doc-locale/fr-fr/administration/settings/sign_up_restrictions.md
{{< details >}}
{{< /details >}}
Vous pouvez appliquer les restrictions suivantes aux nouveaux comptes utilisateurs :
Vous devez disposer d'un accès administrateur.
Par défaut, tout utilisateur visitant votre domaine GitLab peut créer un compte. Pour les clients qui gèrent des instances GitLab accessibles au public, nous vous recommandons vivement d'envisager de désactiver la création de nouveaux comptes si vous ne souhaitez pas que des utilisateurs publics en créent. Pour GitLab Dedicated, la création de nouveaux comptes est empêchée par défaut lors du provisionnement de votre instance.
Pour empêcher la création de nouveaux comptes :
Vous pouvez également empêcher la création de nouveaux comptes utilisateurs via la console Rails en exécutant la commande suivante :
::Gitlab::CurrentSettings.update!(signup_enabled: false)
Ce paramètre est activé par défaut pour les nouvelles instances GitLab. Lorsque ce paramètre est activé, tout utilisateur visitant votre domaine GitLab et s'inscrivant pour un nouveau compte via le formulaire d'inscription doit être explicitement approuvé par un administrateur avant de pouvoir commencer à utiliser son compte. Il ne s'applique que si les comptes utilisateurs sont autorisés.
Pour exiger l'approbation d'un administrateur pour les nouveaux comptes utilisateurs :
Si un administrateur désactive ce paramètre, les utilisateurs en attente d'approbation sont automatiquement approuvés dans un job en arrière-plan.
[!note] Ce paramètre ne s'applique pas aux utilisateurs LDAP ou OmniAuth. Pour appliquer les approbations aux nouveaux utilisateurs qui s'inscrivent via OmniAuth ou LDAP, définissez
block_auto_created_userssurtruedans la configuration OmniAuth ou la configuration LDAP. Un plafond d'utilisateurs peut également être utilisé pour appliquer les approbations aux nouveaux utilisateurs.
{{< history >}}
{{< /history >}}
Vous pouvez envoyer des e-mails de confirmation lors de la création du compte et exiger que les utilisateurs confirment leur adresse e-mail avant d'être autorisés à se connecter.
Pour imposer la confirmation de l'adresse e-mail utilisée pour les nouveaux comptes :
Les paramètres suivants sont disponibles :
{{< details >}}
{{< /details >}}
{{< history >}}
{{< /history >}}
Utilisez l'accès restreint pour éviter les frais de dépassement. Les frais de dépassement surviennent lorsque vous dépassez le nombre d'utilisateurs sous licence dans votre abonnement, et doivent être payés lors de la prochaine réconciliation trimestrielle.
Lorsque vous activez l'accès restreint, les instances ne peuvent pas ajouter de nouveaux utilisateurs facturables lorsqu'il ne reste plus de sièges sous licence dans l'abonnement.
[!note] Si le plafond d'utilisateurs est activé pour une instance ou un groupe qui a des membres en attente, lorsque vous activez l'accès restreint, tous les membres en attente sont automatiquement supprimés du groupe.
Prérequis :
Pour activer l'accès restreint :
Lorsque vous activez l'accès restreint, le paramètre permettant d'empêcher l'invitation de groupes en dehors de la hiérarchie de groupes est automatiquement activé. Ce paramètre empêche l'ajout inopiné de nouveaux utilisateurs facturables, ce qui pourrait entraîner des frais de dépassement.
Vous pouvez toujours configurer indépendamment le partage de projet pour le groupe et ses sous-groupes selon vos besoins.
{{< history >}}
bso_minimal_access_fallback. Désactivé par défaut.{{< /history >}}
Lorsque l'accès restreint est activé et qu'aucun siège d'abonnement n'est disponible, les utilisateurs provisionnés via SAML, SCIM ou LDAP se voient attribuer le rôle d'accès minimum à la place de leur niveau d'accès configuré. Ce comportement garantit que la synchronisation peut continuer sans consommer de sièges facturables sur GitLab.com et GitLab Self-Managed Ultimate.
