二要素認証(2FA)の実施

二要素認証(2FA)は、ユーザーのGitLabアカウントにさらなるセキュリティレベルを提供します。 有効にすると、ログインするためのユーザー名とパスワードに加えて、携帯電話のアプリケーションによって生成されたコードの入力を求められます。

二要素認証(2FA)についてはこちらをご覧ください。

すべてのユーザーに2FAを強制

GitLabのユーザーは、管理者の介入なしに2FAを有効にすることができます。 もし全員に2FAの設定を強制したい場合は、2つの異なる方法から選ぶことができます:

  • 次回ログイン時に適用されます。
  • 次回のログイン時に提案しますが、強制する前に猶予期間を設けてください。

設定された猶予期間が経過すると、ユーザーはログインできますが、/profile/two_factor_auth2FA設定エリアから出ることはできません。

すべてのユーザーに対して2FAを有効にするには

  1. 管理エリア > 設定 > 一般(/admin/application_settings/general) に移動します。
  2. サインインの制限]セクションを展開し、両方の設定を行います。

次回ログイン時に2FAを有効にしたい場合は、猶予期間を0に変更してください。

グループ内の全ユーザーに2FAを適用

特定のグループにのみ2FAを強制したい場合は、可能です:

  1. グループの「設定」>「一般」ページで有効にします。
  2. オプションで、上記のように猶予期間を指定します。

この設定を変更するには、グループの管理者またはオーナーになる必要があります。

GitLab 12.0から、グループの2FA設定はサブグループにも適用されます。

特定のグループにのみ2FAを適用したい場合は、グループ設定で2FAを有効にし、上記のように猶予期間を指定します。 この設定を変更するには、グループの管理者またはオーナーになる必要があります。

以下は2FAに関する重要な注意事項です:

  • 2FAが有効なグループに属するプロジェクトが、2FAが無効なグループと共有されている場合、2FAが無効なグループのメンバーは、プロジェクトに2FAを使用する必要はありません。 たとえば、プロジェクトPが2FAが有効なグループAに属し、2FAが無効なグループBと共有されている場合、グループBのメンバーは、2FAなしでプロジェクトPにアクセスできます。 このシナリオが発生しないようにするには、2FAが有効なグループのプロジェクトの共有を禁止してください。
  • 2FAが有効になっているグループまたはサブグループ内のプロジェクトにメンバーを追加する場合、個別に追加されたメンバーには2FAは必要ありません
  • 複数の2FA要件がある場合(例えば、グループ+全ユーザー、または複数のグループ)、最も短い猶予期間が使用されます。

全員の2FAの無効化

強制2FAが無効になっている場合でも、全員の2FAを無効にしたい特別な状況があるかもしれません。 そのためのRakeタスクがあります:

# Omnibus installations
sudo gitlab-rake gitlab:two_factor:disable_for_all_users

# Installations from source
sudo -u git -H bundle exec rake gitlab:two_factor:disable_for_all_users RAILS_ENV=production
注意:これは永久的かつ不可逆的なアクションです。 ユーザーは、再び2FAを使用したい場合、最初から2FAを再アクティブ化する必要があります。