3 ユーザグループ

概要

ユーザーグループを使用すると、組織上の目的とデータへの権限割り当ての両方のために、ユーザーをグループ化できます。ホストグループおよびテンプレートグループのデータの閲覧権限と設定権限は、個々のユーザーではなく、ユーザーグループに割り当てられます。

あるユーザーグループに対して利用可能な情報と、別のユーザーグループに対して利用可能な情報を分けることが有効な場合がよくあります。これは、ユーザーをグループ化し、その後ホストグループおよびテンプレートグループに対して異なる権限を割り当てることで実現できます。

ユーザーは任意の数のグループに所属できます。

設定

ユーザーグループを設定するには:

  1. ユーザー > ユーザーグループ に移動します。
  2. ユーザーグループの作成 をクリックします(または、既存のグループを編集するにはグループ名をクリックします)。
  3. フォームでグループ属性を編集します。

ユーザーグループ タブには、グループの一般属性が含まれます:

必須入力フィールドには、赤いアスタリスクが付いています。

Parameter Description
Group name 一意のグループ名。
Users グループにユーザーを追加するには、既存ユーザーの名前を入力し始めます。一致するユーザー名のドロップダウンが表示されたら、スクロールして選択します。
または、Select ボタンをクリックして、ポップアップでユーザーを選択することもできます。
Frontend access グループのユーザーがどのように認証されるか。
System default - デフォルトの認証方式を使用します(全体設定で設定)。
Internal - Zabbix内部認証を使用します(全体でLDAP認証が使用されている場合でも)。
HTTP認証が全体のデフォルトの場合は無視されます。
LDAP - LDAP認証を使用します(全体で内部認証が使用されている場合でも)。
HTTP認証が全体のデフォルトの場合は無視されます。
Disabled - このグループのZabbix Webインターフェースへのアクセスは禁止されます
LDAP server ユーザー認証に使用するLDAP serverを選択します。
このフィールドは、Frontend access が LDAP または System default に設定されている場合にのみ有効です。
Multi-factor authentication ユーザー認証に使用する多要素認証のmethodを選択します:
Default - MFA設定でデフォルトとして設定されている方式を使用します。MFAが有効な新しいユーザーグループでは、このオプションがデフォルトで選択されます。
<Method name> - 選択した方式を使用します(例: "Zabbix TOTP")。
Disabled - このグループではMFAを無効にします。MFAが無効な新しいユーザーグループでは、このオプションがデフォルトで選択されます。
ユーザーがMFA有効の複数のユーザーグループに属している場合(または少なくとも1つのグループでMFAが有効な場合)、次の認証ルールが適用されることに注意してください。いずれかのグループが "Default" MFA方式を使用している場合、その方式でユーザーを認証します。それ以外の場合は、最初の方式(アルファベット順)が認証に使用されます。
Enabled ユーザーグループおよびグループメンバーの状態。
Checked - ユーザーグループとユーザーは有効です
Unchecked - ユーザーグループとユーザーは無効です
Debug mode このチェックボックスをオンにすると、ユーザーに対してdebug modeが有効になります。

テンプレート権限 タブでは、ユーザーグループのテンプレートグループ(ひいてはテンプレート)データへのアクセスを指定できます:

ホスト権限 タブでは、ユーザーグループのホストグループ(ひいてはホスト)データへのアクセスを指定できます:

をクリックして、テンプレート/ホストグループ (親グループでもネストされたグループでも可)を選択し、それらに権限を割り当てます。グループ名の入力を始めると 一致するグループのドロップダウンが表示されます。あるいは、Select をクリックして、すべてのグループを一覧表示するポップアップウィンドウを開きます。

その後、オプションボタンを使用して選択したグループに権限を割り当てます。指定可能な権限は次のとおりです:

  • Read-write - グループへの読み書きアクセス;
  • Read - グループへの読み取り専用アクセス;
  • Deny - グループへのアクセス拒否。

同じテンプレート/ホストグループが異なる権限を設定して複数行に追加されている場合、最も厳しい権限が適用されます。

Super admin ユーザーは、ネストされたグループに親グループと同じ権限レベルを強制できます。これはホスト/テンプレートグループの設定フォームで行えます。

テンプレート権限ホスト権限 タブは、同じパラメータセットをサポートしています。

グループに対する現在の権限は Permissions ブロックに表示され、変更または削除できます。

ユーザーグループがホストに対して Read-write 権限を持ち、そのホストにリンクされたテンプレートに対して Deny または権限なしの場合、 そのグループのユーザーはホスト上のテンプレート化されたアイテムを編集できず、テンプレート名は Inaccessible template と表示されます。

障害タグフィルター タブでは、タグ名と値でフィルタリングされた障害を表示するための、ユーザー グループ向けのタグベース権限を設定できます:

