Jenkins系列-权限管理
在实际工作中,存在多个团队都需要Jenkins来实现持续交付,但是又希望不同团队之间进行隔离,每个项目有自己的view, 只能看到自己项目的jenkins job.
但是,jenkins默认的权限管理体系不支持用户组或角色的配置,这里利用Role-based Authorization Strategy实现上述目的
权限角色配置
直接跳过插件安装,介绍如何基于项目配置.
1. 启用 Role-based Authorization Strategy
进入系统管理 > Configure Global Security ,配置如下,此时该策略已启用
注意:策略启用之后,不禁止修改!策略之间是独立的,一旦选择另外一中策略,当前策略将丢失,包括已生效的配置。
2. 创建 Glabal roles 和 Project roles
进入系统管理 > Manage and Assign Roles
ManageRoles- Global roles是对全局的角色控制- Project roles只针对项目进行控制,所以需要为每个项目单独添加指定的role (区别于全局,只能有项目相关权限,没有jenkins管理权限配置)配置job pattern需要注意:prod.代表匹配以prod开头的内容例如:如果以dev开头就写成 dev.一定要加上"."; .*test表示以test结尾的内容项目
注意:必须先进行Global roles的配置后方可对Project roles进行配置,可以解为先配置整体性权限,再按项目分权限,遵守从大到小权限控制的原则!
3. Roles 配置规则和流程
这里强制规定项目role配置规则和流程
3.1 为项目/团队添加 project role
以demo项目为例,添加manager和user两种role
- role:demo-manager - pattern: "^demo-[a-zA-Z]*"
- role:demo-user - pattern: "^demo-[a-zA-Z]*"
- 在实际使用中,可以为"项目/团队"创建两种role, 甚至一个都可以
- pattern是通过正则表达匹配为项目创建的jenkins job, 所有命名需要规范,简单,一个表达式可以匹配多个项目拥有的job.这里参考"demo"项目
3.2 为项目/团队成员分配 role
通过以下配置,开发团队成员就只能看到自己的"demo"项目
添加用户-LDAP
jenkins 默认可以手动添加用户,由于简单不做解释;这里重点说下企业内部使用LDAP来实现用户的统一管理,也就是说无须再次创建用户
需要使用LDAP插件,然后在Configure Global Security 页面进行配置,输入公司内部LDAP服务信息。
注意:
- jenkins 默认使用Jenkins own user database,即自己本身的数据库,一旦切换,当前配置数据可能丢失,所以切忌随意修改该配置 !
- 在配置LDAP前,一定要记得开启匿名用户的 admin 权限,否则一旦配错,自己就无法登录了!
点击上方头像关注我,每周上午 09:00准时推送,每月不定期赠送技术书籍,小窗口回复资源、测试工具包领取测试资源。
本文1905字,阅读约需5分钟
Hi,大家好。在上一篇Jenkins系列文章:Jenkins介绍及安装,主要介绍Jenkins简介、docker安装Jenkins及Jenkins配置。
在Jenkins做项目构建及持续集成过程中,我们需要考虑权限问题。比如不同项目组用户只能看到自己项目的任务,那如何实现用户权限管理呢,接下来我们详细介绍。
一
准备工作
Jenkins用户权限管理
一步一步教你安装部署Jenkins,不信你安不上
大家好啊,我是大田。