Jenkins 权限管理

关于Role-based Authorization Strategy

使用Jenkins自身的权限管理过于粗糙，无法对单个、一类项目做管理，我们可以使用
Role-based Authorization Strategy插件来管理项目、角色。
首先安装该插件：在Jenkins查看该插件有无安装

在Jenkins->安全全局配置里勾选

配置角色

可以系统管理中->Manage and Assign Roles 管理角色。可以定义全局、项目和代理特定项目角色。

• 全局角色(Global roles)适用于 Jenkins 中的任何项目，并覆盖项目角色中指定的任何内容。也就是说，当在全局角色中授予角色权限时Job/Read，无论在项目角色中指定什么，都允许该角色读取所有作业。Job/Create可以在全局范围内创造任何名称的项目。
  

• 对于项目(Project roles)和代理角色(Slave roles)，您可以设置匹配项目的正则表达式模式。正则表达式主要是匹配完整的项目名称。

  • 例如，如果将该字段设置为Roger-.*，则该角色将匹配名称以Roger-开头的所有项目。
  • 匹配模式区分大小写。要执行不区分大小写的匹配，请使用(?i)符号： (?i)roger-.*。
  • 可以使用这样的表达式来匹配文件夹^foo/bar.*。要访问文件夹内的作业，用户也必须可以访问该文件夹本身。这可以通过单一模式来实现，例如(?i)folder($|/.*)文件夹的权限可以与作业的权限相同。如果需要配置不同的权限，则需要创建2个不同的角色，例如(?i)folder和(?i)folder/.*。请注意，文件夹内的作业名称区分大小写，尽管这是文件夹插件JENKINS-67695中的错误。可以使用启用区分大小写(?-i)来解决，例如:(?i)folder/(?-i).*
  • 只有在全局配置勾选Role-based Strategy，项目级别的创建权限才能生效。如果未启用，会在管理监视器中警告。否则只能创建与模式匹配的作业。Role-Based strategyRestrict project namingJob/CreateJob/ConfigureJob/Read

分配角色

可以使用“Assign Roles”将角色分配给用户和用户组

用户组代表安全领域提供的权限（例如Active Directory或LDAP插件可以提供组）
还有两个内置组：（authenticated已登录的用户）和anonymous（任何用户，包括未登录的用户）
将鼠标悬停在标题上将显示工具提示，其中包含与角色和模式关联的权限。
将鼠标悬停在复选框上将显示包含角色、用户/组和模式的工具提示。

项目构建获取角色信息

项目构建中有两个步骤可以获取运行构建的用户的角色。当用户通过 UI 或 REST API 触发构建时，将返回该用户的角色。如果构建是由时间或 SCM 事件触发的，则没有可用的用户，并且以SYSTEM当作运行用户。该用户被视为管理员并拥有所有角色。
使用授权项目插件，可以使由计时器或 SCM 事件触发的构建以特定用户身份运行