配置连接
- GitHub 应用
一款 GitHub App 是一种集成,允许第三方服务,如 TeamCity,无需保持“服务”用户帐户的情况下连接到 GitHub 仓库。 与 GitHub OAuth 应用程序相比,GitHub 应用程序具有更细粒度的权限,并且授予您对应用程序可以访问的存储库的更多控制权。有关更多信息,请参阅本文: GitHub Apps 和 OAuth Apps 之间的区别。
此外,通过 GitHub App 连接创建的配置可以使用 GitHub Checks Webhook triggers ,替代传统的 VCS 触发器和 Commit Status Publisher 构建功能的组合。
如果您还没有合适的 GitHub App,您可以允许 TeamCity 注册它,并创建一个使用这个新应用程序的连接。 TeamCity 使用 manifests 来注册新的 GitHub Apps。
打开 项目设置并导航到 连接设置选项卡。
单击 添加连接。 请注意,连接只能在其父项目及其子项目中使用。 如果您希望连接在全局范围内可用,请将其添加到 Root项目中。
在 连接类型下拉菜单中选择“GitHub 应用”。 此连接类型适用于常规 GitHub 和 GitHub Enterprise 帐户。
选择 自动 创建模式,允许 TeamCity 从清单中注册 GitHub 应用程序。
指定您的 GitHub 服务器的 URL(不包含 "/用户名")并选择您是否希望此应用发送 post-commit hooks 和 / 或获取您的组织的访问权限。
如果新的 GitHub App 需要提供对组织仓库的访问权限,请将 Owner 设置切换到 Organization ,并在相应的字段中输入组织名称。
按照屏幕上的指示登录您的 GitHub 帐户,授权 TeamCity 注册应用,并将其安装到您的个人和/或组织帐户。
要手动创建新的 GitHub 应用并配置使用此应用的 TeamCity 连接:
重复上述列表中的步骤 1 至 3。
将连接的创建模式切换为 手动。
确保启用 Enable unique callback URL设置,以生成添加到您的回调 URL 的唯一 ID。 此设置通过降低混淆攻击的风险来增强您的设置安全性:攻击者利用恶意授权服务器伪装成真实的授权服务器,诱骗目标客户端泄露授权代码(令牌)。 使用
/oauth/githubapp/rid:your-unique-id/accessToken.htmlURL 格式可确保攻击者无法手动伪造得到 TeamCity 认可的地址。note
每当您打开或关闭此设置时,回调 URL 会发生变化。 在 VCS 端更新 OAuth 设置。
每个连接的 ID 都是唯一的,包括现有连接的副本。 如果您在启用了此设置的情况下克隆连接,请记得更新您的 VCS OAuth 设置。
在另一个浏览器标签页中,导航到您的 GitHub 帐户,按照 TeamCity 连接描述中的指示创建一个新的应用。 请注意,GitHub 在此过程中将生成一个私钥 —— 请将此
.private-key.pem文件保存在安全位置。打开您的 GitHub 应用的通用设置。 复制所需的值(App ID,client ID,client secret)并将它们粘贴到 TeamCity 对话框中。
如果您配置了一个 GitHub App webhook ,请设置其密钥,并将相同的值复制到 Webhook secret 字段。 GitHub 可以使用此 webhook 向 TeamCity 服务器发送通知,当库中发生改变时,应扫描该库,而不是让服务器不断地向 GitHub 轮询以获取变化。 另请参见: 配置 VCS 提交后挂钩。
输入所有者网址 —— 即该 GitHub App 安装的个人帐户或组织的链接。
上传由 GitHub 发送的私钥。
单击 Test connection以验证 TeamCity 是否可以访问您的资源,并保存您的新连接。
note
在您使用依赖 GitHub App 连接的功能(例如,创建新的项目或更新 Fetch URL)之前,TeamCity 需要您先登录到您的 GitHub 帐户。 可刷新访问令牌的权限取决于 GitHub 应用设置中的权限设置,以及您当前的 GitHub 用户的权限。 在权限不匹配的情况下,将使用最低的权限,而某些 TeamCity 功能可能无法使用。
例如,如果您的 GitHub 用户没有写入权限,那么将会以只读权限发放访问令牌。 因此,您配置的 Commit Status Publisher 特性将无法成功发布构建状态。
warning
TeamCity 目前为 GitHub App 连接发出单一仓库访问令牌。 因此,如果您的 GitHub 仓库包含有 submodules ,TeamCity 无法访问这些外部仓库。
- GitHub OAuth 应用程序
OAuth 应用程序生成用户访问令牌,并允许第三方服务如 TeamCity 代表获得授权的用户执行操作。
要创建一个利用 GitHub OAuth 应用的 TeamCity 连接:
打开 项目设置并导航到 连接设置选项卡。
单击 添加连接。 请注意,连接只能在其父项目及其子项目中使用。 如果您希望连接在全局范围内可用,请将其添加到 Root项目中。
在 连接类型下拉菜单中选择“GitHub.com 或 GitHub Enterprise”。
如果您还没有 GitHub OAuth 应用程序,请按照 TeamCity 的指示来 创建一个新的。
从 OAuth 应用的设置中复制客户端 ID 和密钥,然后粘贴到 TeamCity 对话框中。 对于 GitHub Enterprise,您还需要粘贴 GitHub 服务器的 URL。
单击 Test connection以验证 TeamCity 是否可以访问您的资源,并保存您的新连接。
