Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Создать OIDC-приложение в Yandex Identity Hub для интеграции с Jenkins

Статья создана
Обновлена 22 апреля 2026 г.

Jenkins — программная система с открытым исходным кодом на Java, предназначенная для обеспечения процесса непрерывной интеграции программного обеспечения.

Чтобы пользователи вашей организации могли аутентифицироваться в Jenkins с помощью технологии единого входа по стандарту OpenID Connect, создайте OIDC-приложение в Yandex Identity Hub и настройте его на стороне Yandex Identity Hub и на стороне Jenkins.

Управлять OIDC-приложениями может пользователь, которому назначена роль organization-manager.oauthApplications.admin или выше.

Примечание

Для интеграции с помощью OIDC для вашего экземпляра Jenkins должен быть настроен публичный домен и корректный SSL-сертификат.

Чтобы дать доступ пользователям вашей организации в Jenkins:

  1. Создайте приложение в Yandex Identity Hub.
  2. Настройте интеграцию.
  3. Убедитесь в корректной работе приложения.

Создайте приложение в Yandex Identity Hub

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Приложения.

  3. В правом верхнем углу страницы нажмите Создать приложение и в открывшемся окне:

    1. Выберите метод единого входа OIDC (OpenID Connect).

    2. В поле Имя задайте имя создаваемого приложения: jenkins-oidc.

    3. В поле Каталог выберите каталог, в котором будет создан OAuth-клиент для приложения.

    4. (Опционально) В поле Описание задайте описание приложения.

    5. (Опционально) Добавьте метки:

      1. Нажмите Добавить метку.
      2. Введите метку в формате ключ: значение.
      3. Нажмите Enter.

    6. Нажмите Создать приложение.

  4. В открывшемся окне на вкладке Обзор в блоке Конфигурация поставщика удостоверений (IdP) скопируйте и сохраните значение параметров ClientID и OpenID Configuration.

  5. Создайте секрет приложения:

    В блоке Секреты приложения нажмите кнопку Добавить секрет и в открывшемся окне:

    1. (Опционально) Добавьте произвольное описание создаваемого секрета.
    2. Нажмите Создать.

    В окне отобразится сгенерированный секрет приложения. Сохраните полученное значение.

    Важно

    После обновления или закрытия страницы с информацией о приложении посмотреть секрет будет невозможно.

    Если вы закрыли или обновили страницу, не сохранив сгенерированный секрет, используйте кнопку Добавить секрет, чтобы создать новый.

    Чтобы удалить секрет, в списке секретов на странице OIDC-приложения в строке с нужным секретом нажмите значок и выберите Удалить.

Настройте интеграцию

Установите плагин OIDC в Jenkins

Чтобы настроить аутентификацию в Jenkins с помощью OIDC, установите плагин OIDC:

  1. Войдите в Jenkins под пользователем с правами администратора.
  2. В меню слева выберите Manage Jenkins > Plugins.
  3. Перейдите на вкладку Available и в строке поиска введите OpenId Connect Authentication.
  4. Найдите плагин OpenId Connect Authentication и установите его, нажав Install.
  5. Дождитесь завершения установки и перезапустите Jenkins, если это потребуется.

После установки плагина в разделе Manage Jenkins > Security появится новый вариант Security RealmLogin with Openid Connect.

Настройте OIDC-приложение на стороне Yandex Identity Hub

Настройте Redirect URI

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Приложения и выберите нужное OIDC-приложение.
  3. Справа сверху нажмите Редактировать и в открывшемся окне:
    1. В поле Redirect URI укажите эндпоинт аутентификации для тестового приложения <адрес_инстанса_jenkins>/securityRealm/finishLogin.
    2. Нажмите Сохранить.

Настройте аутентификацию на стороне Jenkins

  1. Войдите в Jenkins под пользователем с правами администратора.
  2. В меню слева выберите Manage Jenkins > Security.
  3. В разделе Security Realm выберите Login with Openid Connect.
  4. В поле Client id введите значение, скопированное при настройке OIDC-приложения в Yandex Identity Hub в поле ClientID.
  5. В поле Client secret введите значение, скопированное при настройке OIDC-приложения в Yandex Identity Hub в блоке Секреты приложения.
  6. В поле Well-known configuration endpoint введите URL, скопированный при настройке OIDC-приложения в Yandex Identity Hub в поле OpenID Configuration.
  7. Нажмите Advanced и в поле Override scopes введите openid email profile.
  8. Нажмите User fields и заполните поля:
    • User name field name: preferred_username
    • Full name field name: name
    • Email field name: email
  9. Нажмите Save.

Добавьте пользователя

Чтобы пользователи вашей организации могли аутентифицироваться в Jenkins с помощью OIDC-приложения Yandex Identity Hub, необходимо явно добавить в OIDC-приложение нужных пользователей и/или группы пользователей.

Примечание

Управлять пользователями и группами, добавленными в OIDC-приложение, может пользователь, которому назначена роль organization-manager.oidcApplications.userAdmin или выше.

  1. Добавьте пользователей в приложение:

    1. Войдите в сервис Yandex Identity Hub.
    2. На панели слева выберите Приложения и выберите нужное приложение.
    3. Перейдите на вкладку Пользователи и группы.
    4. Нажмите Добавить пользователей.
    5. В открывшемся окне выберите нужного пользователя или группу пользователей.
    6. Нажмите Добавить.

Убедитесь в корректной работе приложения

Чтобы убедиться в корректной работе OIDC-приложения и интеграции с Jenkins, выполните аутентификацию в Jenkins от имени одного из добавленных в приложение пользователей. Для этого:

  1. В браузере перейдите по адресу вашего экземпляра Jenkins.
  2. Вы будете перенаправлены на страницу аутентификации Yandex Cloud. Укажите почту и пароль пользователя, которого вы добавили в приложение. Также у пользователя должна быть указана почта.
  3. Убедитесь, что вы аутентифицировались в Jenkins.
Предыдущая
SAML
Следующая
Использование OAuth2 Proxy для приложений, не поддерживающих SSO