Active Directory IdPでSAML OmniAuthを使用するようにGitLabを設定する

Question

GitLabインストールを、認証にLDAPではなくSAMLを使用するように変更しています。

この時点で、ユーザーは[Samlでログイン]ボタンを使用してWebアプリケーションに正常にログインできます。しかし、LDAPとSAMLのアプローチの違いと思われるものについてはっきりしていません。LDAPサインインで作成されたアカウントを持つユーザーは、LDAPユーザー名を使用してGitリポジトリにアクセスできます（クローン、プッシュなど...） SAMLサインインを使用して作成されたアカウントを持つユーザーはできません。

実験の結果、GitLab UIを使用して、最初のSAMLの対話中に作成されたアカウントに別のGitLabアカウントのパスワードを設定すると、ユーザーはGitリポジトリにアクセスできることがわかりました。新しいユーザアカウントの1つでプロジェクトを作成した後に現れるGitLabメッセージで、「あなたのアカウントにパスワードを設定するまで、プロジェクトコードをHTTPS経由でプルしたりプッシュしたりすることはできません。

私はSAMLの統合を何らかの形で誤って設定しているため、この個別のパスワード設定が必要な場合があります。ですから、私の質問は、GitLabでホストされているGitリポジトリへのアクセスがSAMLかLDAPのいずれであっても同じように動作することを期待するのは間違っていますか？そうでない場合は、レビューする必要がある関連するSAML構成設定を知っている人はいますか？

興味がある場合：GitLab Googleグループに同様の質問を投稿しましたが、まだ回答がありません。

Answer 1

これは古い質問ですが、私はこの質問につまずいた他の人を助けることを期待して、とにかく反応しています。

LDAPとSAMLの重要な違いは、SAMLがWebベースのシングルサインオンテクノロジであることです。 SAMLサインインプロセスの一部は、ユーザのクライアント（ブラウザ）とSAMLサーバの間で直接行われ、GitLabはその情報をバックエンド上で検証します。対照的に、ユーザーのLDAPパスワードが与えられたとき、GitLabはLDAPサーバーに直接接続し、IDを確認することができます。

多くのGitLabユーザーは、LDAPとSAMLの組み合わせを利用しています。 SAMLはWeb側でシームレスなシングルサインオンを提供し、LDAPはGit over HTTPSがパスワードを受け入れることを可能にし、エンタープライズ版のLDAP Group Syncのような高度な機能を提供します。