每个分支的基于作业的安全性 - Jenkins Multibranch管道

时间:2017-10-23 16:22:06

标签: security jenkins jenkins-plugins jenkins-pipeline

我有一个用于构建工件的Jenkins多分支管道,并且有master*-dev等分支。

我想在每个分支的基础上启用基于项目的安全性,即只允许开发人员运行构建的*-dev分支作业而不是任何其他作业,因为这样做会产生不良影响。

我知道有基于项目的安全性,但我没有看到任何每个分支。这存在吗?我们在更新Jenkins方面落后,目前正在运行Jenkins 2.46.1

否则我认为我可能必须有一个单独的上游作业来调用下游的正确分支,并使具有这种权限的开发人员无法运行下游工件作业。 (这听起来有点矫枉过正)。

或者有没有办法在分支机构的Jenkins文件中完成这个?

1 个答案:

答案 0 :(得分:2)

这里有一些Jenkinsfile groovy,可以让你接近你想要的东西:

// return the user id that caused this build; else empty string
@NonCPS
def user_id_cause() {
    def CAUSE = currentBuild.rawBuild.getCause(
        hudson.model.Cause.UserIdCause.class
    );
    return CAUSE ? CAUSE.getUserId() : "";
}

// return all groups to which the given user id belongs
@NonCPS
def groups(USER_ID) {
    return Jenkins.instance.securityRealm.loadUserByUsername(USER_ID).authorities.collect{ it.toString() };
}

...

env.USER_ID_CAUSE = user_id_cause();
if (!env.BRANCH_NAME.endsWith('-dev')) {
    if (env.USER_ID_CAUSE) {
        if ('jenkins_admins' in groups(env.USER_ID_CAUSE)) {
            echo("INFO: user id `${env.USER_ID_CAUSE}` is in the group `jenkins_admins`.");
        } else {
            currentBuild.result = 'ABORTED';
            error("user id `${env.USER_ID_CAUSE}` is not in the group `jenkins_admins`.");
        }
    }
}

注意事项:

  • 这些技巧严重依赖于需要"进程内脚本批准的API函数"詹金斯管理员。
  • 上面的示例假定存在特权用户所属的jenkins_admins组 - 您的用户/组情况可能非常不同。
  • 一般情况下,使用Jenkins API函数返回的对象应该在@NonCPS - 注释函数中完成 - 否则会冒java.io.NotSerializableException的风险。

参考文献:

相关问题
最新问题