note
如果您启用了 GitHub.com 认证 模块,并希望将 TeamCity 的访问权限限制为特定 GitHub 组织的用户,您需要确保所有这些组织都允许您的 OAuth 应用。 默认情况下,GitHub 不允许 OAuth 应用访问组织。 您可以为所有应用程序禁用此限制,或者只批准在每个所需组织中的 TeamCity 应用程序。 参考 GitHub 文档 以获取更多详情。
note
当您的 GitHub Enterprise 服务器配置了 HTTPS 端点时,如果端点的证书不是由知名商业认证机构颁发的,则连接可能会失败。 在这种情况下,您应该按照 这些说明更新 TeamCity 服务器的受信任证书。
note
请注意,如果您的 TeamCity 服务器托管在具有关联 IAM 角色的 AWS 实例上,该角色授予访问敏感资源的权限,使用 默认提供链凭据可能会带来安全风险:在这种情况下,配置此类连接的 TeamCity 项目管理员可以访问角色允许的所有 AWS 资源。
为降低此风险,默认禁用 默认凭据提供程序链 凭据类型。 要启用它,请设置 内部属性
teamcity.internal.aws.connection.defaultCredentialsProviderEnabled=true(默认值为false)。设置属性后,无需重新启动服务器。
在 AWS 管理控制台中,转到 IAM 仪表板并导航到 角色 选项卡。
创建一个新的 IAM 角色 不附带任何权限。 我们将把这个角色称为 "角色A"。
将您的 TeamCity 服务器机器配置为使用此角色而不是本地存储的凭证来访问 AWS。 根据您的机器的具体类型,所需步骤可能会有所不同。
在 TeamCity 中,创建一个新的 默认凭据提供程序链 类型的 AWS 连接。 按 测试连接 以确保 TeamCity 使用您的空“Role A”。
如果希望子项目能够访问此新连接,请勾选 可用于子项目 选项。 否则,只有拥有此连接的同一项目才能使用它。
创建第二个 IAM 角色 ("角色 B") ,赋予其访问 AWS 资源 (例如,EC2 实例或 S3 桶) 所需的权限。
修改此新角色 B 的 信任关系 以允许角色 A 承担它。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "your-Role-A-ARN" }, "Action": "sts:AssumeRole" } ] }在需要访问 AWS 资源的 TeamCity 项目中,创建另一个 AWS 连接。
类型 — “IAM Role”。
AWS 连接 — 在步骤 4 中创建的连接。
角色 ARN — “Role B”的 ARN。
请注意,如果您在拥有主“默认凭据提供链”连接的项目的子项目中配置此新连接,则必须启用此主连接的 可用于子项目 设置(请参见第 5 步)。
单击 测试连接 以确保 TeamCity 可以承担 角色 B。
Running STS get-caller-identity... Caller Identity: Account ID: <your account ID> User ID: <user ID:session> ARN: <Role B ARN>保存您的新连接并重新打开它。 您现在应该可以看到连接的 外部 ID 值。
返回角色 B 的 信任关系 并添加额外条件:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "your-Role-A-ARN" }, "Condition": { "StringEquals": { "sts:ExternalId": "External-ID-copied-from-TeamCity" } }, "Action": "sts:AssumeRole" } ] }
主要 默认凭据提供程序链 连接不需要本地存储的凭据。
这个共享的主要连接没有任何访问权限。 要访问 AWS 资源,需要假设其他 IAM 角色。
由于在第11步中配置的条件,只有配置了“IAM Role”的TeamCity连接才能假定具有实际访问权限的角色。 TeamCity 管理员不能创建更多使用这些角色的连接。
为了创建更多可以访问 Amazon 资源的连接,您的 AWS 管理员必须添加额外的条件,将这些新连接的外部 ID 添加到白名单中。
tip
如果您正在寻找如何将 JetBrains Space 实例与 TeamCity 集成的信息,请查看此 完整集成指南!
打开 项目设置并导航到 连接设置选项卡。
单击 添加连接。 请注意,连接只能在其父项目及其子项目中使用。 如果您希望连接在全局范围内可用,请将其添加到 Root项目中。
在 连接类型下拉菜单中选择“JetBrains Space”。
在 创建模式 下选择 自动:组织连接。
输入新连接的名称并单击 创建 Space 应用程序。
TeamCity 将打开一个单独的浏览器窗口,允许您选择所需的 Space 实例:
Space Cloud — 单击所需 Space Cloud 实例旁边的 安装 ,或者如果您当前使用其他用户帐户登录,请单击 尝试另一个电子邮件。
Space On-Premises — 输入 Space 组织 URL 并单击 安装。
输入 Space 应用的名称和可选描述,然后单击 安装。
note
请注意,TeamCity 从 Administration | General settings 检索服务器 URL,并将此 URL 作为新创建的 Space 应用的端点。 在应用程序安装后,您将无法更新此端点,因此请验证 TeamCity 是否使用了正确的 URL。
单击 批准所有并返回 TeamCity 以授予新安装的 Space 应用所需的权限。
Thanks for your feedback!