Help us learn about your current experience with the documentation. Take the survey.

GitLab.com 组的 SAML SSO

  • Tier: Premium, Ultimate
  • Offering: GitLab.com

对于 GitLab 自托管版,请参考 GitLab 自托管版的 SAML SSO

用户可通过其 SAML 身份提供商登录 GitLab。

SCIM 会将用户与 GitLab.com 上的组同步。

  • 当您在 SCIM 应用中添加或移除用户时,SCIM 会相应地添加或移除该用户到 GitLab 组。
  • 如果用户尚未成为组成员,则在登录过程中该用户将被添加到组中。

您只能为顶级组配置 SAML SSO。

设置您的身份提供商

SAML 标准意味着您可以使用多种身份提供商与 GitLab 集成。您的身份提供商可能有相关文档,可能是通用的 SAML 文档,也可能是专门针对 GitLab 的文档。

设置身份提供商时,请使用以下特定提供商的文档来避免常见问题,并作为术语使用的指南。

对于未列出的身份提供商,您可以参考 配置身份提供商的实例 SAML 说明 获取提供商可能需要的额外信息指导。

GitLab 提供以下信息仅供参考。如果您对配置 SAML 应用有任何疑问,请联系您提供商的支持团队。

如果您在设置身份提供商时遇到问题,请参阅 故障排除文档

Azure

要使用 Azure 作为身份提供商设置 SSO:

  1. 在左侧边栏,选择 搜索或跳转至 并找到您的组。

  2. 选择 设置 > SAML SSO

  3. 记录此页面的信息。

  4. 转到 Azure,创建非应用商店应用,并 为应用配置 SSO。以下 GitLab 设置对应 Azure 字段:

    GitLab 设置 Azure 字段
    标识符 标识符 (实体 ID)
    断言消费者服务 URL 回复 URL (断言消费者服务 URL)
    GitLab 单点登录 URL 登录 URL
    身份提供商单点登录 URL 登录 URL
    证书指纹 指纹

  5. 您应设置以下属性:

  6. 确保身份提供商设置为支持提供商发起的调用,以链接现有的 GitLab 账户。

  7. 可选。如果您使用 组同步,请自定义组声明名称以匹配所需属性。

观看 使用 SAML SSO 在 Azure 上进行 SCIM 配置的演示。此视频中的 objectID 映射已过时。请遵循 SCIM 文档

更多信息请参阅 Azure 配置示例

Google Workspace

要使用 Google Workspace 作为身份提供商:

  1. 在左侧边栏,选择 搜索或跳转至 并找到您的组。

  2. 选择 设置 > SAML SSO

  3. 记录此页面的信息。

  4. 按照 使用 Google 作为身份提供商设置 SSO 的说明 操作。以下 GitLab 设置对应 Google Workspace 字段:

    GitLab 设置 Google Workspace 字段
    标识符 实体 ID
    断言消费者服务 URL ACS URL
    GitLab 单点登录 URL 开始 URL
    身份提供商单点登录 URL SSO URL

  5. 检索证书时,Google Workspace 会显示 SHA256 指纹。如果稍后需要生成 SHA256 指纹,请参阅 计算指纹

  6. 设置以下值:

    • 主要电子邮件email
    • 名字first_name
    • 姓氏last_name
    • 名称 ID 格式EMAIL
    • 名称 ID基本信息 > 主要电子邮件 更多信息请参阅 支持的属性

  7. 确保身份提供商设置为支持提供商发起的调用,以链接现有的 GitLab 账户。

在 GitLab SAML SSO 页面,当您选择 验证 SAML 配置 时,请忽略建议将 NameID 格式设置为 persistent 的警告。

更多信息请参阅 Google Workspace 配置示例

观看 如何配置 SAML 与 Google Workspace 并设置组同步的演示

Okta

要使用 Okta 作为身份提供商设置 SSO:

  1. 在左侧边栏,选择 搜索或跳转至 并找到您的组。

  2. 选择 设置 > SAML SSO

  3. 记录此页面的信息。

  4. 按照 在 Okta 中设置 SAML 应用的说明 操作。

    以下 GitLab 设置对应 Okta 字段。

    GitLab 设置 Okta 字段
    标识符 受众 URI
    断言消费者服务 URL 单点登录 URL
    GitLab 单点登录 URL 登录页面 URL(在 应用登录页面 设置下)
    身份提供商单点登录 URL 身份提供商单点登录 URL

  5. 在 Okta 单点登录 URL 字段下,选择 将此用于收件人 URL 和目标 URL 复选框。

  6. 设置以下值:

    • 应用用户名 (NameID)自定义 user.getInternalProperty("id")
    • 名称 ID 格式Persistent。更多信息请参阅 管理用户 SAML 身份
    • 电子邮件user.email 或类似值。
    • 其他 属性声明,请参阅 支持的属性

  7. 确保身份提供商设置为支持提供商发起的调用,以链接现有的 GitLab 账户。

Okta 应用商店中的 Okta GitLab 应用仅支持 SCIM。SAML 支持已在 问题 216173 中提出。

观看包含 SCIM 的 Okta SAML 设置演示,请参阅 演示:Okta 组 SAML & SCIM 设置

更多信息请参阅 Okta 配置示例

OneLogin

OneLogin 支持其专有的 GitLab (SaaS) 应用

要使用 OneLogin 作为身份提供商:

  1. 在左侧边栏,选择 搜索或跳转至 并找到您的组。

  2. 选择 设置 > SAML SSO

  3. 记录此页面的信息。

  4. 如果您使用 OneLogin 通用 SAML 测试连接器 (高级),您应 使用 OneLogin SAML 测试连接器。以下 GitLab 设置对应 OneLogin 字段:

    GitLab 设置 OneLogin 字段
    标识符 受众
    断言消费者服务 URL 收件人
    断言消费者服务 URL ACS (消费者) URL
    断言消费者服务 URL (转义版本) ACS (消费者) URL 验证器
    GitLab 单点登录 URL 登录 URL
    身份提供商单点登录 URL SAML 2.0 端点

  5. 对于 NameID,使用 OneLogin ID。更多信息请参阅 管理用户 SAML 身份

  6. 配置 必需和受支持的属性

  7. 确保身份提供商设置为支持提供商发起的调用,以链接现有的 GitLab 账户。

更多信息请参阅 OneLogin 配置示例

Keycloak

要使用 Keycloak 作为身份提供商:

  1. 在左侧边栏,选择 搜索或跳转至 并找到您的组。
  2. 选择 设置 > SAML SSO
  3. 记录此页面的信息。
  4. 按照 在 Keycloak 中创建 SAML 客户端的说明 操作。

以下 GitLab 设置对应 Keycloak 字段。

GitLab 设置 Keycloak 字段
标识符 客户端 ID
断言消费者服务 URL 有效重定向 URI
断言消费者服务 URL 断言消费者服务 POST 绑定 URL
GitLab 单点登录 URL 主页 URL
  1. 在 Keycloak 中配置您的 GitLab 客户端。
    1. 在 Keycloak 中,转到 客户端 并选择您的 GitLab 客户端配置。
    2. 设置 选项卡中,在 SAML 功能 部分:
      1. 名称 ID 格式 设置为 persistent
      2. 开启 强制名称 ID 格式
      3. 开启 强制 POST 绑定
      4. 开启 包含 AuthnStatement
    3. 签名和加密 部分,开启 签名文档
    4. 密钥 选项卡中,确保所有部分均被禁用。
    5. 客户端作用域 选项卡中:
      1. 选择 GitLab 的客户端作用域。
      2. 选择 email 属性声明。
      3. 用户属性 字段设置为 email
      4. 选择 保存
  2. 从 Keycloak 检索客户端信息。
    1. 操作 下拉列表中,选择 下载适配器配置
    2. 下载适配器配置 对话框中,从下拉列表中选择 mod-auth-mellon
    3. 选择 下载
    4. 解压下载的归档文件并打开 idp-metadata.xml
    5. 检索身份提供商单点登录 URL。
      1. 找到 <md:SingleSignOnService> 标签。
      2. 记录 Location 属性的值。
    6. 检索证书指纹。
      1. 记录 <ds:X509Certificate> 标签的值。
      2. 将值转换为 PEM 格式
      3. 计算指纹

配置断言

这些属性不区分大小写。

至少必须配置以下断言:

  1. NameID
  2. 电子邮件。

可选地,您可以将用户信息作为属性传递到 GitLab 的 SAML 断言中。

  • 用户的电子邮件地址可以是 emailmail 属性。
  • 用户名可以是 usernamenickname 属性。您应仅指定其中一个。

有关可用属性的更多信息,请参阅 GitLab 自托管版的 SAML SSO

使用元数据

要配置某些身份提供商,您需要一个 GitLab 元数据 URL。要查找此 URL:

  1. 在左侧边栏,选择 搜索或跳转至 并找到您的组。
  2. 选择 设置 > SAML SSO
  3. 复制提供的 GitLab 元数据 URL
  4. 遵循您的身份提供商文档,并在要求时粘贴元数据 URL。

检查您的身份提供商文档以查看它是否支持 GitLab 元数据 URL。

管理身份提供商

设置身份提供商后,您可以:

  • 更改身份提供商。
  • 更改电子邮件域。

更改身份提供商

您可以切换到不同的身份提供商。在更改过程中,用户无法访问任何 SAML 组。为缓解此问题,您可以禁用 SSO 强制

要更改身份提供商:

  1. 使用新的身份提供商 配置 该组。
  2. 可选。如果 NameID 不相同,请 更改用户的 NameID

更改电子邮件域

要将用户迁移到新的电子邮件域,请告知用户:

  1. 将新电子邮件 添加为其账户的主要电子邮件并进行验证。
  2. 可选。从账户中删除旧电子邮件。

如果 NameID 配置为电子邮件地址,请 更改用户的 NameID

配置 GitLab

设置身份提供商使其与 GitLab 协作后,您必须配置 GitLab 以使用它进行身份验证:

  1. 在左侧边栏,选择 搜索或跳转至 并找到您的组。
  2. 选择 设置 > SAML SSO
  3. 填写字段:
    • 身份提供商单点登录 URL 字段中,输入您身份提供商的 SSO URL。
    • 证书指纹 字段中,输入 SAML 令牌签名证书的指纹。
  4. 对于 GitLab.com 上的组:在 默认成员角色 字段中,选择:
    1. 分配给新用户的角色。
    2. 分配给 未映射 SAML 组成员 的角色(当为该组配置了 SAML 组链接时)。
  5. 对于 GitLab 自托管实例上的组:在 默认成员角色 字段中,选择分配给新用户的角色。 默认角色为 访客 (Guest)。该角色将成为添加到该组的所有用户的起始角色:
    • 在 GitLab 16.7 及更高版本中,组所有者可以设置 自定义角色
    • 在 GitLab 16.6 及更早版本中,组所有者可以设置除 访客 (Guest) 之外的默认成员角色。
  6. 选择 为此组启用 SAML 身份验证 复选框。
  7. 推荐。选择:
    • 在 GitLab 17.4 及更高版本中,为企业用户禁用密码身份验证。更多信息请参阅 为企业用户禁用密码身份验证文档
    • 为此组强制仅 SSO 身份验证(Web 活动)
    • 为此组强制仅 SSO 身份验证(Git 和依赖代理活动)。更多信息请参阅 SSO 强制文档
  8. 选择 保存更改

如果您在配置 GitLab 时遇到问题,请参阅 故障排除文档

用户访问和管理

配置并启用组 SSO 后,用户可以通过身份提供商的仪表板访问 GitLab.com 组。如果配置了 SCIM,请参阅 SCIM 页面上的 用户访问

当用户尝试使用组 SSO 登录时,GitLab 会尝试根据以下信息查找或创建用户:

  • 查找具有匹配 SAML 身份的现有用户。这意味着该用户的账户可能是通过 SCIM 创建的,或者他们之前已使用该组的 SAML IdP 登录。
  • 如果不存在具有相同电子邮件地址的账户,则自动创建新账户。GitLab 会尝试匹配主要和次要电子邮件地址。
  • 如果已存在具有相同电子邮件地址的账户,则将用户重定向到登录页面以:
    • 使用另一个电子邮件地址创建新账户。
    • 登录其现有账户以链接 SAML 身份。

将 SAML 链接到您的现有 GitLab.com 账户

如果用户是该组的 企业用户,则以下步骤不适用。企业用户必须改为 使用与 GitLab 账户电子邮件相同的 SAML 账户登录。这允许 GitLab 将 SAML 账户链接到现有账户。

要将 SAML 链接到您的现有 GitLab.com 账户:

