由于能够有效地扩展Jenkins并将其用作许多不同受保护环境和系统之间的协调器，安全性和适当的授权很快成为Jenkins内部控制的一个重要因素。通常，开发人员在多个项目上工作，这些项目可能跨越不同的主控。基于角色的访问控制与Azure Active Directory（Azure AD）结合使用，可以帮助您实施和管理Jenkins的全面授权策略，同时与Azure AD定义的其他单点登录生态系统集成。此安全设置可以在单个主控机上设置，也可以在Cloudbees管理的多个主服务器之间设置詹金斯操作中间。什么是基于角色的访问控制（RBAC）？基于角色的访问控制（RBAC）是Cloudbees-Jenkins平台的一个特性，允许管理员定义将应用于他们所管理的系统的一般安全角色。一旦定义了角色，Jenkins管理员就可以将这些角色分配给用户组，这些用户组既可以在全局级别上定义，也可以向下定义到特定的项目或作业级别。RBAC与许多底层身份验证机制（如Active Directory、LDAP或在本例中为Azure AD）进行了很好的集成。RBAC的默认行为是传播权限，但是还可以忽略特定项目的继承权限，这反过来又会将项目完全隐藏在未为该项目定义的任何组中。此功能为管理大量乔布斯。什么是Azure Active Directory（Azure AD）吗？azuread是微软基于云的多租户目录和身份管理服务。azuread为数千个云SaaS应用程序（包括Jenkins）提供了单点登录（SSO）解决方案。Azure AD还可以与现有的本地Windows服务器activedirectory集成，以使用在那里为SSO定义的标识。虽然azuread基于activedirectory，但它公开SAML作为外部应用程序的主要协议互动。获得标准要求JDK 1.7+Cloudbees Jenkins PlatformSAML PluginAzure广告订阅或试用安装安装SAML插件-登录Jenkins操作中心或Jenkins Enterprise，转到managejenkins>manageplugins>Available，选择SAML插件，然后选择"立即下载并重新启动后安装"按钮。更新完成后重新启动Jenkins。在撰写本文时，最新版本是0.4Azure AD-单击此处登录到你的Azure帐户，然后导航到你的Active Directory实例或创建一个新实例。请确保Azure AD实例中已经创建了一些用户和组。单击此处获取有关Azure入门的帮助设置广告在Azure AD管理门户中，大数据是什么意思，转到Active Directory>[目录]>应用程序部分，选择添加，然后添加我的组织正在开发的应用程序。输入应用程序的名称并选择Web应用程序和/或Web API，然后单击下一步。登录URL和App ID URI应该设置为[Jenkins Address]/securityRealm/finishlogin应该立即创建应用程序！如果您想在Jenkins中使用Azure AD中定义的组，您需要启用"组声明"，以便Azure AD还可以将组成员身份信息发送给詹金斯。点击管理清单>从应用程序屏幕下载清单创建的Manifest是一个标准的JSON文件，可以使用任何编辑器（如记事本）打开。打开清单并滚动到groupMembershipClaims属性。将此属性值从默认的null更改为"SecurityGroup"，如下所示保存清单文件并返回到Azure仪表板单击管理清单>上载清单并浏览到修改后的清单以上载它。现在，Azure AD已设置为将用户的组成员身份信息发送到詹金斯，从应用程序入门页应该有一个联合元数据文档URL。复制该URL并转到另一个选项卡中的URL。它应该显示联合元数据XML文档。在中配置SAML设置时，免费企业管理软件，请将其保留为打开状态詹金斯。配置Cloudbees-Jenkins平台要使用Azure ADIn Jenkins登录，大数据分析学习，请导航到Jenkins>Configure Global Security。选中显示"启用安全性"的框。在Security Realm下选择saml2.0。对于IdP元数据：复制并粘贴在上一步中打开的联邦元数据XML文件的内容。将组属性设置为：如图所示下面。单击保存。现在您应该能够使用经过Azure认证的用户登录到Jenkins广告配置Azure AD用户/组的基于角色的访问控制在Jenkins中，导航到Jenkins>Configure Global Security。在"授权"下，选择"基于角色的矩阵授权策略"，然后单击"保存"。创建文档中定义的适当组和角色。若要将Azure AD用户或组添加到RBAC组，大数据人工智能，请选择指定的组并单击"添加用户/组"。对于ID，请插入Azure AD用户或组的"对象ID"。可以通过导航到Azure AD中用户/组的属性来找到对象ID，如下所示。注意：之所以必须使用对象ID，是因为Azure AD只发送对象ID，因为"名称"可能会更改，但对象ID始终是静态。一次在RBAC中设置适当的角色和组，安装已完成，用户现在可以使用Azure登录到他们相应的项目中结论结合基于角色的访问控制和azuread，微信淘客，很容易为Jenkins创建一个灵活而健壮的授权策略。现在，您可以使用与组织内许多其他应用程序相同的凭据登录到Jenkins，这些应用程序都是从一个中心管理的dashboard.Referenceshttps://azure.microsoft.com/en-us/documentation/articles/activedirectory whatis/http://justazure.com/azure-active-directory-part-4-group-claims/http://blog.cloudbees.com/2011/05/squeeze-more-juice-out-of-jenkins.htmlIsaac科恩解决方案架构师CloudBees