正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

エンタープライズユーザー

  • プラン: Premium、Ultimate
  • 提供形態: GitLab.com

エンタープライズユーザーは標準的なGitLabユーザーと似ていますが、組織によって管理されています。各エンタープライズユーザーは、特定のトップレベルグループによって要求および管理されます。エンタープライズユーザーを要求するには、グループのドメインを検証し、有効なサブスクリプションが必要です。

サブスクリプションの期限が切れた場合、またはキャンセルされた場合:

  • 既存のエンタープライズユーザーはすべて、グループ内のエンタープライズユーザーのままです。
  • グループのオーナーは、エンタープライズユーザーを管理できません。
  • ユーザーアカウントのプライマリメールは、認証済みのドメインからのものでなければなりません。
  • サブスクリプションが更新されるまで、新しいエンタープライズユーザーをグループに関連付けることはできません。

グループのドメインの管理

GitLab.comユーザーをエンタープライズユーザーとして要求するには、ドメインの所有権を追加して検証する必要があります。グループのドメインはトップレベルグループに追加され、グループ内のすべてのサブグループとプロジェクトに適用されます。

各グループは複数のドメインを持つことができますが、各ドメインを一度に関連付けられるグループは1つのみです。ドメインを別の有料グループに移動すると、すべてのエンタープライズユーザーが新しいグループによって自動的に要求されます。

グループのドメインは、トップレベルグループ内のプロジェクトにリンクされています。リンクされたプロジェクトにはGitLab Pagesが必要ですが、GitLab Pagesのウェブサイトを作成する必要はありません。GitLab Pagesが無効になっている場合、ドメインを検証できません。

ドメインはプロジェクトにリンクされていますが、すべてのネストされたサブグループとプロジェクトを含むグループ階層全体で使用できます。少なくともメンテナーロールを持つリンクされたプロジェクトのメンバーは、ドメインを変更または削除できます。このプロジェクトが削除されると、関連付けられているドメインも削除されます。

グループのドメインの詳細については、epic 5299を参照してください。

グループのドメインの追加

前提要件:

  • トップレベルグループのオーナーロールが必要です。
  • 検証するEメールのドメインと一致するカスタムドメインexample.comまたはサブドメインsubdomain.example.comを制御できる必要があります。
  • 所有権を証明するために、ドメインのTXT DNSレコードを作成できる必要があります。
  • GitLab Pagesを使用するトップレベルグループに専任のプロジェクトが必要です。

グループにカスタムドメインを追加するには:

  1. 左側のサイドバーで、検索または移動先を選択して、グループを見つけます。

  2. 設定 > ドメイン検証を選択します。

  3. 右上隅で、ドメインを追加を選択します。

  4. ドメインの設定を構成します:

    • ドメイン: ドメイン名を入力してください。
    • プロジェクト: グループ内の既存のプロジェクトにリンクします。
    • 証明書: 証明書のオプションを選択します:

      • SSL/TLS証明書をお持ちでない場合、またはSSL/TLS証明書を使用したくない場合は、Let’s Encryptを用いた自動証明書管理を選択してください。

      • 独自のSSL/TLS証明書を提供する場合は、証明書情報を手動で入力を選択します。証明書とキーは後で追加することもできます。

        ドメインの検証に、有効な証明書は不要です。GitLab Pagesを使用していない場合は、自己署名証明書の警告を無視できます。

  5. ドメインを追加を選択します。GitLabはドメイン情報を保存します。

  6. ドメインの所有権を検証します:

    1. TXTで、認証コードをコピーします。
    2. ドメインプロバイダーのDNS設定で、認証コードをTXTレコードとして追加します。
    3. GitLabの左側のサイドバーで、検索または移動先を選択して、グループを見つけます。
    4. 設定 > ドメイン検証を選択します。
    5. ドメイン名の横にある検証を再試行する retry )を選択します。

検証に成功すると、ドメインの状態が検証済みに変更され、エンタープライズユーザー管理に使用できます。

通常、DNSの伝播は数分で完了しますが、最大24時間かかる場合があります。完了するまで、ドメインはGitLabで検証されていないままになります。

ドメインが7日経過しても検証されない場合は、GitLabがドメインを自動的に削除します。

検証後、GitLabはドメインを定期的に再検証します。潜在的なイシューを回避するには、ドメインプロバイダーでTXTレコードを保持される状態にしてください。

グループのドメインの表示

グループのすべてのカスタムドメインを表示するには:

  1. 左側のサイドバーで、検索または移動先を選択して、グループを見つけます。
  2. 設定 > ドメイン検証を選択します。

グループのドメインの編集

グループのカスタムドメインを編集するには:

  1. 左側のサイドバーで、検索または移動先を選択して、グループを見つけます。
  2. 設定 > ドメイン検証を選択します。
  3. ドメイン名の横にある編集 pencil )を選択します。

ここから、次のことができます:

  • カスタムドメインを表示します。
  • 追加するDNSレコードを表示します。
  • TXT検証エントリを表示します。
  • 検証を再試行します。
  • 証明書の設定を編集します。

グループのドメインの削除

グループのドメインを削除すると、グループ内のエンタープライズユーザーに影響を与える可能性があります。ドメインを削除した後:

  • 既存のエンタープライズユーザーはすべて、グループ内のエンタープライズユーザーのままです。
  • ユーザーアカウントのプライマリメールは、認証済みのドメインからのものでなければなりません。
  • 別のドメインが検証されるまで、新しいエンタープライズユーザーをグループに関連付けることはできません。

グループのカスタムドメインを削除するには:

  1. 左側のサイドバーで、検索または移動先を選択して、グループを見つけます。
  2. 設定 > ドメイン検証を選択します。
  3. ドメイン名の横にあるドメインの消去 remove )を選択します。
  4. プロンプトが表示されたら、ドメインを削除を選択します。

エンタープライズユーザーを管理する

標準のグループメンバー権限に加えて、トップレベルグループのオーナーは、グループ内のエンタープライズユーザーを管理することもできます。

APIを使用してエンタープライズユーザーとやり取りすることもできます。

エンタープライズユーザーの自動クレーム

前提要件:

  • トップレベルグループは、グループのドメインを追加して検証する必要があります。
  • ユーザーアカウントは、次の条件の少なくとも1つを満たしている必要があります:
    • ユーザーアカウントは、2021年2月1日以降に作成されたものである必要があります。
    • ユーザーアカウントに、組織のグループに関連付けられたSAMLまたはSCIMのIDがあります。
    • ユーザーアカウントには、グループIDと一致するprovisioned_by_group_id属性があります。
    • ユーザーアカウントは、2021年2月1日以降に購入または更新されたグループのサブスクリプションのメンバーです。

グループがドメインの所有権を検証した後、ドメインからのメールアドレスを持つユーザーは、エンタープライズユーザーとしてグループによって自動的に要求されます。グループのオーナーからの直接的な行動は必要ありません。

別のドメインからのメールアドレスを持つ既存のグループメンバーは、既存のアクセス権を保持しますが、グループのオーナーが管理することはできません。これらのユーザーを要求するには、グループのドメインと一致するように、プライマリメールアドレスを更新する必要があります。

請求プロセスがトリガーされるまでに最大4日かかる場合があります。手動でグループのドメインを再検証することで、このプロセスをすぐに実行できます。

グループがエンタープライズユーザーを要求した後:

  • ユーザーはウェルカムメールを受信します。
  • グループIDがユーザーのenterprise_group_id属性に追加されます。

エンタープライズユーザーの識別

メンバーリストからエンタープライズユーザーを識別できます。すべてのエンタープライズユーザーの名前の横にEnterpriseバッジがあります。

次の場所にある請求対象ユーザーのリストを分析することで、エンタープライズ以外のグループメンバーを見つけることができます: https://gitlab.com/groups/<group_id>/-/usage_quotas#seats-quota-tab

このリストから、エンタープライズ以外のユーザーは、次のいずれかを持っています:

  • 検証されていないドメインからのメールアドレス。
  • メールアドレスが表示されていない。

認証方法を制限する

エンタープライズユーザーが利用できる特定の認証方法を制限することで、ユーザーのセキュリティフットプリントを削減できます。

グループとプロジェクトの作成を制限する

エンタープライズユーザーのグループとプロジェクトの作成を制限できます。これにより、以下を定義できます:

