|
|
[:arrow_backward: Gestion des issues](Gestion%20des%20issues) | [Mise en place de l'intégration continue :arrow_forward:](Mise%20en%20place%20de%20l'int%C3%A9gration%20continue)
|
|
|
|
|
|
[[_TOC_]]
|
|
|
|
|
|
## Contexte
|
|
|
|
|
|
Il est important de bien sécuriser l'accès à ses projets : qui peut voir le code, qui peut faire des commits.
|
|
|
|
|
|
## Au niveau du projet
|
|
|
|
|
|
### Passer la visibilité en _Private_
|
|
|
|
|
|
Aller dans _Settings_ > _General_ > _Visibility, project features, permissions_ et sélectionner _Private_ dans _Project visibility_ :
|
|
|
|
|
|
![image](uploads/3a4c7771cb367808cbf80c2fabb168d4/image.png)
|
|
|
|
|
|
### Gérer les rôles des membres
|
|
|
|
|
|
Dans _Project information_ > _Members_, attribuer les rôles nécessaires et suffisants aux différents utilisateurs en fonction des actions qu'ils seront amenés à faire.
|
|
|
|
|
|
Typiquement, un développeur sera _Developer_ (accès en écriture), certaines équipes d'exploitation seront _Reporter_ (accès en lecture), etc...
|
|
|
|
|
|
### Protéger les branches
|
|
|
|
|
|
Aller dans _Settings_ > _Repository_ > _Protected branches_ pour restreindre les accès en écriture à certaines branches, par exemple la branche principale, y compris aux personnes ayant le rôle _Developer_.
|
|
|
|
|
|
Cela nécessite néanmoins une certaine habitude de la gestion des branches et des _merges requets_.
|
|
|
|
|
|
## Au niveau de l'authentification
|
|
|
|
|
|
### Activer le 2FA sur son compte
|
|
|
|
|
|
Le 2FA permet d'ajouter un second facteur d'authentification sur son compte, afin d'en renforcer la sécurité.
|
|
|
|
|
|
Aller dans son profil :
|
|
|
|
|
|
![image](uploads/372f38705929512be45b354bdf9a96e1/image.png)
|
|
|
|
|
|
Puis aller dans le menu _Account_.
|
|
|
|
|
|
Cliquer sur le bouton _Enable two-factor authentication_ :
|
|
|
|
|
|
![image](uploads/b7cfd8875ac25f0f270d2e7ed9dd1ec6/image.png)
|
|
|
|
|
|
Avec son application OTP (Authy, Duo, ...), scanner le QR Code affiché et renseigner le code.
|
|
|
|
|
|
![image](uploads/b7bfa1343fa08e29dae69f997a5fc181/image.png)
|
|
|
|
|
|
Cliquer ensuite sur _Register with two-factor app_, noter la liste des _Recovery codes_ affichés et cliquer sur le bouton _Proceed_ :
|
|
|
|
|
|
![image](uploads/2838bf3bdc14550438d2eb8f840acc81/image.png)
|
|
|
|
|
|
A la prochaine authentification, après Janus, le code OTP sera demandé :
|
|
|
|
|
|
![image](uploads/4e36a42f90acdb08d8b70c691e21a7c2/image.png)
|
|
|
|
|
|
### Utiliser webAuthn sur son compte
|
|
|
|
|
|
Une fois l'OTP configuré, il est possible de s'authentifier avec un composant supportant WebAuthn, tel qu'une clé Fido comme la [Security Key de Yubico](https://resources.yubico.com/53ZDUYE6/at/qamqaw-bw7m6w-61k2s4/Security_Key_Series_Product_Brief_-_FR.pdf) :
|
|
|
|
|
|
![image](uploads/e241725f194460cda56cf9f1ad2ca63e/image.png)
|
|
|
|
|
|
Pour cela, dans la même section _Two-factor Authentication_, cliquer sur _Manage two-factor authentication_, puis sur _Set up new device :_
|
|
|
|
|
|
![image](uploads/b8dd96896ef19ffacc722604cd4cca49/image.png)
|
|
|
|
|
|
Une fenêtre de confirmation s'affiche :
|
|
|
|
|
|
![image](uploads/9feb734dd4c79dc19f03571716ddb359/image.png)
|
|
|
|
|
|
Il faut insérer la clé si ce n'est pas fait. Le code PIN de la clé est demandé (cas ici d'une clé déjà utilisée) :
|
|
|
|
|
|
![image](uploads/0b49b50d8f498af2e72e3d626023b631/image.png)
|
|
|
|
|
|
Enfin il est demandé de toucher la clé (acte volontaire) :
|
|
|
|
|
|
![image](uploads/1ed06fe1d9866bce4c0e5ff9a77a144f/image.png)
|
|
|
|
|
|
Le processus est presque terminé, il suffit de renseigner un nom et de cliquer sur _Register device_ :
|
|
|
|
|
|
![image](uploads/f87ee73bfdc6fccfddb485c2cd38433b/image.png)
|
|
|
|
|
|
La clé apparait alors dans un tableau en dessous :
|
|
|
|
|
|
![image](uploads/a72803c5e75bccd0169a684bcad74bad/image.png)
|
|
|
|
|
|
Lors de la prochaine authentification, la clé sera demandée :
|
|
|
|
|
|
![image](uploads/9ba33e43e30c3fe2f9aaacdc45e207e8/image.png)
|
|
|
|
|
|
### Forcer le 2FA pour un groupe
|
|
|
|
|
|
Il est possible au niveau d'un groupe d'obliger les utilisateurs à avoir une authentification 2FA pour y accéder.
|
|
|
|
|
|
Cela se fait dans _Settings_ > _General_ > _Permissions and group feature_s :
|
|
|
|
|
|
![image](uploads/72e852f9539bf9f59343bbbf1c8a695d/image.png)
|
|
|
|
|
|
Tous les utilisateurs de ce groupe n'ayant pas le 2FA activé seront obligés (au bout de la période de grâce) de configurer le 2FA :
|
|
|
|
|
|
![image](uploads/78234b8a05759ba5d8fb795c8b4e1392/image.png)
|
|
|
|
|
|
**Attention, cela est contraignant pour les utilisateurs : si un utilisateur est membre d'un groupe où le 2FA est obligatoire, et qu'il ne l'a pas configuré, il ne pourra plus utiliser Gitlab dans son ensemble tant qu'il n'aura pas configuré le 2FA ou quitté le projet en question.**
|
|
|
|
|
|
---
|
|
|
|
|
|
[:arrow_backward: Gestion des issues](Gestion%20des%20issues) | [Mise en place de l'intégration continue :arrow_forward:](Mise%20en%20place%20de%20l'int%C3%A9gration%20continue) |
|
|
\ No newline at end of file |