访问控制

必威国际有限公司詹金斯访问控制分为两个部分:

  • 身份验证(用户证明他们是谁)使用安全领域.安全领域确定用户身份和组成员资格。

  • 授权(用户被允许做什么)由完成授权策略.这个控制是否用户(直接或通过组成员)具有权限。

这些可以是独立的,或组合工作。一个独立的配置将是活动目录LDAP.作为安全领域,而像矩阵的授权策略作为授权策略。相关安全领域和授权策略配置的一个例子是GitHub身份验证虽然它的安全领域可以与通用授权策略一起使用,但它也提供了一种授权策略,用于在GitHub上查找用户的存储库权限,并基于此向Jenkins中的相关作业授予或拒绝权限。必威国际有限公司

必威国际有限公司詹金斯可能被设置为在外面进行基本访问控制。一些例子:

  • 内置的温斯顿/码头servlet容器包装提供了实现詹金斯外的基本安全领域的选择。必威国际有限公司

  • 如果J必威国际有限公司enkins运行在Nginx或Apache这样的反向代理之后,它们就会限制对Jenkins的访问。

这些方法的一个优势是,他们不允许任何詹金斯访问,除非一个用户被授权,减少安全问题在詹金斯的影响或插件特别是当从Internet访问。必威国际有限公司缺点是缺乏与詹金斯访问控制一体化,甚至潜在的干扰它(例如尝试进行身份验证客户端脚本时)。必威国际有限公司

常见的配置错误

在Jenkins中配置身份验证和授权时,很容易意外地允许比预期多得多的访问。必威国际有限公司看授予管理员访问权限的文档关于无意中授予辖权限的影响。

任何人都可以做任何事

该授权策略是很少一个很好的选择,因为它甚至允许匿名用户管理詹金斯。必威国际有限公司作为一个经验法则,它不应该被使用。千万不要依靠詹金斯网址不被你的团队或必威国际有限公司组织以外的单独的安全闻名。

登录的用户可以做任何事

该授权策略可以是一个明智的选择,只要只能完全信任的用户有帐户访问詹金斯。必威国际有限公司设置向导中设置詹金斯时,这是与詹金斯的单个管理员用必威国际有限公司户的默认。

如果您保持这种授权策略,切换到允许不受信任的用户以后拥有帐户的身份验证领域将导致这些用户获得对Jenkins的管理访问权。必威国际有限公司示例包括启用帐户注册必威国际有限公司詹金斯自己的用户数据库,或各种其他授权领域,其中许多(GitHub上,谷歌,GitLab等),允许任何人注册一个帐户。

匿名和认证用户

类似以前的项目,一般情况下不应授予显著权限匿名的(匿名用户)或认证(任意认证的用户)使用的授权策略,其允许细粒度控制(比如当矩阵的授权策略)。授予总体/辖权限匿名的类似于任何人都可以做任何事,同时授予该权限身份验证是基本相同登录的用户可以做任何事

内置的节点

权限有限的用户必须不能配置的作业上内置的节点运行.在设置新的Jenkins实例、添加用户和切换必威国际有限公司授权策略时,还需要设置分布式构建并限制哪些作业能够在内置节点上运行,这一点非常重要。

权限

在一个非常基本的水平,总体/读权限为用户提供詹金斯一些基本的访问。必威国际有限公司此权限是詹金斯较大幅度的访问的先决条件。必威国际有限公司如果没有这个权限,只有极少数的功能明确意图没有认证,所用可供选择。

权限的最高境界是总体/辖.有了这个许可,用户可以上传和安装插件,并可以访问脚本的控制台

这两个极端之间是一个涉及其他权限细粒度的权限控制。在詹金斯权限有必威国际有限公司范围:他们可以在全球范围内授予,在项目上(如文件夹或工作),对构建等每当用户尝试做一些事情,是通过权限保护,授权策略是为当前用户是否有特定的检查permission (e.g.,工作/读)与特定对象(例如,作业)。他们究竟如何权限分配以及是否以及如何继承由特定的授权策略的控制。

举个例子,矩阵的授权策略提供了两种不同的授权策略:

  • One提供的所有权限的单一的全球配置。用户授权项目/阅读将无处不在授予该权限。

  • 一种是提供基于项目的配置。在此模型中,可以全局地授予权限(如前面的策略中所示),或者仅对特定的文件夹、作业或代理授予权限。默认情况下,权限是继承的,但也可以自定义,以便用户授予权限项目/阅读全局或父文件夹上的作业访问可能被排除在外。

有关詹金斯的各种权限和访问他们给予的级别的详细信息,请参阅必威国际有限公司权限

禁用访问控制



此页面有用吗?

请通过此提交有关此页的反馈快速表单

或者,如果您不希望完成快速表单,您可以简单地指出,如果您觉得这个页面有帮助?


看到现有的反馈在这里