Jenkins: SAML, Okta, группы пользователей и Role-Based Security

В продолжение поста Jenkins: SAML Authentication через Okta SSO и группы пользователей — настройка Role-Based Security авторизации в Jenkins, используя группы Okta.

Содержание

Настройка Role-Based Security плагина

Устанавливаем плагин Role-based Authorization Strategy:

Переходим в Configure Global Security, переключаем авторизацию на Role-Based Strategy:

Переходим в Manage and Assign Roles:

Создание ролей — Global roles

Роли делятся на три типа:

global roles: глобальные настройки, такие как разрешение на создание/удаление Views, Jobs, Overall
project roles: настройки привязанные к конкретной джобе, ограничение джоб задаётся через регулярное выражение
agent roles: доступы к слейвам

Если сейчас залогиниться с любым пользователем из Okta — получим ошибку «missing the Overall/Read permission«:

Что бы её избежать — надо создать глобальную роль с правами на Read.

Переходим в Manage Roles:

Создаём глобальную роль read_all с правами только Overall — Read:

Сохраняем.

Assign Roles

Для примера возьмём юзера test:

У него две группы — Everyone и DevOps.

Переходим в Assign Roles, добавляем группу Everyone и задаём ей роль read_all:

Сохраняем, логинимся под этим юзером, проверяем:

Лгинимся, ошибки с правами нет, отлично.

Project roles

Теперь надо добавить роли, которые дадут доступ к конкретным джобам и вьюшкам.

Например — у нас есть view Android, в которой собраны все джобы Android-девелоперов:

Переходим в Manage Roles, добавляем роль android_developer и в Pattern указываем (?i)android_.* — с помощью (?i) указываем не учитывать регистр символов в именах, и по android_.* — выбираем все джобы Android: