- 新規登録の無効化
- 新規サインアップには管理者の承認が必要です。
- ユーザーEメールの確認
- ユーザー上限
- パスワードの最小長さの制限
- 特定のメールドメインを使用したサインアップの許可または拒否
- LDAPユーザー・フィルタの設定
登録制限
サインアップに以下の制限をかけることができます:
- 新規登録を無効にします。
- 新規登録には管理者の承認が必要です。
- ユーザーのEメール確認を必要とします。
- 特定のメールドメインを使用したサインアップを許可または拒否します。
新規登録の無効化
デフォルトでは、GitLabドメインにアクセスしたユーザーは誰でもアカウントにサインアップすることができます。公開用のGitLabインスタンスを運用しているお客様で、公開ユーザーがアカウントにサインアップすることを想定していない場合は、新規サインアップを無効にすることを検討することを強くお勧めします。
サインアップを無効にするには
- 左のサイドバーで、Search を選択するか、次のページに進んでください。
- Admin Areaを選択します。
- 設定] > [全般]を選択します。
- 登録制限を展開します。
- サインアップを有効にする]チェックボックスをオフにして、[変更を保存する]を選択します。
新規サインアップには管理者の承認が必要です。
この設定が有効な場合、GitLabドメインにアクセスして登録フォームから新規アカウントにサインアップするユーザーは、アカウントの使用を開始する前に管理者による明示的な承認が必要になります。GitLab 13.6以降では、この設定は新しいGitLabインスタンスに対してデフォルトで有効になっています。サインアップが有効な場合にのみ適用されます。
新規サインアップに管理者の承認を必要とするには:
- 左のサイドバーで、Search を選択するか、次のページに進んでください。
- Admin Areaを選択します。
- 設定] > [全般]を選択します。
- 登録制限を展開します。
- 新規登録に管理者の承認を必要とする] チェックボックスを選択し、[変更を保存] を選択します。
GitLab 13.7以降では、管理者がこの設定を無効にした場合、承認待ち状態のユーザーはバックグラウンドジョブで自動的に承認されます。
block_auto_created_users をtrue に設定します。ユーザーキャップを使用して、新規ユーザーの承認を強制することもできます。ユーザーEメールの確認
サインアップ時に確認メールを送信し、ユーザーがサインインを許可される前にメールアドレスの確認を要求することができます。
新規登録時に使用するメールアドレスの確認を強制するには
- 左のサイドバーで、Search を選択するか、次のページに進んでください。
- Admin Areaを選択します。
- 設定] > [全般]を選択します。
- 登録制限を展開します。
- メール確認設定]で[ハード]を選択します。
以下の設定が可能です:
- Hard- サインアップ時に確認メールを送信します。新規ユーザーは、ログインする前にメールアドレスを確認する必要があります。
- Soft- サインアップ時に確認メールを送信します。新規ユーザーはすぐにサインインできますが、3日以内にメールアドレスを確認する必要があります。3日後、ユーザーはEメールを確認するまでサインインできません。
- オフ- 新規ユーザーはメールアドレスを確認せずにサインアップできます。
ユーザー上限
ユーザー上限は、管理者の承認者なしでサインアップまたはサブスクリプションに追加できる請求可能なユーザーの最大数です。ユーザーキャップに達した後、サインアップまたは追加されたユーザーは、管理者による承認が必要です。ユーザーは、管理者の承認後にのみアカウントを使用できます。
管理者がユーザー上限を増減した場合、承認待ちのユーザーは自動的に承認されます。
1)。ユーザーキャップの設定
管理者の承認者なしでサインアップできるユーザー数を制限するために、ユーザー上限を設定します。
課金可能ユーザー数は1日1回更新されます。ユーザー上限は、すでに上限を超えた後にさかのぼってのみ適用される場合があります。上限がすぐに有効になるようにするには、上限を現在の請求可能ユーザー数を下回る値に設定します (例:1)。
前提条件
- 管理者である必要があります。
ユーザーキャップを設定するには
- 左のサイドバーで、Search を選択するか、次のページに進んでください。
- Admin Areaを選択します。
- 設定] > [全般]を選択します。
- 登録制限を展開します。
- ユーザーキャップに数字を入力してください。
- 変更を保存を選択します。
ユーザーキャップの削除
管理者の承認者なしでサインアップできる新規ユーザー数が制限されないように、ユーザー上限を削除します。
ユーザー上限を削除すると、承認待ちのユーザーは自動的に承認されます。
前提条件
- 管理者である必要があります。
ユーザーキャップを外すには
- 左のサイドバーで、Search を選択するか、次のページに進んでください。
- Admin Areaを選択します。
- 設定] > [全般]を選択します。
- 登録制限を展開します。
- ユーザー数の上限を撤廃。
- 変更を保存を選択します。
パスワードの最小長さの制限
GitLab 12.6 で導入されました。
GitLab UI を使って、ユーザーがパスワードに含めなければならない最小文字数を変更することができます。
パスワードの複雑さの要件
GitLab 15.2 で導入されました。
デフォルトでは、ユーザーパスワードの要件は最小パスワード長のみです。複雑さの要件を追加することができます。パスワードの複雑さの要件の変更は、新しいパスワードに適用されます:
- サインアップした新規ユーザー。
- パスワードをリセットする既存ユーザー。
既存のパスワードは影響を受けません。パスワードの複雑さの要件を変更するには
- 左のサイドバーで、Search を選択するか、次のページに進んでください。
- Admin Areaを選択します。
- 設定] > [全般]を選択します。
- 登録制限を展開します。
- パスワードの最小長さ(文字数)]で、パスワードの複雑さの追加要件を選択します。数字、大文字、小文字、記号を要求できます。
- 変更を保存を選択します。
特定のメールドメインを使用したサインアップの許可または拒否
ユーザーのサインアップに使用できるメールドメインの包括的または排他的リストを指定できます。
これらの制限は、外部ユーザーからのサインアップ時にのみ適用されます。管理者は、管理者パネルから、許可されていないドメインを持つユーザーを追加できます。ユーザーは、サインアップ後にメールアドレスを許可されないドメインに変更することもできます。
メールドメインの許可リスト
指定されたドメインリストに一致するメールアドレスを使用してサインアップするユーザーのみを制限することができます。
ドメインの登録拒否
特定のドメインのメールアドレスを使用しているユーザーのサインアップをブロックすることができます。これにより、悪意のあるユーザーが使い捨てメールアドレスでスパムアカウントを作成するリスクを減らすことができます。
メールドメイン許可リストまたは拒否リストの作成
電子メールドメインの許可リストまたは拒否リストを作成します:
- 左のサイドバーで、Search を選択するか、次のページに進んでください。
- Admin Areaを選択します。
- 設定] > [全般]を選択します。
- 登録制限を展開します。
-
allowlist については、手動でリストを入力する必要があります。denylist については、手動でリストを入力するか、リストエントリを含む
.txtファイルをアップロードすることができます。allowlist と denylist はどちらもワイルドカードを受け付けます。たとえば、
company.comのサブドメインをすべて許可するには*.company.comを、.ioで終わるドメインをすべてブロックするには*.ioを使用できます。ドメインは、空白、セミコロン、カンマ、または改行で区切る必要があります。
LDAPユーザー・フィルタの設定
GitLabへのアクセスをLDAPサーバー上のLDAPユーザーのサブセットに制限することができます。
詳しくはLDAPユーザーフィルターの設定に関するドキュメントをご覧ください。