组的计费成员数。

阻止邀请群组层级之外的群组

您可以对一个顶级群组进行配置,使其下属的子群组和项目无法邀请该顶级群组层级结构之外的其他群组。此选项仅适用于顶级群组。

比如,在如下的群组和项目结构中:

  • Animals > Dogs > Dog Project
  • Animals > Cats
  • Plants > Trees

如果你阻止了 Animals 群组邀请其层级结构之外的群组:

  • Dogs 可以邀请群组 Cats.
  • Dogs 不能邀请群组 Trees.
  • Dog 项目 可以邀请群组 Cats.
  • Dog 项目 不能邀请群组 Trees.

为了防止邀请该群组层级结构之外的群组:

  1. 在左侧导航栏,选择 搜索或前往 并找到您的群组。
  2. 选择 设置 > 通用
  3. 展开 权限和群组功能 部分。
  4. 选择 成员不能邀请群组 <group_name> 和其子群组之外的群组
  5. 选择 保存更改

为群组设置协作

如果您想要和您群组中项目上的外部用户协作,请考虑如下最佳实践:

  • 根据阻止需求来逻辑化创建您的群组和子群组结构。避免创建不需要的群组。
  • 如果您有很多用户需要管理,可以考虑将用户分组,与组织项目分组分开。将用户组分享给需要访问的群组和项目。
  • 谨慎考虑您邀请到项目中的群组。只邀请需要访问的群组,以防止过度分享和维护安全。
  • 当您邀请群组到项目时:
    • 根据需要设置适当的最高角色。建议分配最小权限,而不是默认分配最高角色。
    • 被邀请群组的子群组成员不会访问项目。您可能更愿意单独邀请子群组。
  • 检查具有多个群组访问权限的用户在项目中的最高角色。为了避免无意的高权限,您可能需要更改用户的角色。
  • 定期检查群组对共享项目的访问权限,并根据需要更新。如果群组不再需要访问项目,请移除它。