正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

GitLab Duo Agent Platformの認証と認可

  • プラン: Ultimate
  • アドオン: GitLab Duo Core、Pro、またはEnterprise。
  • 提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated
  • ステータス: 実験的機能

この機能の利用可否は、機能フラグによって制御されます。詳細については、履歴を参照してください。

GitLab Duo Agent Platformは、@duo-developerサービスアカウントを使用して、ユーザーの代わりにアクションを実行します。このサービスアカウントは、ユーザーアカウントと組み合わされると、composite identityと呼ばれます。コンポジットアイデンティティは、サービスアカウントに権限が付与されるため、ユーザーに付与されるアクセスを制限するのに役立ちます。

コンポジットアイデンティティは、次のフローで使用されます:

GitLab Duo Agent Platformを使用するには、turn on composite identityを呼び出す必要があります。

コンポジットトークン

リクエストを認証するトークンは、2つのIDの複合です:

  • プライマリ作成者は、@duo-developer サービスアカウントです。このサービスアカウントはインスタンス全体に適用され、GitLab Duo Agent Platformが使用されたプロジェクトのデベロッパーロールを持っています。このサービスアカウントは、トークンのオーナーです。
  • セカンダリ作成者は、フローを開始した人間のユーザーです。このユーザーのidは、トークンのスコープに含まれています。

このコンポジットアイデンティティにより、GitLab Duo Agent Platformによって作成されたすべてのアクティビティーが、GitLab Duo Agent Platformのサービスアカウントに正しく属性付けられるようになります。同時に、この複合IDは、一般ユーザーに対する特権エスカレーションがないことを保証します。

この動的スコープは、APIリクエストの認可中に検証されます。認可がリクエストされると、GitLabは、サービスアカウントおよびクイックアクションを開始したユーザーの両方に十分な権限があることを検証します。