  • エンタープライズユーザーがトップレベルグループを作成できるかどうか。
  • 各エンタープライズユーザーが作成できる個人プロジェクトの最大数。

これらの制限は、SAMLレスポンスで定義されます。詳細については、SAMLレスポンスからエンタープライズユーザー設定を構成するを参照してください。

プロビジョニングされたユーザーのメール確認の回避

デフォルトでは、SAMLまたはSCIMでプロビジョニングされたユーザーには、IDを検証するための検証メールが送信されます。代わりに、GitLabをカスタムドメインで設定すると、GitLabはユーザーアカウントを自動的に確認します。ユーザーは引き続きエンタープライズユーザーのウェルカムメールを受信します。

詳細については、認証済みドメインによるユーザーメール確認を回避するを参照してください。

エンタープライズユーザーのメールアドレスを表示する

前提要件:

  • トップレベルグループのオーナーロールが必要です。

エンタープライズユーザーのメールアドレスを表示するには:

  1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトまたはグループを見つけます。
  2. 管理 > メンバーを選択します。
  3. エンタープライズユーザーの名前にカーソルを合わせるます。

また、グループおよびプロジェクトメンバーAPIを使用してユーザー情報にアクセスすることもできます。グループのエンタープライズユーザーの場合、この情報にはユーザーのメールアドレスが含まれます。

エンタープライズユーザーのメールアドレスを変更する

エンタープライズユーザーは、他のGitLabユーザーと同じプロセスに従って、プライマリメールアドレスを変更できます。新しいメールアドレスは、認証済みのドメインからのものでなければなりません。組織に認証済みドメインがない場合、エンタープライズユーザーはプライマリメールアドレスを変更できません。

GitLabサポートのみが、プライマリメールアドレスを、認証されていないドメインからのメールアドレスに変更できます。この行動は、エンタープライズユーザーを解放します。

エンタープライズユーザーを削除する

前提要件:

  • トップレベルグループのオーナーロールが必要です。

グループエンタープライズユーザーAPIを使用して、エンタープライズユーザーを削除し、GitLabからアカウントを完全に削除できます。この行動は、ユーザーからエンタープライズ管理機能のみを削除するユーザーの解放とは異なります。ユーザーを削除するときに、次のいずれかを選択できます:

  • ユーザーとそのコントリビュートを完全に削除します。
  • コントリビュートを保持し、システム全体のGhostユーザーアカウントに転送します。

エンタープライズユーザーを解放する

ユーザーアカウントからエンタープライズ管理機能を削除できます。たとえば、ユーザーが退職後もGitLabアカウントを保持したい場合に、これが必要になることがあります。ユーザーをリリースすると、アカウントの役割と権限は同じままになりますが、グループオーナーはそのユーザーの管理オプションを失います。たとえば、リリースされたユーザーは、グループオーナーが以前に無効にした認証方式にアクセスできます。

アカウントを完全に削除する必要がある場合は、代わりにエンタープライズユーザーを削除してください。

ユーザーを解放するには、GitLabサポートにより、ユーザーのプライマリメールアドレスを、認証されていないドメインからのメールアドレスに更新する必要があります。この操作により、アカウントが自動的に解放されます。

グループオーナーがプライマリメールを変更できるようにすることは、イシュー412966で提案されています。

エンタープライズユーザー向けの拡張機能マーケットプレースを有効にする

VS Code拡張機能マーケットプレースを使用すると、Web IDEとワークスペースの機能を強化する拡張機能にアクセスできます。トップレベルグループのオーナーは、グループ内のエンタープライズユーザーの拡張機能マーケットプレースへのアクセスを制御できます。

前提要件:

  • トップレベルグループのオーナーロールが必要です。

エンタープライズユーザーに対して拡張機能マーケットプレースを有効にするには、次の手順に従います:

  1. 左側のサイドバーで、検索または移動先を選択して、グループを見つけます。
  2. 設定 > 一般を選択します。
  3. 権限とグループ機能を展開します。
  4. Web IDE and workspaces(Web IDEとワークスペース)で、拡張機能マーケットプレイスを有効にするチェックボックスを選択します。
  5. 変更を保存を選択します。

トラブルシューティング

エンタープライズユーザーの2要素認証を無効にできない

ユーザーにエンタープライズバッジがない場合、グループのオーナーはそのアカウントの2FAを無効化またはリセットできません。代わりに、オーナーはエンタープライズユーザーに、利用可能なリカバリーオプションを検討するように指示する必要があります。