Help us learn about your current experience with the documentation. Take the survey.

GitLab Dedicated 的认证

  • 版本:Ultimate
  • 产品:GitLab Dedicated

GitLab Dedicated 有两种不同的认证场景:

  • Switchboard 认证:管理员登录以管理 GitLab Dedicated 实例。
  • 实例认证:最终用户登录到您的 GitLab Dedicated 实例。

Switchboard 认证

管理员使用 GitLab Dedicated Switchboard 来管理实例、用户和配置。

Switchboard 支持以下认证方法:

  • 使用 SAML 或 OIDC 的单点登录 (SSO)
  • 标准 GitLab.com 账户

有关 Switchboard 用户管理的信息,请参阅管理用户和通知

配置 Switchboard SSO

为 Switchboard 启用单点登录 (SSO),以集成您组织的身份提供商。 Switchboard 支持 SAML 和 OIDC 两种协议。

此配置为管理您 GitLab Dedicated 实例的 Switchboard 管理员设置 SSO。

要为 Switchboard 配置 SSO:

  1. 为您选择的协议收集所需信息:
  2. 提交支持工单并提供这些信息。
  3. 使用 GitLab 提供的信息来配置您的身份提供商。

Switchboard 的 SAML 参数

在请求 SAML 配置时,您必须提供:

参数 描述
Metadata URL 指向您身份提供商的 SAML 元数据文档的 URL。该 URL 通常以 /saml/metadata.xml 结尾,或在您身份提供商的 SSO 配置部分中提供。
Email attribute mapping 您的身份提供商用于表示电子邮件地址的格式。例如,在 Auth0 中,这可能是 http://schemas.auth0.com/email
Attributes request method 从您的身份提供商请求属性时应使用的 HTTP 方法(GET 或 POST)。请查阅您身份提供商的文档以获取推荐的方法。
User email domain 您用户电子邮件地址的域名部分(例如,gitlab.com)。

GitLab 提供以下信息,供您在身份提供商中进行配置:

参数 描述
Callback/ACS URL 您的身份提供商在认证后应发送 SAML 响应的 URL。
Required attributes SAML 响应中必须包含的属性。至少需要一个映射到 email 的属性。

如果您需要加密响应,GitLab 可以根据请求提供必要的证书。

GitLab Dedicated 不支持 IdP 发起的 SAML。

Switchboard 的 OIDC 参数

在请求 OIDC 配置时,您必须提供:

参数 描述
Issuer URL 唯一标识您的 OIDC 提供商的基础 URL。该 URL 通常指向您提供商的发现文档,其位置为 https://[your-idp-domain]/.well-known/openid-configuration
Token endpoints 来自您身份提供商的、用于获取和验证身份验证令牌的特定 URL。这些端点通常在您提供商的 OpenID Connect 配置文档中列出。
Scopes 在认证过程中请求的权限级别,用于决定共享哪些用户信息。标准范围包括 openidemailprofile
Client ID 当您在身份提供商中将 Switchboard 注册为应用程序时,分配给它的唯一标识符。您必须首先在身份提供商的控制台中创建此注册。
Client secret 当您在身份提供商中注册 Switchboard 时生成的机密安全密钥。此密钥用于向您的 IdP 验证 Switchboard 的身份,应妥善保管。

GitLab 提供以下信息,供您在身份提供商中进行配置:

参数 描述
Redirect/callback URLs 在成功认证后,您的身份提供商应将用户重定向到的 URL。这些 URL 必须添加到您身份提供商的允许重定向 URL 列表中。
Required claims 必须包含在身份验证令牌负载中的特定用户信息。至少需要一个映射到用户电子邮件地址的声明 (claim)。

根据您的 OIDC 提供商,可能需要额外的配置详细信息。

实例认证

配置您组织的用户如何向您的 GitLab Dedicated 实例进行身份验证。

您的 GitLab Dedicated 实例支持以下认证方法: