SAML SSO for GitLab.com groups · Gitlab 中文文檔

# SAML SSO for GitLab.com groups > 原文：[https://docs.gitlab.com/ee/user/group/saml_sso/](https://docs.gitlab.com/ee/user/group/saml_sso/) * [Configuring your Identity Provider](#configuring-your-identity-provider) * [NameID](#nameid) * [NameID Format](#nameid-format) * [Metadata configuration](#metadata-configuration) * [Configuring GitLab](#configuring-gitlab) * [SSO enforcement](#sso-enforcement) * [Providers](#providers) * [Azure setup notes](#azure-setup-notes) * [Okta setup notes](#okta-setup-notes) * [OneLogin setup notes](#onelogin-setup-notes) * [Additional providers and setup options](#additional-providers-and-setup-options) * [User access and management](#user-access-and-management) * [Linking SAML to your existing GitLab.com account](#linking-saml-to-your-existing-gitlabcom-account) * [Signing in to GitLab.com with SAML](#signing-in-to-gitlabcom-with-saml) * [Role](#role) * [Blocking access](#blocking-access) * [Unlinking accounts](#unlinking-accounts) * [Glossary](#glossary) * [Configuring on a self-managed GitLab instance](#configuring-on-a-self-managed-gitlab-instance-premium-only) * [Limitations](#limitations) * [Omnibus installations](#omnibus-installations) * [Source installations](#source-installations) * [Troubleshooting](#troubleshooting) * [SAML debugging tools](#saml-debugging-tools) * [Verifying configuration](#verifying-configuration) * [Verifying NameID](#verifying-nameid) * [Message: “SAML authentication failed: Extern uid has already been taken”](#message-saml-authentication-failed-extern-uid-has-already-been-taken) * [Message: “SAML authentication failed: User has already been taken”](#message-saml-authentication-failed-user-has-already-been-taken) * [Message: “SAML authentication failed: Email has already been taken”](#message-saml-authentication-failed-email-has-already-been-taken) * [Message: “SAML authentication failed: Extern uid has already been taken, User has already been taken”](#message-saml-authentication-failed-extern-uid-has-already-been-taken-user-has-already-been-taken) * [Message: “Request to link SAML account must be authorized”](#message-request-to-link-saml-account-must-be-authorized) * [Stuck in a login “loop”](#stuck-in-a-login-loop) * [The NameID has changed](#the-nameid-has-changed) * [I need to change my SAML app](#i-need-to-change-my-saml-app) * [I need additional information to configure my identity provider](#i-need-additional-information-to-configure-my-identity-provider) # SAML SSO for GitLab.com groups[](#saml-sso-for-gitlabcom-groups-premium "Permalink") 在 GitLab 11.0 中引入. 此頁面描述了組的 SAML. 有關自我管理的 GitLab 實例上的實例范圍內的 SAML，請參閱[SAML OmniAuth Provider](../../../integration/saml.html) . GitLab.com 上的 SAML 允許用戶通過其 SAML 身份提供商進行登錄. 如果用戶還不是成員，則登錄過程會自動將用戶添加到適當的組. 如果您遵循我們的指導以使用[SCIM](scim_setup.html)或[組管理的帳戶](group_managed_accounts.html)自動執行用戶配置，則無需手動創建此類帳戶. 通過[SCIM](scim_setup.html)支持 SAML SSO 組的用戶同步. SCIM 支持在 GitLab 組中添加和刪除用戶. 例如，如果您從 SCIM 應用程序中刪除用戶，則 SCIM 將從 GitLab 組中刪除該用戶. ## Configuring your Identity Provider[](#configuring-your-identity-provider "Permalink") 1. 導航到該組，然后單擊**設置> SAML SSO** . 2. 使用**Assertion 使用者服務 URL** ， **Identifier**和**GitLab 單一登錄** **URL**來配置 SAML 服務器. 另外，GitLab 還提供[元數據 XML 配置](#metadata-configuration) . 有關更多詳細信息，請參見[特定的身份提供者文檔](#providers) . 3. 配置 SAML 響應以包括唯一標識每個用戶的 NameID. 4. 如果使用[組托管帳戶，請](group_managed_accounts.html)配置[必需的斷言](group_managed_accounts.html#assertions) . 5. 設置身份提供者后，繼續[配置 GitLab](#configuring-gitlab) . [![Issuer and callback for configuring SAML identity provider with GitLab.com](https://img.kancloud.cn/bd/42/bd4272550e2f3e6d0e4d4c4e0dd2fa56_702x220.png)](img/group_saml_configuration_information.png) ### NameID[](#nameid "Permalink") GitLab.com 使用 SAML NameID 來識別用戶. NameID 元素： * 是 SAML 響應中的必填字段. * 每個用戶必須唯一. * 必須是永久不變的值，例如隨機生成的唯一用戶 ID. * 區分大小寫. NameID 必須在隨后的登錄嘗試中完全匹配，因此不應依賴可能在大小寫之間變化的用戶輸入. * 不應是電子郵件地址或用戶名. 我們強烈建議您反對這些，因為很難保證它們永遠不會改變，例如當一個人的名字改變時. 電子郵件地址也不區分大小寫，這可能導致用戶無法登錄. 支持的提供程序的相關字段名稱和建議值在[提供程序特定的注釋中](#providers) . 適當的相應字段. **警告：**用戶使用 SSO SAML 設置登錄到 GitLab 后，更改`NameID`將破壞配置，并有可能將用戶鎖定在 GitLab 組之外. #### NameID Format[](#nameid-format "Permalink") 我們建議將 NameID 格式設置為`Persistent`除非使用要求其他格式的字段（例如電子郵件）. ### Metadata configuration[](#metadata-configuration "Permalink") GitLab 提供了可用于配置身份提供者的元數據 XML. 1. 導航到該組，然后單擊**設置> SAML SSO** . 2. 復制提供的**GitLab 元數據 URL** . 3. 請遵循身份提供者的文檔，并在請求時粘貼元數據 URL. ## Configuring GitLab[](#configuring-gitlab "Permalink") 設置好身份提供程序以與 GitLab 一起使用后，您需要配置 GitLab 以使用它進行身份驗證： 1. 導航到組的**"設置">" SAML SSO"** . 2. 從您的身份提供者中找到 SSO URL，然后在**身份提供者單點登錄 URL**字段中輸入 SSO URL. 3. 在" **證書"**字段中找到并輸入 SAML 令牌簽名證書的指紋. 4. 單擊" **為此組啟用 SAML 身份驗證"**切換開關. 5. 點擊**保存更改**按鈕. [![Group SAML Settings for GitLab.com](https://img.kancloud.cn/d4/f3/d4f3fa69303fa6b2d83fcff3e3bf5bf5_1400x836.png)](img/group_saml_settings.png) **注意：**請注意，證書[指紋算法](#additional-providers-and-setup-options)必須在 SHA1 中. 配置身份提供者時，請使用安全簽名算法. ### SSO enforcement[](#sso-enforcement "Permalink") * 在 GitLab 11.8 中[引入](https://gitlab.com/gitlab-org/gitlab/-/issues/5291) . * 在 GitLab 11.11 中進行了[改進](https://gitlab.com/gitlab-org/gitlab/-/issues/9255) ，并在 GitLab UI 中不斷實施. 啟用此選項后，用戶必須瀏覽您組的 GitLab 單一登錄 URL. 如果已配置，也可以通過 SCIM 添加它們. 無法手動添加用戶，只能通過 UI 通過 SSO URL 登錄來訪問項目/組資源. 但是，每次訪問時都不會提示用戶通過 SSO 登錄. GitLab 將檢查用戶是否已通過 SSO 進行身份驗證，并且僅在會話過期時提示用戶通過 SSO 登錄. 我們打算為[Git 和 API 活動](https://gitlab.com/gitlab-org/gitlab/-/issues/9152)添加類似的 SSO 要求. 為組啟用 SSO 強制后，即使分叉了項目，用戶也無法在頂級組之外的組中共享項目. 要禁止用戶在頂級組之外進行貢獻，請參閱" [組管理帳戶"](group_managed_accounts.html) . ## Providers[](#providers "Permalink") **注意：** GitLab 無法為未在此處列出的 IdP 提供支持. | Provider | Documentation | | --- | --- | | ADFS（Active Directory 聯合身份驗證服務） | [Create a Relying Party Trust](https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/create-a-relying-party-trust) | | Azure | [Configuring single sign-on to applications](https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/configure-single-sign-on-non-gallery-applications) | | Okta | [Setting up a SAML application in Okta](https://developer.okta.com/docs/guides/build-sso-integration/saml2/overview/) | | OneLogin | [Use the OneLogin SAML Test Connector](https://onelogin.service-now.com/support?id=kb_article&sys_id=93f95543db109700d5505eea4b96198f) | 在[配置標識提供程序時](#configuring-your-identity-provider) ，請考慮以下有關特定提供程序的注意事項，以幫助避免常見問題，并作為所用術語的指南. ### Azure setup notes[](#azure-setup-notes "Permalink") 有關包括 SCIM 在內的 Azure SAML 設置的演示，請參閱《 [使用針對組的 SAML SSO 的 Azure 上的 SCIM 置備》演示](https://youtu.be/24-ZxmTeEBU) . | 亞搏體育 app 設置 | 蔚藍領域 | | --- | --- | | Identifier | 標識符（實體 ID） | | 斷言消費者服務 URL | 回復 URL（斷言消費者服務 URL） | | GitLab 單一登錄 URL | 登錄 URL | | 身份提供者單點登錄 URL | 登錄網址 | | 證書指紋 | Thumbprint | 我們推薦： * **唯一用戶標識符（名稱標識符）**設置為`user.objectID` . * **nameid-format**設置為持久. ### Okta setup notes[](#okta-setup-notes "Permalink") 有關 Okta SAML 設置（包括 SCIM）的[演示](https://youtu.be/0ES9HsZq0AQ) ，請參見[演示：Okta Group SAML 和 SCIM 設置](https://youtu.be/0ES9HsZq0AQ) . | 亞搏體育 app 設置 | Okta 場 | | --- | --- | | Identifier | 目標對象 URI | | 斷言消費者服務 URL | 單一登錄網址 | | GitLab 單一登錄 URL | 登錄頁面 URL（在" **應用程序登錄頁面"**設置下） | | 身份提供者單點登錄 URL | 身份提供者單一登錄 URL | 在 Okta 的" **單一登錄 URL"**字段下，選中" **將此用于收件人 URL 和目標 URL** "選項. 我們推薦： * **應用程序用戶名** （NameID）設置為**Custom** `user.getInternalProperty("id")` . * **名稱 ID 格式**設置為**Persistent** . ### OneLogin setup notes[](#onelogin-setup-notes "Permalink") OneLogin 應用目錄中列出的 GitLab 應用適用于自我管理的 GitLab 實例. 對于 GitLab.com，請使用通用 SAML 測試連接器，例如 SAML 測試連接器（高級）. | 亞搏體育 app 設置 | OneLogin Field | | --- | --- | | Identifier | Audience | | 斷言消費者服務 URL | Recipient | | 斷言消費者服務 URL | ACS（消費者）網址 | | 斷言消費者服務 URL（轉義版本） | ACS（消費者）URL 驗證器 | | GitLab 單一登錄 URL | 登錄網址 | | 身份提供者單點登錄 URL | SAML 2.0 端點 | Recommended `NameID` value: `OneLogin ID`. ### Additional providers and setup options[](#additional-providers-and-setup-options "Permalink") SAML 標準意味著廣泛的身份提供者將與 GitLab 一起使用. 不幸的是，我們尚未驗證與所有 SAML 提供程序的連接. 有關更多信息，請參見[關于提供程序](#providers)的[討論](#providers) . 您的身份提供者可能具有相關的文檔. 它可能是通用的 SAML 文檔，也可能是專門針對 GitLab 的. 例子： * [Auth0](https://auth0.com/docs/protocols/saml/saml-idp-generic) * [G Suite](https://support.google.com/a/answer/6087519?hl=en) * [JumpCloud](https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-gitlab-2019-08-21-10-36-47) * [PingOne by Ping Identity](https://docs.pingidentity.com/bundle/pingone/page/xsh1564020480660-1.html) 您的身份提供商可能需要其他配置，例如： | Field | Value | Notes | | --- | --- | --- | | SAML 配置文件 | Web 瀏覽器 SSO 配置文件 | GitLab 使用 SAML 通過用戶的瀏覽器登錄. 我們不會直接向身份提供者發出請求. | | SAML 請求綁定 | HTTP 重定向 | GitLab（服務提供商）使用 base64 編碼的`SAMLRequest` HTTP 參數將用戶重定向到您的身份提供商. | | SAML 響應綁定 | HTTP POST | 您的身份提供者使用 HTTP 表單（包括`SAMLResponse`響應用戶，該表單由用戶的瀏覽器提交回 GitLab. | | 簽署 SAML 回應 | Yes | 我們要求這樣做以防止篡改. | | X.509 證書作為回應 | Yes | 這用于簽署響應并對照提供的指紋進行檢查. | | 指紋算法 | SHA-1 | 我們需要用于簽名 SAML 響應的證書的 SHA-1 哈希. | | 簽名算法 | SHA-1/SHA-256/SHA-384/SHA-512 | 也稱為摘要方法，可以在 SAML 響應中指定此方法. 它確定響應的簽名方式. | | 加密 SAML 斷言 | No | 在您的身份提供者，用戶的瀏覽器和 GitLab 之間使用 TLS. | | 簽署 SAML 聲明 | Optional | 我們不需要簽署聲明. 我們要求簽署完整的回復以驗證其完整性. | | 檢查 SAML 請求簽名 | No | GitLab 不會對 SAML 請求進行簽名，但是會檢查 SAML 響應上的簽名. | | 默認 RelayState | Optional | 通過身份提供者上的按鈕登錄后，URL 用戶應最終打開. | | NameID 格式 | `Persistent` | See [details above](#nameid-format). | | 其他網址 | ? | 您可能需要在某些提供程序的其他字段中使用" `Identifier`或" `Assertion consumer service URL` . | | 單一登出網址 | ? | 不支持 | 如果上面沒有列出您需要的信息，則不妨查看[下面](#i-need-additional-information-to-configure-my-identity-provider)的[故障排除文檔](#i-need-additional-information-to-configure-my-identity-provider) . ## User access and management[](#user-access-and-management "Permalink") 一旦配置并啟用了 Group SSO，用戶就可以通過身份提供商的儀表板訪問 GitLab.com 組. 如果配置了[SCIM](scim_setup.html) ，請參閱[SCIM 頁面上的](scim_setup.html#user-access-and-linking-setup) " [用戶訪問和鏈接設置"部分](scim_setup.html#user-access-and-linking-setup) . 當用戶嘗試使用 Group SSO 登錄時，他們將需要一個配置了以下內容之一的帳戶： * [SCIM](scim_setup.html). * [Group-managed accounts](group_managed_accounts.html). * 一個 GitLab.com 帳戶. ### Linking SAML to your existing GitLab.com account[](#linking-saml-to-your-existing-gitlabcom-account "Permalink") 要將 SAML 鏈接到您現有的 GitLab.com 帳戶： 1. 登錄到您的 GitLab.com 帳戶. 2. 找到并訪問您要登錄的組的**GitLab 單一登錄 URL** . 群組管理員可以在群組的**"設置">" SAML SSO"**頁面上找到此內容. 如果配置了登錄 URL，則用戶可以從身份提供者連接到 GitLab 應用. 3. Click **Authorize**. 4. 如果出現提示，請在身份提供者上輸入您的憑據. 5. 您將被重定向回 GitLab.com，現在應該可以訪問該組了. 將來，您可以使用 SAML 登錄到 GitLab.com. 在隨后的訪問中，您應該能夠[使用 SAML](#signing-in-to-gitlabcom-with-saml)或直接訪問鏈接來[登錄 GitLab.com](#signing-in-to-gitlabcom-with-saml) . 如果**強制 SSO**選項已打開，您將被重定向到通過身份提供者登錄. ### Signing in to GitLab.com with SAML[](#signing-in-to-gitlabcom-with-saml "Permalink") 1. 登錄到您的身份提供商. 2. 從應用程序列表中，單擊" GitLab.com"應用程序（名稱由身份提供者的管理員設置）. 3. 您將登錄到 GitLab.com，并重定向到該組. ### Role[](#role "Permalink") 首次登錄時，GitLab 會將您添加到具有 Guest 角色的頂級父組中. 具有適當特權的現有成員可以提升該新用戶. 如果用戶已經是組的成員，則鏈接 SAML 身份不會更改其角色. ### Blocking access[](#blocking-access "Permalink") 要取消對該組的訪問，請按順序執行以下步驟： 1. 從身份提供者上的用戶數據存儲中刪除用戶，或從特定應用程序上的用戶列表中刪除用戶. 2. 從 GitLab.com 組中刪除用戶. ### Unlinking accounts[](#unlinking-accounts "Permalink") 用戶可以從其個人資料頁面取消鏈接組的 SAML. 在以下情況下這可能會有所幫助： * 您不再希望某個群組能夠登錄 GitLab.com. * 您的 SAML NameID 已更改，因此 GitLab 無法再找到您的用戶. 例如，要取消鏈接`MyOrg`帳戶，以下" **斷開連接"**按鈕將在" **配置文件">"帳戶"**下可用： [![Unlink Group SAML](https://img.kancloud.cn/b0/86/b086f6e853c40a1f09fec546f51d7e71_677x144.png)](img/unlink_group_saml.png) ## Glossary[](#glossary "Permalink") | Term | Description | | --- | --- | | 身份提供者 | 管理您的用戶身份的服務，例如 ADFS，Okta，Onelogin 或 Ping 身份. | | 服務提供者 | SAML 認為 GitLab 是服務提供商. | | Assertion | 有關用戶身份的一條信息，例如他們的姓名或角色. 也稱為聲明或屬性. | | SSO | 單一登錄. | | 斷言消費者服務 URL | 在 GitLab 上的回調，在通過身份提供商成功進行身份驗證后，將重定向用戶. | | Issuer | manbetx 客戶端打不開如何向身份提供商識別自己. 也稱為"信賴方信任標識符". | | 證書指紋 | 用于通過檢查服務器是否使用正確的證書對通信進行簽名來確認通過 SAML 進行的通信是否安全. 也稱為證書指紋. | ## Configuring on a self-managed GitLab instance[](#configuring-on-a-self-managed-gitlab-instance-premium-only "Permalink") 對于自我管理的 GitLab 實例，我們強烈建議改用[實例范圍的 SAML OmniAuth Provider](../../../integration/saml.html) . 如果您需要允許通過多個 SAML 身份提供者進行訪問，Group SAML SSO 可以提供幫助，但是作為多租戶解決方案，它不太適合您管理自己的 GitLab 實例的情況. 要改為繼續配置 Group SAML SSO，您需要啟用`group_saml` OmniAuth 提供程序. 這可以通過以下方式完成： * `gitlab.rb`用于 GitLab [Omnibus 安裝](#omnibus-installations) . * `gitlab/config/gitlab.yml` for [source installations](#source-installations). ### Limitations[](#limitations "Permalink") 與建議的[實例范圍的 SAML](../../../integration/saml.html)相比，自管理實例上的組 SAML 受到限制. 推薦的解決方案使您可以利用： * [LDAP compatibility](../../../administration/auth/ldap/index.html). * [LDAP Group Sync](../index.html#manage-group-memberships-via-ldap). * [Required groups](../../../integration/saml.html#required-groups-starter-only). * [Admin groups](../../../integration/saml.html#admin-groups-starter-only). * [Auditor groups](../../../integration/saml.html#auditor-groups-starter-only). ### Omnibus installations[](#omnibus-installations "Permalink") 1. 