  1. 登录您的 GitLab.com 账户。如有必要,重置密码
  2. 找到并访问您要登录的组的 GitLab 单点登录 URL。组所有者可以在组的 设置 > SAML SSO 页面上找到此 URL。如果配置了登录 URL,用户可以从身份提供商连接到 GitLab 应用。
  3. 可选。选择 记住我 复选框以在 2 周内保持登录 GitLab。您仍可能被要求更频繁地使用 SAML 提供商重新认证。
  4. 选择 授权
  5. 如果提示,请在身份提供商上输入您的凭据。
  6. 您将被重定向回 GitLab.com,现在应该可以访问该组。将来,您可以使用 SAML 登录 GitLab.com。

如果用户已经是该组成员,链接 SAML 身份不会更改其角色。

在后续访问中,您应该能够 使用 SAML 登录 GitLab.com 或直接访问链接。如果启用了 强制 SSO 选项,您将被重定向以通过身份提供商登录。

使用 SAML 登录 GitLab.com

  1. 登录您的身份提供商。
  2. 从应用列表中,选择 “GitLab.com” 应用。(名称由身份提供商的管理员设置。)
  3. 您将登录 GitLab.com 并被重定向到该组。

管理用户 SAML 身份

GitLab.com 使用 SAML NameID 来标识用户。NameID 是:

  • SAML 响应中的必需字段。
  • 不区分大小写。

NameID 必须:

  • 对每个用户唯一。
  • 是永不更改的持久值,例如随机生成的唯一用户 ID。
  • 在后续登录尝试中完全匹配,因此不应依赖于可能在大写和小写之间变化的用户输入。

NameID 不应是电子邮件地址或用户名,因为:

  • 电子邮件地址和用户名更有可能随时间变化。例如,当人的姓名更改时。
  • 电子邮件地址不区分大小写,这可能导致用户无法登录。

NameID 格式必须为 Persistent,除非您使用需要不同格式的字段(如电子邮件)。您可以使用除 Transient 之外的任何格式。

更改用户 NameID

组所有者可以使用 SAML API 更改其组成员的 NameID 并更新其 SAML 身份。

如果配置了 SCIM,组所有者可以使用 SCIM API 更新 SCIM 身份。

或者,要求用户重新连接其 SAML 账户。

  1. 要求相关用户 从该组取消链接账户
  2. 要求相关用户 将账户链接到新的 SAML 应用

用户使用 SSO SAML 登录 GitLab 后,更改 NameID 值会破坏配置并可能导致用户被锁定在 GitLab 组之外。

有关特定身份提供商的推荐值和格式的更多信息,请参阅 设置您的身份提供商

从 SAML 响应配置企业用户设置

GitLab 允许根据 SAML 响应中的值设置某些用户属性。如果用户是该组的 企业用户,现有用户的属性将从 SAML 响应值中更新。

支持的用户属性

  • can_create_group - truefalse 表示企业用户是否可以创建新的顶级组。默认为 true
  • projects_limit - 企业用户可以在其个人命名空间中创建的个人项目总数。值为 0 表示用户无法在其个人命名空间中创建新项目。默认为 100000
  • SessionNotOnOrAfter - ISO 8601 时间戳值,指示何时结束用户的 SAML 会话。

示例 SAML 响应

您可以在浏览器的开发者工具或控制台中找到 SAML 响应,采用 base64 编码格式。使用您选择的 base64 解码工具将信息转换为 XML。示例如下:

   <saml2:AttributeStatement>
      <saml2:Attribute Name="email" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
         <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">user.email</saml2:AttributeValue>
      </saml2:Attribute>
      <saml2:Attribute Name="username" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">user.nickName</saml2:AttributeValue>
      </saml2:Attribute>
      <saml2:Attribute Name="first_name" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
         <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">user.firstName</saml2:AttributeValue>
      </saml2:Attribute>
      <saml2:Attribute Name="last_name" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
         <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">user.lastName</saml2:AttributeValue>
      </saml2:Attribute>
      <saml2:Attribute Name="can_create_group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
         <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">true</saml2:AttributeValue>
      </saml2:Attribute>
      <saml2:Attribute Name="projects_limit" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
         <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">10</saml2:AttributeValue>
      </saml2:Attribute>
   </saml2:AttributeStatement>

