SAML 그룹 동기화

권한 할당 및 동기화된 액세스 제어로 그룹 멤버십을 자동화합니다.

히스토리 GitLab 15.1에서 GitLab Self-Managed에 도입 되었습니다. SAML 그룹 동기화를 사용하면 SAML ID 제공자(IdP)에서의 사용자 그룹 할당을 기반으로 특정 권한을 가진 사용자를 기존 GitLab 그룹에 할당할 수 있습니다. SAML 그룹 동기화를 사용하면 SAML IdP 그룹과 GitLab 그룹 간의 다대다 매핑을 생성할 수 있습니다. 예를 들어, 사용자 @amelia 가 SAML IdP의 security 그룹에 할당된 경우, SAML 그룹 동기화를 사용하여 @amelia 를 Maintainer 권한으로 security-gitlab 그룹에 할당하고, Reporter 권한으로 vulnerability 그룹에 할당할 수 있습니다. SAML 그룹 동기화는 그룹을 생성하지 않습니다. 먼저 그룹을 생성 한 다음 매핑을 생성해야 합니다. GitLab.com에서는 SAML 그룹 동기화가 기본적으로 구성되어 있습니다. GitLab Self-Managed에서는 수동으로 구성해야 합니다. 권한 우선순위 # 그룹 동기화는 매핑된 그룹에서 사용자의 권한과 멤버십 유형을 결정합니다. 다중 SAML IdP # 사용자가 로그인하면 GitLab은: 구성된 모든 SAML 그룹 링크를 확인합니다. 다양한 IdP에서 사용자가 속한 SAML 그룹을 기반으로 해당 사용자를 대응하는 GitLab 그룹에 추가합니다. GitLab의 그룹 링크 매핑은 특정 IdP에 연결되어 있지 않으므로 SAML 응답에 그룹 속성이 포함되도록 모든 SAML IdP를 구성해야 합니다. 이는 GitLab이 로그인에 사용된 IdP에 관계없이 SAML 응답의 그룹을 일치시킬 수 있음을 의미합니다. 예를 들어, SAML1 과 SAML2 의 2개의 IdP가 있다고 가정합니다. GitLab의 특정 그룹에 두 개의 그룹 링크를 구성했다고 가정합니다: gtlb-owner => Owner 권한 gtlb-dev => Developer 권한 SAML1 에서 사용자는 gtlb-owner 의 멤버이지만 gtlb-dev 의 멤버가 아닙니다. SAML2 에서 사용자는 gtlb-dev 의 멤버이지만 gtlb-owner 의 멤버가 아닙니다. 사용자가 SAML1 로 그룹에 로그인하면 SAML 응답은 사용자가 gtlb-owner 의 멤버임을 보여주므로 GitLab은 해당 그룹에서 사용자의 권한을 Owner 로 설정합니다. 그런 다음 사용자가 로그아웃하고 SAML2 로 그룹에 다시 로그인합니다. SAML 응답은 사용자가 gtlb-dev 의 멤버임을 보여주므로 GitLab은 해당 그룹에서 사용자의 권한을 Developer 로 설정합니다. 이제 SAML2 에서 사용자가 gtlb-owner 나 gtlb-dev 중 어느 것의 멤버도 아닌 이전 예시로 변경해 봅시다. 사용자가 SAML1 로 그룹에 로그인하면 사용자는 해당 그룹에서 Owner 권한을 받습니다. 사용자가 SAML2 로 로그인하면 구성된 그룹 링크 중 어느 것의 멤버도 아니기 때문에 그룹에서 제거됩니다. 다중 SAML 그룹 # 사용자가 동일한 G