確保為 GitLab [配置了 HTTPS](../../../install/installation.html#using-https) . 2. 啟用 OmniAuth 和`group_saml`在提供`gitlab.rb` ： ``` gitlab_rails['omniauth_enabled'] = true gitlab_rails['omniauth_providers'] = [{ name: 'group_saml' }] ``` ### Source installations[](#source-installations "Permalink") 1. 確保為 GitLab [配置了 HTTPS](../../../install/installation.html#using-https) . 2. 在`gitlab/config/gitlab.yml`啟用 OmniAuth 和`group_saml`提供程序： ``` omniauth: enabled: true providers: - { name: 'group_saml' } ``` ## Troubleshooting[](#troubleshooting "Permalink") 本節包含可能遇到的問題的可能解決方案. ### SAML debugging tools[](#saml-debugging-tools "Permalink") SAML 響應是 base64 編碼的，因此我們建議使用以下瀏覽器插件即時對其進行解碼： * [SAML tracer for Firefox](https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/) * [Chrome SAML Panel](https://chrome.google.com/webstore/detail/saml-chrome-panel/paijfdbeoenhembfhkhllainmocckace?hl=en) 應特別注意： * [NameID](#nameid) （我們用來標識正在登錄的用戶）.如果該用戶先前已登錄，則該[ID 必須與我們存儲的值匹配](#verifying-nameid) . * `X509Certificate`的存在，我們需要使用它來驗證響應簽名. * `SubjectConfirmation`和`Conditions` ，如果配置錯誤，可能會導致錯誤. ### Verifying configuration[](#verifying-configuration "Permalink") For convenience, we’ve included some [example resources](../../../administration/troubleshooting/group_saml_scim.html) used by our Support Team. While they may help you verify the SAML app configuration, they are not guaranteed to reflect the current state of third-party products. ### Verifying NameID[](#verifying-nameid "Permalink") 在對組 SAML 設置進行故障排除時，任何經過身份驗證的用戶都可以通過訪問[https://gitlab.com/api/v4/user](https://gitlab.com/api/v4/user)并檢查身份下的`extern_uid`來使用 API??來驗證 NameID GitLab 是否已鏈接到該用戶. 同樣，具有適當權限的角色的組成員可以使用[成員 API](../../../api/members.html)來查看該組成員的組 SAML 身份信息. 然后可以通過使用[SAML 調試工具](#saml-debugging-tools)解碼消息，將其與身份提供者發送的[NameID](#nameid)進行比較. 我們要求這些匹配項以識別用戶. ### Message: “SAML authentication failed: Extern uid has already been taken”[](#message-saml-authentication-failed-extern-uid-has-already-been-taken "Permalink") 此錯誤表明您已以 GitLab 用戶身份登錄，但已將 SAML 身份鏈接到其他 GitLab 用戶. 退出，然后嘗試使用 SSO SAML 鏈接再次登錄，該鏈接應使用鏈接的用戶帳戶將您登錄到 GitLab. 如果您不希望通過 SAML 登錄使用該 GitLab 用戶，則可以[取消 GitLab 帳戶與該組的 SAML 的鏈接](#unlinking-accounts) . ### Message: “SAML authentication failed: User has already been taken”[](#message-saml-authentication-failed-user-has-already-been-taken "Permalink") 與您登錄的用戶已經將 SAML 鏈接到另一個身份. 