グループアクセストークン

グループアクセストークンを使用すると、1つのトークンで以下のことが可能です：

グループに対するアクションの実行。
グループ内のプロジェクトを管理します。

認証にはグループアクセストークンを使用できます：

GitLab APIを使用します。
GitLab 14.2以降では、Git over HTTPSで認証します。使用します：
- 空白でない任意の値をユーザー名として使用します。
- パスワードはグループアクセストークン。

グループアクセストークンは、プロジェクトアクセストークンや個人アクセストークンと似ていますが、プロジェクトやユーザーではなくグループに関連付けられている点が異なります。

自己管理インスタンスでは、グループアクセストークンに個人アクセストークンと同じ最大有効期限が設定されている場合、その制限が適用されます。

有効期限のないグループアクセストークンを作成する機能は、GitLab 15.4で非推奨となり、GitLab 16.0で削除されました。GitLab 16.0以降では、有効期限のない既存のグループアクセストークンには、現在の日付より365日後の有効期限が自動的に付与されます。有効期限の自動追加は、16.0のマイルストーン中にGitLab.com上で行われます。有効期限の自動追加は、セルフマネージドインスタンスがGitLab 16.0にアップグレードされたときに発生します。この変更はブレークチェンジです。

グループアクセストークンを使用することができます：

GitLab SaaSの場合：Premium または Ultimate ライセンスの場合。トライアルライセンスではグループアクセストークンは使用できません。
セルフマネージドインスタンスの場合：どのライセンス階層でも。Freeティアの場合：
- ユーザーの自己登録に関するセキュリティおよびコンプライアンスポリシーをレビューしてください。
- グループアクセストークンの無効化を検討し、悪用の可能性を低減します。

グループアクセストークンを使用して、他のグループ、プロジェクト、または個人のアクセストークンを作成することはできません。

グループアクセストークンは、個人アクセストークンに設定されたデフォルトのプレフィックス設定を継承します。

UIを使用してグループアクセストークンを作成します。

GitLab 14.7 で導入されました。
GitLab 15.3で導入され、デフォルトの有効期限は30日、デフォルトのロールはGuestがUIに入力されます。
GitLab 16.0で、有効期限なしのグループアクセストークンを作成する機能が削除されました。

プロジェクトアクセストークンは内部ユーザーとして扱われます。内部ユーザーがプロジェクトアクセストークンを作成した場合、そのトークンは可視性レベルがInternal に設定されているすべてのプロジェクトにアクセスできます。

グループアクセストークンを作成するには、以下の手順に従います：

左のサイドバーで、Search（検索）を選択するか、Go to（移動）を選択してグループを探します。
設定] > [アクセストークン]を選択します。
名前を入力します。トークン名は、グループを表示する権限を持つすべてのユーザーに表示されます。
トークンの有効期限を入力します：
- トークンの有効期限はその日の午前0時(UTC)です。
- 有効期限を入力しない場合、有効期限は自動的に現在の日付より365日後に設定されます。
- デフォルトでは、この日付は現在の日付より最大 365 日遅くなります。
- インスタンス全体の最大有効期間の設定により、自己管理インスタンスで許容される最大有効期間を制限できます。
トークンのロールを選択します。
必要なスコープを選択します。
グループアクセストークンの作成」を選択します。

グループアクセストークンが表示されます。グループアクセストークンは安全な場所に保存してください。ページを離れたり更新したりすると、二度と表示できなくなります。

Railsコンソールを使ったグループアクセストークンの作成

GitLab 14.6以前では、UIやAPIを使ったグループアクセストークンの作成はサポートされていません。しかし、管理者は回避策を使うことができます：

Railsコンソールで以下のコマンドを実行してください：

# Set the GitLab administration user to use. If user ID 1 is not available or is not an administrator, use 'admin = User.admins.first' instead to select an administrator.
admin = User.find(1)
   
# Set the group group you want to create a token for. For example, group with ID 109.
group = Group.find(109)
   
# Create the group bot user. For further group access tokens, the username should be `group_{group_id}_bot_{random_string}` and email address `group_{group_id}_bot_{random_string}@noreply.{Gitlab.config.gitlab.host}`.
random_string = SecureRandom.hex(16)
bot = Users::CreateService.new(admin, { name: 'group_token', username: "group_#{group.id}_bot_#{random_string}", email: "group_#{group.id}_bot_#{random_string}@noreply.#{Gitlab.config.gitlab.host}", user_type: :project_bot }).execute
   
# Confirm the group bot.
bot.confirm
   
# Add the bot to the group with the required role.
group.add_member(bot, :maintainer)
   
# Give the bot a personal access token.
token = bot.personal_access_tokens.create(scopes:[:api, :write_repository], name: 'group_token')
   
# Get the token value.
gtoken = token.token

生成されたグループアクセストークンが機能するかテストします：
1. GitLab REST API でPRIVATE-TOKEN ヘッダーのグループアクセストークンを使用してください。例えば
  - グループにエピックを作成します。
  - グループのプロジェクトの1つにプロジェクトパイプラインを作成します。
  - グループのプロジェクトの1つにイシューを作成します。
2. グループトークンを使用して、グループのプロジェクトをHTTPS でクローンします。

UIを使用してグループアクセストークンを失効させます。

GitLab 14.7 で導入されました。

グループのアクセストークンを失効させるには

左のサイドバーで、Search（検索）を選択するか、Go to（移動）を選択してグループを探します。
設定] > [アクセストークン]を選択します。
取り消すグループアクセストークンの横にある「取り消す」を選択します。

Railsコンソールを使ってグループアクセストークンを失効させます。

GitLab 14.6以前では、UIやAPIを使ったグループアクセストークンの失効に対応していません。しかし、管理者は回避策を使うことができます。

グループアクセストークンを失効させるには、Railsコンソールで以下のコマンドを実行します：

bot = User.find_by(username: 'group_109_bot') # the owner of the token you want to revoke
token = bot.personal_access_tokens.last # the token you want to revoke
token.revoke!