Я пытаюсь настроить групповые авторизации, используя мой IDP (Identity Provider) с имеющимся у меня экземпляром Jenkins.
Для отдельных пользователей я смог успешно настроить его, установив плагин SAML 2.0, отправив метаданные поставщика услуг в мой IDP и выполнив успешную регистрацию.
Я могу успешно войти в свой Jenkins, используя мои учетные данные SAML.
Более того, я могу назначать пользователям определенные роли, используя плагин Role Strategy. Я определил роли, такие как «Job Reader», «Job Admin» и т. Д., И назначил эти роли отдельным пользователям.
Все, пока здесь не сделано.
Но то, что я ищу, - это не назначать роли пользователям на уровне Jenkins. Я хочу, чтобы Jenkins извлекал группы, определенные в моем IDP, и назначал эти группы для ролей, которые я определил, вместо того, чтобы мне приходилось назначать роли отдельным пользователей.
Со стороны IDP я создал группы (у меня есть ID группы) и назначил пользователей этим группам. Все, что я хочу сделать, - это чтобы мои Дженкинс прочитал эти групповые идентификаторы. Есть ли какая-то документация, которой я могу следовать?
Ниже приведены шаги, которые я проделал до сих пор с неудачными результатами.
В моем IDP я создал группу jenkins-reader и назначил пользователя в группу.
Когда я скручиваю данные пользователя, я ясно вижу, что мой пользователь P000002 является частью определенной группы.
{
"uid": "P000002",
.
.
"companyGroups": [
"jenkins-reader"
],
.
.
. }
Теперь переключаясь на Дженкинса, у меня есть следующий конфиг.
Под Управление ролями , ive настроил Project Roles. Создание jenkins-reader ролей и назначение в разрешениях на чтение задания.
В разделе Назначить роли я добавил группу jenkins-reader (то же имя, как определено в IDP) и назначил ей роль читателя jenkins, настроенную на последнем шаге.
Когда я нажимаю Применить и Сохранить, я пытаюсь снова войти в систему и получаю ОШИБКУ
Access Denied
P000002 is missing the Overall/Read permission
Теперь я не уверен, что я что-то здесь упустил или неправильно к этому отношусь. Я следил за этим документом .