感谢每一位参加我们网络研讨会的人，他们正在运行一个Jenkins产品实例：在周四设置基于角色的访问控制！如果您没有机会参加live，并且对Jenkins安装的高级访问控制感兴趣，请查看网络研讨会记录。我们也有一个关于詹金斯和云的各种主题的存档网络研讨会的列表。有几个问题是在演讲结束时提出的，所以我在这里为错过现场活动的各位重复这些问题，并添加一些链接和细节。Q： 作业/读取权限与作业/发现权限之间有何区别？大多数时候，您只对Read感兴趣，它赋予您查看项目（或文件夹）的一般能力：它的状态、构建列表、工件（除非您使用-Dhudson.security.ArtifactsPermission=真!)，以此类推。Discover由Read隐含，但有趣的是当Read被拒绝时，在这种情况下，作业将从视图中消失。如果Discover也被拒绝，那么用户甚至无法判断是否存在此名称的作业：Jenkins将只提供404 Not Found，就好像URL中有一个错误。但是如果Discover被授权，那么用户将被告知存在这样一个作业，他们根本不被允许访问。（匿名用户将被提示登录。）因此，授予Discover有点不安全，但更友好。Q： 对文件夹使用权限的最佳方式是什么？一旦将一个或多个权限组合到一个角色中，就可以在文件夹上创建一个组并授予该角色。这是附加权限：用户拥有顶层（或父文件夹）的任何权限以及更多权限。或者您可以使用RBAC插件中的过滤器功能从文件夹中减去权限。Q： 在Jenkins Enterprise中演示的RBAC与CloudBees上托管Jenkins中的RBAC有什么区别吗云开发？不，它是同一个插件，但是你的云开发帐户可能正在运行其他版本（如果需要，可以更新它）。一个区别是：为了避免公共网络上的服务出现灾难性的安全漏洞，云开发Jenkins实例默认情况下禁止任何匿名访问，即使RBAC配置允许。匿名访问云开发詹金斯讨论了如何克服这个问题。Q： 讨论一下命令行和权限。Jenkins CLI非常适合编写对Jenkins的脚本访问。一旦您使用API令牌或SSH私钥登录到CLI，该命令将在用户帐户的上下文中运行，就像在webui中执行的任何操作一样。因此，例如，只有当您具有Job/build权限时，才能从CLI启动构建。类似地，如果您使用restapi编写Jenkins脚本，那么您的权限由通常的Jenkins安全模型（包括RBAC）决定。Q： 在使用RBAC插件方面有没有最佳实践？RBAC被设计为支持各种使用模型，但是您可能希望拒绝匿名用户的所有权限，并且最多向经过身份验证的用户授予总体/读取权限。然后，您可以定义角色和创建组来有选择地向特定文件夹添加权限，这通常比尝试过滤掉权限更简单、更安全。只需记住，要"查看"某些对象（如项目），用户必须对所有包含的对象（Jenkins和任何父文件夹）具有读取权限：权限被反复检查。Q： 您的演示文稿是否仅适用于Jenkins Enterprise，或者是否也可以在开源Jenkins中找到一些特性？RBAC插件为Jenkins定义了一个高级授权策略，也是本次网络研讨会的主要主题，它只对Jenkins企业许可证持有人可用。（你可以在你喜欢的任何版本的Jenkins上运行它，只要你有一个有效的许可证）开源Jenkins捆绑了一些不那么强大的授权策略，并且在更新中心有一些其他的策略可以作为开源插件使用。安全领域插件（security realm plugins）是开放源代码的，可根据LDAP等对您进行身份验证。 杰西格利克优秀建筑师和工程师CloudBees公司。cloudbees.com网站在加入CloudBees之前，Jesse在布拉格的一家小公司工作，开发了一个名为NetBeans的javaide，并被Sun和Oracle收购。他负责IDE的核心模块系统和插件工具，以及包括Ant和Maven集成的项目系统。他为广泛的构建系统以及从StarTeam到（开源）CVS到Mercurial的迁移做出了贡献。在这个过程中，他变成了一个蚂蚁、专家和反复无常的提交者，当然还有……詹金斯。Jesse是Jenkins早期的提交者之一，开发IDE集成。他与人合著了一本关于NetBeans平台的O'Reilly书，并就相关话题发表了演讲。