をクリックしてホストグループを選択します。 タグフィルターを適用するホストグループを選択するには、Select をクリックして既存のホストグループの完全な一覧を表示するか、 ホストグループ名の入力を始めて一致するグループのドロップダウンを表示します。テンプレートグループには障害タグフィルターを適用できないため、 表示されるのはホストグループのみです。

その後、All tags から Tag list に切り替えて、フィルタリング対象の特定のタグとその値を設定できます。 値のないタグ名は追加できますが、名前のない値は追加できません。最初の3つのタグ(値がある場合はその値も含む)のみが Permissions ブロックに表示されます。それ以上ある場合は、 アイコンをクリックまたはホバーすると確認できます。

タグフィルターを使用すると、ホストグループへのアクセスと 障害を表示できるかどうかを分離できます。

たとえば、データベース管理者が "MySQL" データベースの障害だけを確認する必要がある場合、まずデータベース管理者用のユーザーグループを作成し、その後 "target" というタグ名と "mysql" という値を指定する必要があります。

"target" タグ名が指定され、値フィールドが空白のままの場合、 ユーザーグループは、選択したホストグループに対してタグ名 "target" を持つすべての障害を表示できます。 All tags が選択されている場合、ユーザーグループは指定したホストグループの すべての障害を表示できます。

タグ名とタグ値が 正しく指定されていることを確認してください。そうでない場合、ユーザーグループは いずれの障害も表示できません。

ユーザーが複数の選択されたユーザーグループのメンバーである場合の例を見てみましょう。 この場合、フィルタリングではタグに対して OR 条件が使用されます。

User group A User group B 両方のグループに属するユーザーに対する表示結果
Tag filter
Host group Tag name Tag value Host group Tag name Tag value
Databases target mysql Databases target oracle target:mysql または target:oracle の障害が表示される
Databases set to: All tags Databases target oracle すべての障害が表示される
Problem tag filter で未設定 Databases target oracle target:oracle の障害が表示される

フィルターを追加すると(たとえば、特定のホストグループ "Databases" に対してすべてのタグを指定した場合)、 他のホストグループの障害は表示できなくなります。

複数のユーザーグループからのアクセス

ユーザーは任意の数のユーザーグループに所属できます。これらのグループは、ホストまたはテンプレートに対して異なるアクセス権限を持つ場合があります。

そのため、結果として権限のないユーザーがどのエンティティにアクセスできるようになるのかを把握することが重要です。たとえば、ユーザーグループ A と B に所属するユーザーについて、ホスト X(Hostgroup 1 内)へのアクセスがさまざまな状況でどのように影響を受けるかを考えてみましょう。

  • もし Group A が Hostgroup 1 に対して Read アクセスのみを持ち、Group B が Hostgroup 1 に対して Read-write アクセスを持つ場合、ユーザーは Read-write アクセスを 'X' に対して取得します。

"Read-write" 権限は "Read" 権限よりも優先されます。

  • 上記と同じ状況で、'X' が同時に Hostgroup 2 にも属しており、その Hostgroup 2 が Group A または B に対して 拒否 されている場合、Hostgroup 1 に対する Read-write アクセスがあっても、'X' へのアクセスは 利用できません
  • Group A に権限が定義されておらず、Group B が Hostgroup 1 に対して Read-write アクセスを持つ場合、ユーザーは 'X' に対して Read-write アクセスを取得します。
  • Group A が Hostgroup 1 に対して Deny アクセスを持ち、Group B が Hostgroup 1 に対して Read-write アクセスを持つ場合、ユーザーの 'X' へのアクセスは 拒否 されます。

その他の詳細

  • ホストへの読み書きアクセス権を持つAdminレベルのユーザーでも、所属するテンプレートグループへのアクセス権がない場合は、テンプレートのリンク/リンク解除はできません。テンプレートグループへの読み取りアクセス権があれば、ホストへのテンプレートのリンク/リンク解除は可能ですが、テンプレート一覧にはテンプレートは表示されず、他の場所でテンプレートを操作することもできません。
  • ホストへの読み取りアクセス権を持つAdminレベルのユーザーは、設定セクションのホスト一覧にそのホストを表示できません。ただし、そのホストのトリガーにはITサービス設定からアクセスできます。
  • Super Admin以外のすべてのユーザー('guest' を含む)は、マップが空であるか、画像のみを含む場合に限り、ネットワークマップを表示できます。ホスト、ホストグループ、またはトリガーがマップに追加されると、権限設定が適用されます。
  • Zabbixサーバーは、対象のホストへのアクセスが明示的に「拒否」されている場合、アクションの実行先受信者として定義されたユーザーに通知を送信しません。