Gestion des acces et RBAC avance
Le modele RBAC de GitLab repose sur cinq roles predetermines. L'edition EE ajoute des mecanismes pour affiner ce modele : roles personnalises, acces temporaires, groupes d'approbation obligatoires, et integration avec les providers d'identite externes.
Custom Roles (EE Ultimate)
Les Custom Roles permettent de creer des roles sur mesure en activant ou desactivant des permissions specifiques a partir du role Guest. Un custom role "Security Reviewer" peut par exemple avoir acces aux rapports de securite sans les droits Developer complets. Disponible depuis GitLab 16.4.
SSO et SAML
GitLab supporte SAML 2.0 et SCIM pour le provisioning automatique des utilisateurs depuis un fournisseur d'identite (Okta, Azure AD, Keycloak, Entra ID). En mode SSO force sur un groupe GitLab.com, les utilisateurs doivent s'authentifier via SSO pour acceder aux ressources du groupe. En self-hosted, le SSO s'applique a l'ensemble de l'instance.
SCIM automatise le cycle de vie des comptes : creation a l'arrivee d'un employe, desactivation au depart. C'est un mecanisme critique en entreprise pour eviter les comptes orphelins avec des tokens actifs.
Group-managed accounts (EE)
En mode group-managed, les comptes utilisateurs sont entierement geres par le groupe : le proprietaire du groupe controle les politiques de mot de passe, de MFA et peut desactiver les utilisateurs. Les utilisateurs ne peuvent pas quitter le groupe eux-memes ni modifier certains parametres de leur profil.
MFA obligatoire
L'administrateur d'instance ou le proprietaire d'un groupe peut forcer le MFA. Les utilisateurs sans MFA configure sont bloque en acces "grace period" : ils peuvent se connecter mais uniquement pour configurer leur MFA. Passe le delai, l'acces est coupe jusqu'a configuration.
GitLab supporte TOTP (applications comme Authy, Google Authenticator) et les cles WebAuthn/FIDO2 (YubiKey, Touch ID).
Acces temporaire
GitLab (EE) supporte les invitations avec date d'expiration. Un membre ajoute avec une date d'expiration est automatiquement retire du groupe ou projet a cette date. Utile pour les prestataires externes, les stages, les acces d'urgence.