自定义 SAML 会话超时

默认情况下,GitLab 在 24 小时后结束 SAML 会话。您可以使用 SAML2 AuthnStatement 中的 SessionNotOnOrAfter 属性自定义此持续时间。该属性包含一个 ISO 8601 时间戳值,指示何时结束用户会话。当指定此值时,它会覆盖默认的 24 小时 SAML 会话超时。

如果实例配置了自定义 会话持续时间,且该时间早于 SessionNotOnOrAfter 时间戳,则当 GitLab 用户会话结束时,用户必须重新认证。

示例响应

   <saml:AuthnStatement SessionIndex="WDE5aBYjNEj_9IjCFiK0E1YelZT" SessionNotOnOrAfter="2025-08-25T01:23:45.067Z" AuthnInstant="2025-08-24T13:23:45.067Z">
      <saml:AuthnContext>
         <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</saml:AuthnContextClassRef>
      </saml:AuthnContext>
   </saml:AuthnStatement>

使用已验证域名绕过用户电子邮件确认

默认情况下,通过 SAML 或 SCIM 配置的用户会收到验证电子邮件以确认其身份。相反,您可以 使用自定义域配置 GitLab,GitLab 会自动确认用户账户。用户仍会收到 企业用户 欢迎电子邮件。如果满足以下两个条件,则绕过确认:

  • 用户通过 SAML 或 SCIM 配置。
  • 用户的电子邮件地址属于已验证域。

为企业用户禁用密码身份验证

先决条件:

  • 您必须拥有该组企业用户所属组的所有者角色。
  • 必须启用组 SSO。

您可以禁用该组所有 企业用户 的密码身份验证。这也适用于该组的企业用户管理员。配置此设置会阻止企业用户更改、重置或使用密码进行身份验证。相反,这些用户可以使用:

要为企业用户禁用密码身份验证:

  1. 在左侧边栏,选择 搜索或跳转至 并找到您的组。
  2. 选择 设置 > SAML SSO
  3. 配置 下,选择 为企业用户禁用密码身份验证
  4. 选择 保存更改

企业用户的自动身份链接

如果企业用户被移出组然后返回,他们可以使用其企业 SSO 账户登录。只要用户在身份提供商中的电子邮件地址与现有 GitLab 账户中的电子邮件地址相同,SSO 身份就会自动链接到该账户,用户可以无任何问题地登录。

此功能也适用于已被声明为企业用户但可能尚未登录该组的现有用户。

阻止用户访问

当仅配置 SAML SSO 时,要撤销用户对组的访问权限,可以:

  • 按顺序移除用户:
    1. 从身份提供商的用户数据存储或特定应用的用户列表中移除。
    2. 从 GitLab.com 组中移除。
  • 在您的组顶层使用 组同步,并将默认角色设置为 最小访问权限,以自动阻止访问组中的所有资源。

当同时使用 SCIM 时,请参阅 移除访问权限

取消链接账户

用户可以从其个人资料页面取消 SAML 与组的链接。这在以下情况下很有用:

  • 您不再希望组能够将您登录到 GitLab.com。
  • 您的 SAML NameID 已更改,因此 GitLab 无法找到您的用户。

取消链接账户会移除该用户在组中的所有角色。如果用户重新链接其账户,则需要重新分配角色。

组至少需要一个所有者。如果您的账户是组中唯一的所有者,则不允许您取消链接账户。在这种情况下,设置另一个用户作为组所有者,然后您可以取消链接账户。

例如,要取消链接 MyOrg 账户:

  1. 在左侧边栏,选择您的头像。
  2. 选择 编辑个人资料
  3. 在左侧边栏,选择 账户
  4. 服务登录 部分,选择连接账户旁边的 断开连接

SSO 强制

在 GitLab.com 上,SSO 被强制执行:

  • 当启用 SAML SSO 时。
  • 对于具有现有 SAML 身份的用户在访问组织组层次结构中的组和项目时。通过使用其 GitLab.com 凭据,用户可以查看组织外的其他组和项目以及其用户设置,而无需通过 SAML SSO 登录。

如果满足以下任一条件,则用户具有 SAML 身份:

