Всем привет! Кто-нибудь сталкивался с проблемой разделения админских прав в Jira. Условно,

есть команда саппорта пользователей, которая должна только выдавать доступы, то есть накидывать группы или роли в проектах, остальное админит команда поддержки продуктов атлассиан.
Из коробки нельзя наделить конкретных пользователей/групп правами связанных только с юзер менеджментом, а очень бы хотелось.
Есть какие-то проверенные варианты решения данного вопроса?)

Для групп есть AD и тамошние админы/техпо. Для ролей есть админы проектов. Для грамотной настройки схем прав доступов есть админы жиры.

Делал SIL гаджет на «закрытый» дашборд ;)

Какой инструмент/плагин используете для матчинга групп AD-Jira?

Можно подробнее? Как это работает?)

Стандартный - User Directories.

Ну была задача наградить правами определенный круг лиц. Чтобы могли в любом проекте раздавать/забирать роли пользовательские. Написал сил гаджеты: -позволяет получить актуальный перечень пользователей и ролей. -позволяет изменять состав ролей/лида проекта -позволяет создавать проекты К столу доступ определенным лицам. К гаджету тоже. В итоге «они» не админы джиры, но вышеперечисленные действия выполнить могут ;) Дашик назвал: «Админские печеньки» 😃

В стандартном через LDAP пользователи авторизуются и могут получать группы в jira по умолчанию, но это группы в Jira, а как подтягивать группы из AD? Такой синхронизации не увидел из коробки

Звучит круто, мы пока так делать не умеем))

В настройках коннектора вы указываете фильтр как пользователей, так и групп. По умолчанию грузятся все группы AD, если настройки стандартные.

Хм, нужно покурить сильнее эту тему, спасибо!

Судя по всему группы транслировать всё-таки там нельзя: JIRA can use LDAP for user authentication only. To be able to log in to JIRA with this configuration, users must either be created first in JIRA, or the option 'Copy User on First Login' can be checked to automatically add them to JIRA's internal directory. Copied users can subsequently be modified in JIRA, but modifications will not be reflected on the LDAP server. Groups and memberships from the LDAP server will not be used. However, users from LDAP can be added to groups maintained in JIRA's internal directory.

Можно. Как у меня тогда они все грузятся из домена?)

Можно У нас тоже группы в жире из ад тянутся И доступы на уровне ад разруливаются

Естественно что при подключении АД всё будет рулиться там и интернал учетки придется убирать

Можно и то и то использовать

А можно скрин где этот фильтр настраивается и где группы можно подтянуть? Чёт со всем не по глазам((

https://community.atlassian.com/t5/Jira-articles/Integrate-Jira-Confluence-with-Active-directory/ba-p/1623474

Ник.
При добавлении новой директории АД Group Schema Se...

Не вижу настройки, есть только галка synchronise group memberships

Спасибо, покурю

Group object filter

там главное правильно прописать параметры лдапа, которые ты всегда можешь глянуть на своем серваке, ну и примеры в стать на вполне стандартные настройки и подходят в 95% случаев