如何在使用Azure AD身份验证的Jenkins中读取队列状态?

时间:2019-08-02 14:04:47

标签: azure jenkins groovy

我们有Jenkins实例,其授权模式为Logged in users can do anything,单个管理员superuser具有令牌。

我们使用了这个时髦的脚本来查询构建队列:

def builder = new groovy.json.JsonBuilder()

builder {
  queueItems(Jenkins.instance.queue.items.collect { obj ->
      [
        id: obj.id,
        name: obj.task.name,
        isStuck: obj.stuck,
        isBlocked: obj.blocked,
        isDisabled: obj.task.disabled,
        inQueueSince: obj.inQueueSince,
        why: obj.why,
        causesDescription: obj.causesDescription,
        queueItemUrl: obj.url,
        taskUrl: obj.task.url
      ]
   })
}

println builder.toPrettyString()

在安装Azure AD plugin之前,此方法一直有效。 当我们这样做时,脚本执行请求就产生了一个错误:

Date: Thu, 01 Aug 2019 15:03:29 GMT 
X-Content-Type-Options: nosniff 
X-You-Are-Authenticated-As: superuser 
X-You-Are-In-Group-Disabled: JENKINS-39402: use -Dhudson.security.AccessDeniedException2.REPORT_GROUP_HEADERS=true or use /whoAmI to diagnose 
X-Required-Permission: hudson.model.Hudson.RunScripts 
X-Permission-Implied-By: hudson.model.Hudson.Administer 
Content-Type: text/html;charset=utf-8 
Expires: Thu, 01 Jan 1970 00:00:00 GMT 
Cache-Control: no-cache,no-store,must-revalidate 
X-Hudson-Theme: default 
Referrer-Policy: same-origin 
X-Hudson: 1.395 
X-Jenkins: 2.186 
X-Jenkins-Session: 9cf3a1af 
X-Hudson-CLI-Port: 50000 
X-Jenkins-CLI-Port: 50000 
X-Jenkins-CLI2-Port: 50000 
X-Frame-Options: sameorigin 
Server: Jetty(9.4.z-SNAPSHOT) 
Transfer-Encoding: chunked

我们试图使用域用户来验证此请求,如下所示:

curl -k -X POST -u "USERNAME@DOMAIN:PASSWORD"  -d "script=%0A%20%20%20%20def%20builder%20%3D%20new%20groovy.json.JsonBuilder()%0A%0A%09builder%20{%0A%09%20%20queueItems(Jenkins.instance.queue.items.collect%20{%20obj%20-%3E%0A%09%09%20%20%5B%0A%09%09%09id%3A%20obj.id%2C%0A%09%09%09name%3A%20obj.task.name%2C%0A%09%09%09isStuck%3A%20obj.stuck%2C%0A%09%09%09isBlocked%3A%20obj.blocked%2C%0A%09%09%09isDisabled%3A%20obj.task.disabled%2C%0A%09%09%09inQueueSince%3A%20obj.inQueueSince%2C%0A%09%09%09why%3A%20obj.why%2C%0A%09%09%09causesDescription%3A%20obj.causesDescription%2C%0A%09%09%09queueItemUrl%3A%20obj.url%2C%0A%09%09%09taskUrl%3A%20obj.task.url%0A%09%09%20%20%5D%0A%09%20%20%20})%0A%09}%0A%0A%09println%20builder.toPrettyString()" https://jenkinsurl/scriptText

使用RESTer Chrome插件可以很好地使用它,但是我们无法使用CURL之类的其他程序来使其正常工作。

我们使用Cookie识别了问题,该Cookie无法在发送第一个请求之前设置。

那么,在这样的Jenkins配置中,读取作业队列(使用curl)的正确方法是什么?

对于该操作,我们需要使用现有的Jenkins用户令牌而不是AD auth,或使用一些插件来读取队列并返回此数据而无需任何身份验证。

1 个答案:

答案 0 :(得分:2)

目前,我只能找到两种解决方法。该问题已在Jenkins GitHub上提出。

Jie Shen在Jenkins issue page上提出了以下建议,以帮助确保访问权限:

  

在基于Azure Active Directory矩阵的安全性部分中,您需要   在矩阵中有两个用户,使其可以访问Jenkins   API。自动完成功能将为您提供一个用户名,例如'username   (对象ID)”。除此之外,您还需要添加一个用户名,例如'username   (用户ID)”并授予其阅读权限。这样,API的东西   应该可以。

此外,请确认您的curl请求与RESTer Chrome插件请求的输出匹配。您的curl命令很可能不会产生与RESTer Chrome插件相同的输出。

相关问题
最新问题