  • 他们已使用其 GitLab 组的单点登录 URL 登录 GitLab。
  • 他们通过 SCIM 配置。

用户不会在每次访问时提示通过 SSO 登录。GitLab 检查用户是否已通过 SSO 进行身份验证。如果用户上次登录超过 24 小时前,GitLab 会提示用户再次通过 SSO 登录。

SSO 强制执行如下:

项目/组可见性 强制 SSO 设置 具有身份的成员 无身份的成员 非成员或未登录
私有 关闭 强制执行 不强制执行 不强制执行
私有 开启 强制执行 强制执行 强制执行
公开 关闭 强制执行 不强制执行 不强制执行
公开 开启 强制执行 强制执行 不强制执行

存在一个 问题 以添加对 API 活动的类似 SSO 要求。在添加此要求之前,您可以在没有活动 SSO 会话的情况下使用依赖 API 的功能。

仅 Web 活动的 SSO 强制执行

当启用 为此组强制仅 SSO 身份验证(Web 活动) 选项时:

  • 所有成员必须使用其 GitLab 组的单点登录 URL 访问组资源,无论他们是否具有现有 SAML 身份。
  • 当用户访问组织组层次结构中的组和项目时,SSO 被强制执行。用户可以查看组织外的其他组和项目而无需通过 SAML SSO 登录。
  • 用户无法手动添加为新成员。
  • 具有所有者角色的用户可以使用标准登录流程对顶级组设置进行必要的更改。
  • 对于非成员或未登录的用户:
    • 当他们访问公共组资源时,SSO 不被强制执行。
    • 当他们访问私有组资源时,SSO 被强制执行。
  • 对于组织组层次结构中的项目,仪表板可见性如下:
    • 查看您的 待办事项列表 时强制执行 SSO。如果您的 SSO 会话已过期,待办事项将被隐藏,并显示 警报
    • 查看您分配的问题列表时强制执行 SSO。如果您的 SSO 会话已过期,问题将被隐藏。 问题 414475 提议更改此行为,使问题可见。
    • 查看您作为指派人员或审查人员的合并请求时,SSO 不被强制执行。即使您的 SSO 会话已过期,您也可以看到合并请求。
    • 查看您至少具有访客角色的私有项目的代码片段时,SSO 不被强制执行。

启用 Web 活动的 SSO 强制执行时,会产生以下影响:

  • 对于组,用户无法在顶级组之外共享组中的项目,即使项目已被分叉。
  • 源自 CI/CD 作业的 Git 活动不受 SSO 检查的强制执行。
  • 不与常规用户关联的凭据(例如项目和组访问令牌、服务账户和部署密钥)不受 SSO 检查的强制执行。
  • 用户必须通过 SSO 登录后才能使用 依赖代理 拉取镜像。
  • 当启用 为此组强制仅 SSO 身份验证(Git 和依赖代理活动) 选项时,任何涉及 Git 活动的 API 端点都受 SSO 强制执行。例如,创建或删除分支、提交或标签。对于通过 SSH 和 HTTPS 的 Git 活动,用户必须至少有一个通过 SSO 登录的活动会话,然后才能推送到或拉取 GitLab 仓库。活动会话可以在其他设备上。

当 Web 活动的 SSO 被强制执行时,非 SSO 组成员不会立即失去访问权限。如果用户:

  • 具有活动会话,他们可以继续访问该组长达 24 小时,直到身份提供商会话超时。
  • 已登出,他们在从身份提供商中被移除后将无法访问该组。

迁移到新的身份提供商

要迁移到新的身份提供商,请使用 SAML API 更新您所有组成员的身份。

例如:

  1. 设置维护窗口以确保该时间段没有用户活动。
  2. 使用 SAML API 更新每个用户的身份
  3. 配置新的身份提供商。
  4. 测试登录是否正常工作。

相关主题

故障排除

如果您发现难以匹配 GitLab 和身份提供商之间的不同 SAML 术语:

  1. 检查您的身份提供商文档。查看其示例 SAML 配置以了解他们使用的术语。
  2. 检查 GitLab 自托管版的 SAML SSO 文档。GitLab 自托管版 SAML 配置文件支持比 GitLab.com 文件更多的选项。您可以在以下位置找到 GitLab 自托管实例文件的信息:
  3. 将您提供商的 XML 响应与我们的 内部测试使用的示例 XML 进行比较。

有关其他故障排除信息,请参阅 SAML 故障排除指南