Les utilisateurs avec le rôle d'accès minimum peuvent s'authentifier et accéder au groupe, mais disposent de permissions limitées. Lorsque des sièges deviennent disponibles, les utilisateurs peuvent être promus à leur niveau d'accès prévu. Les utilisateurs existants disposant de rôles facturables ne sont pas affectés par ce comportement.
Vous pouvez consulter l'utilisation des sièges et gérer les utilisateurs avec un accès minimum.
Lorsque vous activez l'accès restreint, les problèmes connus suivants peuvent survenir et entraîner des dépassements :
De plus, l'accès restreint peut bloquer les flux standard sans dépassement :
Lorsque l'accès restreint est actif et qu'aucun siège sous licence n'est disponible, les utilisateurs dormants qui tentent de se reconnecter sont placés en attente d'approbation au lieu d'être réactivés. Leurs appartenances existantes aux groupes et aux projets sont préservées. Un administrateur peut approuver les utilisateurs lorsque des sièges deviennent disponibles.
Les utilisateurs disposant uniquement du rôle d'accès minimum sont réactivés directement, car ils ne consomment pas de siège facturable.
{{< details >}}
{{< /details >}}
Le plafond d'utilisateurs est le nombre maximum d'utilisateurs facturables pouvant créer des comptes ou être ajoutés à un abonnement sans approbation d'un administrateur. Une fois le plafond d'utilisateurs atteint, les utilisateurs qui créent des comptes ou sont ajoutés doivent être approuvés par un administrateur. Les utilisateurs ne peuvent utiliser leur compte qu'après avoir été approuvés par un administrateur.
Si un administrateur augmente ou supprime le plafond d'utilisateurs, les utilisateurs en attente d'approbation sont automatiquement approuvés.
Le nombre d'utilisateurs facturables est mis à jour une fois par jour. Le plafond d'utilisateurs peut ne s'appliquer que rétrospectivement après que le plafond a déjà été dépassé. Si le plafond est défini à une valeur inférieure au nombre actuel d'utilisateurs facturables (par exemple, 1), le plafond est activé immédiatement.
Vous pouvez également configurer des plafonds d'utilisateurs pour des groupes individuels.
[!note] Pour les instances qui utilisent LDAP ou OmniAuth, lorsque l'approbation d'un administrateur pour les nouveaux comptes utilisateurs est activée ou désactivée, des interruptions de service peuvent survenir en raison de modifications de la configuration Rails. Vous pouvez définir un plafond d'utilisateurs pour imposer des approbations aux nouveaux utilisateurs.
Prérequis :
Pour définir un plafond d'utilisateurs :
Supprimez le plafond d'utilisateurs afin que le nombre de nouveaux utilisateurs pouvant créer des comptes sans approbation d'un administrateur ne soit pas limité.
Après avoir supprimé le plafond d'utilisateurs, les utilisateurs en attente d'approbation sont automatiquement approuvés.
Prérequis :
Pour supprimer le plafond d'utilisateurs :
Lorsque vous passez du plafond d'utilisateurs à l'accès restreint, tous les membres en attente (à la fois les membres en attente d'approbation et les membres invités) sont automatiquement supprimés. Pour vous assurer que les utilisateurs sont approuvés en tant que membres, vous devez approuver ou supprimer les membres en attente avant d'activer l'accès restreint.
Par défaut, les mots de passe des utilisateurs ont un nombre limité d'exigences. Vous pouvez modifier les exigences pour augmenter la longueur minimale ou imposer des types de caractères spécifiques.
La modification des exigences relatives aux mots de passe n'affecte pas les mots de passe des utilisateurs existants. Les exigences de complexité modifiées ne sont appliquées que dans ces situations :
Pour modifier les exigences de complexité du mot de passe :
Dans le coin supérieur droit, sélectionnez Admin.
Dans la barre latérale gauche, sélectionnez Paramètres > Général.
Développez Restrictions pour les nouveaux comptes utilisateurs.
Modifiez les exigences de complexité :
| Paramètre | Description |
|---|---|
| Minimum password length | Définit le nombre minimum de caractères requis. Ne peut pas être inférieur à 8 caractères ou supérieur à 128 caractères. |
| Nécessite des chiffres | Exige que les mots de passe contiennent au moins un chiffre (0-9). Premium et Ultimate uniquement. |
| Nécessite des lettres majuscules | Exige que les mots de passe contiennent au moins une lettre majuscule (A-Z). Premium et Ultimate uniquement. |
| Nécessite des lettres minuscules | Exige que les mots de passe contiennent au moins une lettre minuscule (a-z). Premium et Ultimate uniquement. |
| Nécessite des symboles | Exige que les mots de passe contiennent au moins un symbole. Premium et Ultimate uniquement. |
Sélectionnez Sauvegarder les modifications.
Vous pouvez spécifier une liste inclusive ou exclusive de domaines de messagerie pouvant être utilisés pour les nouveaux comptes utilisateurs.
Ces restrictions ne s'appliquent que lors de la création d'un nouveau compte par un utilisateur externe. Un administrateur peut ajouter un utilisateur via le panneau d'administration avec un domaine non autorisé. Les utilisateurs peuvent également modifier leurs adresses e-mail pour des domaines non autorisés après avoir créé un compte.
Vous pouvez restreindre les utilisateurs à la création de comptes avec des adresses e-mail correspondant à la liste de domaines donnée.
Vous pouvez empêcher des utilisateurs de s'inscrire lorsqu'ils utilisent une adresse e-mail de domaines spécifiques. Cela peut réduire le risque que des utilisateurs malveillants créent des comptes indésirables avec des adresses e-mail jetables.
Pour créer une liste de domaines de messagerie autorisés ou refusés :
Dans le coin supérieur droit, sélectionnez Admin.
Dans la barre latérale gauche, sélectionnez Paramètres > Général.
Développez Restrictions pour les nouveaux comptes utilisateurs.
Pour la liste autorisée, vous devez saisir la liste manuellement. Pour la liste refusée, vous pouvez saisir la liste manuellement ou télécharger un fichier .txt contenant les entrées de la liste.
La liste autorisée et la liste refusée acceptent toutes deux les caractères génériques. Par exemple, vous pouvez utiliser *.company.com pour accepter chaque sous-domaine de company.com, ou *.io pour bloquer tous les domaines se terminant par .io. Les domaines doivent être séparés par un espace, un point-virgule, une virgule ou un saut de ligne.
Vous pouvez limiter l'accès à GitLab à un sous-ensemble des utilisateurs LDAP de votre serveur LDAP.
Consultez la documentation sur la configuration d'un filtre d'utilisateurs LDAP pour plus d'informations.
{{< details >}}
{{< /details >}}
{{< history >}}
member_promotion_management.member_promotion_management a été modifié de wip à beta et activé par défaut dans GitLab 17.5.member_promotion_management a été supprimé dans GitLab 18.0.{{< /history >}}
Pour empêcher les utilisateurs existants d'être promus à un rôle facturable dans un projet ou un groupe, activez l'approbation d'un administrateur pour les promotions de rôle. Vous pouvez ensuite approuver ou rejeter les demandes de promotion qui sont en attente d'approbation d'un administrateur.
Prérequis :
Pour activer les approbations pour les promotions de rôle :
[!note] Cette exigence d'approbation ne s'applique pas aux adhésions accordées par la synchronisation LDAP ou les liens de groupe SAML. Les utilisateurs qui reçoivent une promotion de rôle via LDAP ou SAML n'ont pas besoin de l'approbation d'un administrateur, qu'ils aient ou non eu précédemment un rôle facturable.