---
title: "CTP Topic 11 AD Integration and Login using AD accounts"
type: source
tags:
  - AWS
  - AD
  - IAM
  - SSO
  - CTP
date: 2026-04-14
---

## Source File

- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-11-ad-integration-and-login-using-ad-accounts.md]]

## Summary

- 核心主题：Jenkins 与 Active Directory 集成实现自动登录，以及 CI/CD 流水线自动化安全检查
- 问题域：DevOps 身份认证、基础设施代码质量控制
- 方法/机制：AD 集成实现用户自动认证，pre-commit 框架嵌入 terraform fmt、TFLint、Checkov 工具
- 结论/价值：简化用户入职/离职的账号管理，自动化检测"坏代码"和安全漏洞，提升 IaC 安全性和稳定性

## Key Claims

- AD 集成后无需手动创建本地用户，实现基于 AD 账号的自动登录
- 下一步将利用 AD 组策略实现 RBAC 权限管理（只读、读写、流水线创建权限）
- pre-commit 框架在代码提交阶段执行 terraform fmt、TFLint、Checkov 三大检查
- 分层治理模式：Commit 阶段仅自动化检查 → PR 阶段执行检查+terraform plan → 合并后人工审核+terraform apply

## Key Quotes

> "通过 AD 集成，团队告别了过去手动创建本地用户的繁琐流程，实现了基于 AD 账号的自动登录。这不仅简化了用户入职与离职的账号管理，还为未来实施基于角色的访问控制（RBAC）奠定了基础。"

> "pre-commit 框架用于管理和维护多语言预提交钩子，在代码提交至仓库前识别简单问题。"

> "工作流设计强调'左移'思想：在功能分支的每次提交时仅触发自动化检查；在 PR 阶段触发检查与 terraform plan；只有在代码合并至 Master 分支并经过人工审核后，才会执行最终的 terraform apply。"

## Key Concepts

- [[AD Integration]]：将 Jenkins 安全域与企业 AD 关联，实现用户身份统一认证
- [[RBAC]]：基于角色的访问控制，通过 AD 组策略决定用户在 Jenkins 中的操作权限
- [[Pre-commit Framework]]：管理预提交钩子的框架，提交前自动检查代码
- [[terraform fmt]]：Terraform 内置格式化工具，统一代码风格
- [[TFLint]]：Terraform 静态分析工具，检查代码错误、过时语法、缺失参数
- [[Checkov]]：IaC 安全扫描工具，检测安全配置错误
- [[Static Analysis]]：静态分析，不运行代码而检查潜在错误/漏洞
- [[CI/CD 左移]]：在流水线早期阶段嵌入质量门禁

## Key Entities

- [[Jenkins]]：开源自动化服务器，用于 CI/CD
- [[Niranjan]]：本次 DevOps Cloud Learning Session 主讲人

## Connections

- [[Jenkins]] ← 使用 ← [[AD Integration]]
- [[AD Integration]] → 依赖 → [[Active Directory]]
- [[Pre-commit Framework]] → 调用 → [[terraform fmt]]
- [[Pre-commit Framework]] → 调用 → [[TFLint]]
- [[Pre-commit Framework]] → 调用 → [[Checkov]]
- [[CI/CD 左移]] → 包含 → [[Pre-commit Framework]]

## Contradictions

- （暂无）