身份验证
刚安装的GoCD服务器不需要用户进行身份验证。这对于试用来说很棒。但是,一旦你决定更广泛地使用GoCD,这应该是你要做的第一件事。
GoCD内置了两种认证方法:基于密码文件的身份验证和LDAP/Active Directory身份验证。你还可以从一系列的社区维护的插件中选择其他认证方式,例如使用Google或GitHub OAuth。
你甚至可以编写自己的插件来进行认证(如用户名/密码组合)或授权(如决定用户应被允许进入哪些GoCD角色)通过使用授权插件端点.
“授权配置”是在GoCD中使用的术语,允许GoCD管理员配置GoCD使用的认证和授权类型。GoCD可以设置为同时使用多种授权配置。
注意:配置的顺序很重要。它们将从第一个到最后一个依次尝试,并且在用户尝试登录时,每个授权配置都将有机会验证用户。如果其中一种配置成功允许用户登录,则后续的配置将不再使用。
考虑以下示例图像:
在此示例中,首先会尝试密码文件认证方法。如果成功,用户将被允许登录。如果不成功,则将尝试LDAP认证方法。如果成功,用户将被允许登录。如果不成功,则用户将被拒绝登录。
内置认证方法
密码文件认证
-
通过进入“管理”菜单,然后进入“安全”,再进入“授权配置”来创建授权配置。
-
点击“添加”,为配置提供任何标识符(ID),然后选择“GoCD密码文件认证插件”。
-
提供GoCD服务器上密码文件的路径。接受绝对路径或相对于GoCD安装目录的路径。
-
指定只允许已知用户登录字段。了解更多
The 密码文件插件的文档包含有关可以放入密码文件中的值的信息。
LDAP/AD认证
-
通过进入“管理”菜单,然后进入“安全”,再进入“授权配置”来创建授权配置。
-
点击“添加”,为配置提供任何标识符(ID),然后选择“GoCD LDAP认证插件”。
-
提供适合您LDAP服务器的相应值。您可能需要与组织中的LDAP/AD服务器管理员联系以获取正确的值。
-
指定只允许已知用户登录字段。了解更多
The LDAP认证插件的文档包含更多关于配置的信息。
如果您安装了其他插件,它们也将出现在“授权配置”页面上,随时可以设置。
可配置属性
您可以使用以下一项或多项来调整诸如会话配置之类的设置:
| 系统属性名称 | 默认值 | 描述 |
|---|---|---|
go.server.session.timeout.seconds |
1209600(14天) |
空闲会话超时(以秒为单位)。不要将其设置为-1否则会话将永远不会超时。 |
go.sessioncookie.maxage.seconds |
1209600(14天) |
会话cookie的有效期。将其设置为-1以在浏览器关闭时使cookie过期。不要将其设置为0因为这会导致cookie立即过期。 |
go.sessioncookie.secure |
N |
将其设置为Y允许仅在请求通过HTTPS发送时设置会话cookie。如果用户通过HTTP URL访问GoCD,请勿设置此属性。 |
go.security.reauthentication.interval |
1800000(30分钟以毫秒为单位) |
GoCD强制用户定期重新认证,这是为了确保外部授权服务器中的更改(如删除用户或角色)反映到GoCD中。重新认证的时间间隔(以毫秒为单位)由该属性控制。 |
查看“其他配置选项”页面获取有关设置这些系统属性值的说明。
控制用户访问
GoCD检查经过身份验证的用户是现有用户还是新用户(首次登录)。对于新用户,GoCD有两种操作行为:
- 自动在GoCD中注册新用户并继续登录过程。
- 如果用户不是已注册的GoCD用户,则拒绝访问。新用户必须由管理员明确添加。
要切换GoCD服务器的操作模式:
- 以管理员身份登录到GoCD
- 导航到“授权配置”部分
- 为所需的授权配置设置“仅允许已知用户登录”。
对此页面提出编辑建议