Wim*_*eka 5 security jenkins jenkins-plugins jenkins-pipeline
我有一个用于构建工件的 Jenkins 多分支管道,并且有等的分支master。*-dev
我想在每个分支的基础上启用基于项目的安全性,即只允许开发人员运行*-dev构建的分支作业,而不是任何其他作业,因为这样做会产生不良影响。
我知道有基于项目的安全性,但我没有看到每个分支。这存在吗?我们在更新 Jenkins 方面落后了,目前正在运行 Jenkins 2.46.1。
否则我想我可能必须有一个单独的上游作业来调用下游作业的正确分支,并使下游工件作业无法由有权限的开发人员运行。(这听起来有点矫枉过正)。
或者有什么方法可以在分支的 Jenkinsfile 中完成此操作?
这里有一些Jenkinsfile绝妙的东西可以让你接近你想要的:
// return the user id that caused this build; else empty string
@NonCPS
def user_id_cause() {
def CAUSE = currentBuild.rawBuild.getCause(
hudson.model.Cause.UserIdCause.class
);
return CAUSE ? CAUSE.getUserId() : "";
}
// return all groups to which the given user id belongs
@NonCPS
def groups(USER_ID) {
return Jenkins.instance.securityRealm.loadUserByUsername(USER_ID).authorities.collect{ it.toString() };
}
...
env.USER_ID_CAUSE = user_id_cause();
if (!env.BRANCH_NAME.endsWith('-dev')) {
if (env.USER_ID_CAUSE) {
if ('jenkins_admins' in groups(env.USER_ID_CAUSE)) {
echo("INFO: user id `${env.USER_ID_CAUSE}` is in the group `jenkins_admins`.");
} else {
currentBuild.result = 'ABORTED';
error("user id `${env.USER_ID_CAUSE}` is not in the group `jenkins_admins`.");
}
}
}
注意事项:
jenkins_admins特权用户所属的组——您的用户/组的情况可能非常不同。@NonCPS带注释的函数内完成——java.io.NotSerializableException否则你会面临风险。参考:
| 归档时间: |
|
| 查看次数: |
1136 次 |
| 最近记录: |