3 Gruppi di utenti
Panoramica
I gruppi di utenti consentono di raggruppare gli utenti sia per scopi organizzativi sia per assegnare autorizzazioni ai dati. Le autorizzazioni per la visualizzazione e la configurazione dei dati dei gruppi di host e dei gruppi di template vengono assegnate ai gruppi di utenti, non ai singoli utenti.
Spesso può avere senso separare quali informazioni sono disponibili per un gruppo di utenti e quali per un altro. Questo può essere ottenuto raggruppando gli utenti e assegnando quindi autorizzazioni diverse ai gruppi di host e ai gruppi di template.
Un utente può appartenere a qualsiasi numero di gruppi.
Configurazione
Per configurare un gruppo utenti:
- Vai a Users → User groups
- Fai clic su Create user group (oppure sul nome del gruppo per modificare un gruppo esistente)
- Modifica gli attributi del gruppo nel modulo
La scheda User group contiene gli attributi generali del gruppo:
Tutti i campi obbligatori sono contrassegnati da un asterisco rosso.
| Parameter | Description |
|---|---|
| Group name | Nome univoco del gruppo. |
| Users | Per aggiungere utenti al gruppo, inizia a digitare il nome di un utente esistente. Quando compare il menu a discesa con i nomi utente corrispondenti, scorri verso il basso per selezionare. In alternativa, puoi fare clic sul pulsante Select per selezionare gli utenti in una finestra popup. |
| Frontend access | Modalità di autenticazione degli utenti del gruppo. System default - usa il metodo di autenticazione predefinito (impostato globalmente) Internal - usa l'autenticazione interna di Zabbix (anche se l'autenticazione LDAP è usata globalmente). Ignorato se l'autenticazione HTTP è il valore predefinito globale. LDAP - usa l'autenticazione LDAP (anche se l'autenticazione interna è usata globalmente). Ignorato se l'autenticazione HTTP è il valore predefinito globale. Disabled - l'accesso al frontend di Zabbix è vietato per questo gruppo |
| LDAP server | Seleziona quale LDAP server usare per autenticare l'utente. Questo campo è abilitato solo se Frontend access è impostato su LDAP o System default. |
| Multi-factor authentication | Seleziona quale metodo di autenticazione a più fattori usare per autenticare l'utente: Default - usa il metodo impostato come predefinito nella configurazione MFA; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utenti se MFA è abilitata; <Method name> - usa il metodo selezionato (ad esempio, "Zabbix TOTP"); Disabled - MFA è disabilitata per questo gruppo; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utenti se MFA è disabilitata. Nota che se un utente appartiene a più gruppi utenti con MFA abilitata (o almeno un gruppo ha MFA abilitata), si applicano le seguenti regole di autenticazione: se un gruppo usa il metodo MFA "Default", autenticherà l'utente; in caso contrario, verrà usato per l'autenticazione il primo metodo (ordinato alfabeticamente). |
| Enabled | Stato del gruppo utenti e dei membri del gruppo. Checked - il gruppo utenti e gli utenti sono abilitati Unchecked - il gruppo utenti e gli utenti sono disabilitati |
| Debug mode | Seleziona questa casella di controllo per attivare la modalità debug per gli utenti. |
La scheda Template permissions consente di specificare l'accesso del gruppo utenti ai dati del gruppo template (e quindi del template):
La scheda Host permissions consente di specificare l'accesso del gruppo utenti ai dati del gruppo host (e quindi dell'host):
Fai clic su 
per scegliere i gruppi template/host
(sia un gruppo padre sia un gruppo nidificato) e assegnare le relative autorizzazioni. Inizia a digitare il nome del gruppo
(comparirà un menu a discesa con i gruppi corrispondenti) oppure fai clic su Select per aprire una finestra popup con l'elenco di tutti i gruppi.
Quindi usa i pulsanti delle opzioni per assegnare le autorizzazioni ai gruppi scelti. Le autorizzazioni possibili sono le seguenti:
- Read-write - accesso in lettura e scrittura a un gruppo;
- Read - accesso in sola lettura a un gruppo;
- Deny - accesso a un gruppo negato.
Se lo stesso gruppo template/host viene aggiunto in più righe con autorizzazioni diverse, verrà applicata l'autorizzazione più restrittiva.
Nota che un utente Super admin può imporre ai gruppi nidificati di avere lo stesso livello di autorizzazioni del gruppo padre; ciò può essere fatto nel modulo di configurazione del gruppo host/template.
Le schede Template permissions e Host permissions supportano lo stesso insieme di parametri.
Le autorizzazioni correnti per i gruppi sono visualizzate nel blocco Permissions e possono essere modificate o rimosse.
Se un gruppo utenti ha autorizzazioni Read-write su un host e Deny o nessuna autorizzazione su un template collegato a questo host, gli utenti di tale gruppo non potranno modificare gli item basati su template sull'host e il nome del template verrà visualizzato come Inaccessible template.
La scheda Problem tag filter consente di impostare autorizzazioni basate sui tag per i gruppi utenti, in modo che possano vedere i problemi filtrati per nome e valore del tag:
Fai clic su per scegliere i gruppi host.
Per selezionare un gruppo host a cui applicare un filtro tag, fai clic su Select per ottenere
l'elenco completo dei gruppi host esistenti oppure inizia a digitare il nome di un
gruppo host per visualizzare un menu a discesa con i gruppi corrispondenti. Verranno visualizzati solo i gruppi host, perché il filtro tag dei problemi non può essere applicato ai gruppi template.
Quindi è possibile passare da All tags a Tag list per impostare tag specifici e i relativi valori per il filtro.
È possibile aggiungere nomi di tag senza valori, ma non valori senza nomi. Solo i primi tre tag (con eventuali valori)
sono visualizzati nel blocco Permissions; se ce ne sono altri, possono essere visti facendo clic o passando il mouse sull'icona 
.
Il filtro tag consente di separare l'accesso al gruppo host dalla possibilità di vedere i problemi.
Ad esempio, se un amministratore di database deve vedere solo i problemi del database "MySQL", è necessario creare prima un gruppo utenti per gli amministratori di database, quindi specificare il nome del tag "target" e il valore "mysql".
Se viene specificato il nome del tag "target" e il campo del valore viene lasciato vuoto, il gruppo utenti vedrà tutti i problemi con il nome del tag "target" per il gruppo host selezionato. Se viene selezionato All tags, il gruppo utenti vedrà tutti i problemi per il gruppo host specificato.
Assicurati che il nome del tag e il valore del tag siano specificati correttamente, altrimenti il gruppo utenti non vedrà alcun problema.
Vediamo un esempio in cui un utente è membro di più gruppi utenti selezionati. In questo caso, il filtro utilizzerà una condizione OR per i tag.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Databases | set to: All tags | Databases | target | oracle | All problems visible | |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
L'aggiunta di un filtro (ad esempio, tutti i tag in un determinato gruppo host "Databases") comporta l'impossibilità di vedere i problemi degli altri gruppi host.
Accesso da più gruppi di utenti
Un utente può appartenere a qualsiasi numero di gruppi di utenti. Questi gruppi possono avere diversi permessi di accesso agli host o ai template.
Pertanto, è importante sapere a quali entità un utente senza privilegi potrà accedere come risultato. Ad esempio, consideriamo come l'accesso all'host X (nel gruppo host 1) sarà influenzato in varie situazioni per un utente che appartiene ai gruppi di utenti A e B.
- Se il gruppo A ha solo accesso Read al gruppo host 1, ma il gruppo B ha accesso Read-write al gruppo host 1, l'utente otterrà accesso Read-write a 'X'.
I permessi "Read-write" hanno precedenza sui permessi "Read".
- Nello stesso scenario di cui sopra, se 'X' si trova contemporaneamente anche nel gruppo host 2 che è negato al gruppo A o B, l'accesso a 'X' sarà non disponibile, nonostante l'accesso Read-write al gruppo host 1.
- Se il gruppo A non ha permessi definiti e il gruppo B ha accesso Read-write al gruppo host 1, l'utente otterrà accesso Read-write a 'X'.
- Se il gruppo A ha accesso Deny al gruppo host 1 e il gruppo B ha accesso Read-write al gruppo host 1, l'utente avrà accesso a 'X' negato.
Altri dettagli
- Un utente di livello Admin con accesso Read-write a un host non potrà collegare/scollegare template se non ha accesso al gruppo di template a cui appartengono. Con accesso Read al gruppo di template, potrà collegare/scollegare template all'host; tuttavia, non vedrà alcun template nell'elenco dei template e non potrà operare con i template in altri punti.
- Un utente di livello Admin con accesso Read a un host non vedrà l'host nell'elenco host della sezione di configurazione; tuttavia, i trigger dell'host saranno accessibili nella configurazione dei servizi IT.
- Qualsiasi utente non Super Admin (incluso 'guest') può vedere le mappe di rete purché la mappa sia vuota o contenga solo immagini. Quando host, gruppi di host o trigger vengono aggiunti alla mappa, i permessi vengono rispettati.
- Zabbix server non invierà notifiche agli utenti definiti come destinatari delle operazioni dell'azione se l'accesso all'host interessato è esplicitamente "denied".