Jenkins2 学习系列15 -- Jenkins权限控制插件（Role-based Authorization Strategy）

比如有一个项目叫sinuo，我们想实现sinuo-admin用户登录后只能查看和构建以sinuo开头的项目名，并且不能修改Job配置。

使用Role-based Authorization Strategy插件，使得不同的账号有不同的权限，不同的项目。可以非常轻松实现上面的需求。

1. 安装，过程略，安装后来到Jenkins管理，发现了很多选项，勾选"Role-Based Strategy"并保存

image.png

1. 安装成功后会多出一个"Manage and Assign Roles"菜单项

image.png

点击后，有三个选项，分别表示管理角色，分配用户给角色和角色策略

image.png

1. 我们先添加角色，可以添加三种类型的角色，分别是全局角色(比较简单粗暴)，基于项目的(常用) 和 基于节点的(不常用)

注意Pattern可以使用正则，如果需要过滤已sinuo开头的项目，可以填写sinuo.*填写sinuo*会不生效，点击后会列出匹配到的项目

注意，如果一个用户及时全局角色又是项目角色，默认全局角色优先级更高，如果希望基于项目维度进行权限控制，除了admin角色，其他全局角色的Job权限及SCM权限留空

列下不易看懂的权限：

Overall: 特殊的权限类，系统级别权限

• Adminster 允许用户更改Jenkins系统级别的配置，开放后可进入Jenkins管理页面
• Read 全局读权限

Job：任务相关的权限

• Discover：如果匿名用户没有Discover权限，直接在浏览器中输入Jenkins任务URL(真实存在)时，会直接跳转到404页面，如果有该权限，则跳转到登录页面
• Workspace：允许查看Jenkins任务的工作空间内容的权限
• Update：允许用户更新构建历史的属性，如手动更新某次构建失败的原因

image.png

1. 然后我们来到分配角色，已经提前创建好了名为sinuo-admin用户，然后把他分配给project-admin角色

image.png

1. 浏览器新开一个隐身窗口，使用sinuo-admin测试登录，正常的话，他应该只能看到以sinuo开头的项目名称

技巧：

1. 测试时，浏览器开俩窗口，一个正常一个隐藏，一个修改权限，另一个刷新查看权限效果
2. 如果Role-based Authorization Strategy仍然无法满足复杂的权限控制，多搭建几套Jenkins分配给不同团队也未尝不可