以下是可能的原因和解決方案： | Cause | Solution | | --- | --- | | You’ve tried to link multiple SAML identities to the same user, for a given Identity Provider. | 更改用于登錄的身份. 為此，請先從此 GitLab 帳戶[取消鏈接先前的 SAML 身份](#unlinking-accounts) ，然后再嘗試登錄. | ### Message: “SAML authentication failed: Email has already been taken”[](#message-saml-authentication-failed-email-has-already-been-taken "Permalink") | Cause | Solution | | --- | --- | | 當具有電子郵件地址的用戶帳戶已經存在于 GitLab 中時，但該用戶沒有綁定到其帳戶的 SAML 身份. | 用戶將需要[鏈接他們的帳戶](#user-access-and-management) . | ### Message: “SAML authentication failed: Extern uid has already been taken, User has already been taken”[](#message-saml-authentication-failed-extern-uid-has-already-been-taken-user-has-already-been-taken "Permalink") 同時獲得這兩個錯誤表明，身份提供者提供的 NameID 大寫字母與該用戶的先前值不完全匹配. 可以通過配置[NameID](#nameid)返回一致的值來防止這種情況. 為單個用戶解決此問題涉及[取消 GitLab 帳戶中的 SAML 鏈接](#unlinking-accounts) ，盡管這將導致組成員身份和 Todos 丟失. ### Message: “Request to link SAML account must be authorized”[](#message-request-to-link-saml-account-must-be-authorized "Permalink") 確保嘗試鏈接其 GitLab 帳戶的用戶已添加為身份提供者的 SAML 應用中的用戶. ### Stuck in a login “loop”[](#stuck-in-a-login-loop "Permalink") 確保在身份提供者的 SAML 應用中將**GitLab 單一登錄 URL**配置為"登錄 URL"（或類似命名的字段）. 另外，當用戶需要[將 SAML 鏈接到其現有的 GitLab.com 帳戶時](#linking-saml-to-your-existing-gitlabcom-account) ，請提供**GitLab 單一登錄 URL，**并指示用戶不要在首次登錄時使用 SAML 應用. ### The NameID has changed[](#the-nameid-has-changed "Permalink") | Cause | Solution | | --- | --- | | 如[NameID](#nameid)部分所述，如果 NameID 對于任何用戶都發生了更改，則可以將用戶鎖定. 當電子郵件地址用作標識符時，這是一個常見問題. | 請按照[" SAML 身份驗證失敗：用戶已被使用"](#message-saml-authentication-failed-user-has-already-been-taken)部分中概述的步驟進行操作. 如果許多用戶受到影響，建議您使用適當的 API. | ### I need to change my SAML app[](#i-need-to-change-my-saml-app "Permalink") 用戶將需要[取消鏈接當前的 SAML 身份](#unlinking-accounts) ， [并將其身份鏈接](#user-access-and-management)到新的 SAML 應用. ### I need additional information to configure my identity provider[](#i-need-additional-information-to-configure-my-identity-provider "Permalink") 提供商之間的許多 SAML 術語可能會有所不同. 您正在查找的信息可能以其他名稱列出. 有關更多信息，請從您的身份提供商的文檔開始. 查找他們的選項和示例，以了解他們如何配置 SAML. 這可以提供有關配置 GitLab 以便與這些提供程序一起使用所需的提示. 它也有助于查看我們[有關自管理 GitLab 的更詳細的文檔](../../../integration/saml.html) . GitLab.com 的 SAML 配置與自我管理實例的 SAML 配置基本相同. 但是，自我管理的 GitLab 實例使用支持更多選項的配置文件，如外部[OmniAuth SAML 文檔中所述](https://github.com/omniauth/omniauth-saml/) . 在內部使用[`ruby-saml`庫](https://github.com/onelogin/ruby-saml) ，因此我們有時在此處檢查以驗證不常用選項的低級詳細信息. 它還可以幫助將提供商的 XML 響應與我們[用于內部測試的 XML 示例進行比較](https://gitlab.com/gitlab-org/gitlab/blob/master/ee/spec/fixtures/saml/response.xml) .