Security 每个分支基于作业的安全性-Jenkins多分支管道
我有一个用于构建工件的Jenkins多分支管道,还有用于Security 每个分支基于作业的安全性-Jenkins多分支管道,security,jenkins,jenkins-plugins,jenkins-pipeline,Security,Jenkins,Jenkins Plugins,Jenkins Pipeline,我有一个用于构建工件的Jenkins多分支管道,还有用于master、*-dev等的分支 我希望在每个分支的基础上启用基于项目的安全性,即只允许开发人员运行构建的*-dev分支作业,而不允许任何其他作业,因为这样做会产生不良影响 我知道有基于项目的安全性,但我没有看到任何分支。这是否存在?我们在更新Jenkins方面落后了,目前正在运行Jenkins2.46.1 否则,我想我可能必须有一个单独的上游作业来调用下游作业的正确分支,并使下游工件作业无法由具有这样做特权的开发人员运行。(这听起来有点过
master
、*-dev
等的分支
我希望在每个分支的基础上启用基于项目的安全性,即只允许开发人员运行构建的*-dev
分支作业,而不允许任何其他作业,因为这样做会产生不良影响
我知道有基于项目的安全性,但我没有看到任何分支。这是否存在?我们在更新Jenkins方面落后了,目前正在运行Jenkins2.46.1
否则,我想我可能必须有一个单独的上游作业来调用下游作业的正确分支,并使下游工件作业无法由具有这样做特权的开发人员运行。(这听起来有点过分了)
或者在分支机构的Jenkinsfile中有什么方法可以实现这一点吗?这里有一些
Jenkinsfile
groovy,可以让您接近您想要的:
// return the user id that caused this build; else empty string
@NonCPS
def user_id_cause() {
def CAUSE = currentBuild.rawBuild.getCause(
hudson.model.Cause.UserIdCause.class
);
return CAUSE ? CAUSE.getUserId() : "";
}
// return all groups to which the given user id belongs
@NonCPS
def groups(USER_ID) {
return Jenkins.instance.securityRealm.loadUserByUsername(USER_ID).authorities.collect{ it.toString() };
}
...
env.USER_ID_CAUSE = user_id_cause();
if (!env.BRANCH_NAME.endsWith('-dev')) {
if (env.USER_ID_CAUSE) {
if ('jenkins_admins' in groups(env.USER_ID_CAUSE)) {
echo("INFO: user id `${env.USER_ID_CAUSE}` is in the group `jenkins_admins`.");
} else {
currentBuild.result = 'ABORTED';
error("user id `${env.USER_ID_CAUSE}` is not in the group `jenkins_admins`.");
}
}
}
注意事项:
- 这些技巧严重依赖于需要Jenkins管理员“过程中脚本批准”的API函数
- 上面的示例假设存在特权用户所属的
组——您的用户/组情况可能会非常不同jenkins\u admins
- 一般来说,处理从Jenkins API函数返回的对象应该在
-注释函数中完成,否则您将面临@NonCPS
的风险java.io.NotSerializableException