次のオブジェクトは、userdirectory
APIに直接関連しています。
ユーザー ディレクトリ オブジェクトには次のプロパティがあります。
プロパティ | Type | Description |
---|---|---|
userdirectoryid | ID | ユーザー ディレクトリの ID ユーザー ディレクトリが削除されると、削除されたユーザー ディレクトリにリンクされているすべてのユーザーの User オブジェクト プロパティ userdirectoryid の値が"0"に設定されます。プロパティの動作: - 読み取り専用 - 更新操作に必須 |
idp_type | integer | ユーザー ディレクトリの ID プロバイダーが使用する認証プロトコルのタイプ SAML タイプのユーザー ディレクトリは 1 つだけ存在できることに注意してください。 可能な値: 1 - LDAP タイプのユーザー ディレクトリ 2 - SAML タイプのユーザー ディレクトリ プロパティの動作: - 作成操作には 必須 |
group_name | 文字列 | LDAP/SAML ユーザー ディレクトリ属性。LDAP/SAML ユーザー ディレクトリと Zabbix 間でグループをマッピングするために使用されるグループ名が含まれます。 例: cn プロパティの動作: - provision_status が "有効" に設定され、認証オブジェクト の saml_jit_status が "構成された SAML IdP に対して有効" に設定されている場合には 必須 |
user_username | 文字列 | LDAP/SAML ユーザー ディレクトリ属性 (scim_status が"SCIM プロビジョニングが有効"に設定されている場合は SCIM 属性)ユーザーがプロビジョニングされるときに ユーザー オブジェクト プロパティ name の値として使用されるユーザーの名前が含まれます。例: cn、commonName、displayName、name |
user_lastname | 文字列 | LDAP/SAML ユーザー ディレクトリ属性 (scim_status が"SCIM プロビジョニングが有効"に設定されている場合は SCIM 属性)ユーザーのプロビジョニング時に ユーザー オブジェクト プロパティ surname の値として使用されるユーザーの姓が含まれます。例: sn、surname、lastName |
provision_status | 整数 | ユーザー ディレクトリのプロビジョニング ステータス 可能な値: 0 - (デフォルト) 無効 (このユーザー ディレクトリによって作成されたユーザーのプロビジョニングは無効です); 1 - 有効 (このユーザー ディレクトリによって作成されたユーザーのプロビジョニングは有効です。さらに、LDAP または SAML プロビジョニングのステータス (認証オブジェクト) の ldap_jit_status または saml_jit_status ) が有効になっている必要があります。) |
provision_groups | array | LDAP/SAML ユーザー グループ パターンを Zabbix ユーザー グループおよびユーザー ロールにマッピングするための プロビジョニング グループ マッピング オブジェクトの配列 プロパティの動作: - provision_status が "Enabled" に設定されている場合は 必須 |
provision_media | array | 通知を送信するためにユーザーのLDAP/SAMLメディア属性(例:電子メール)をZabbixユーザーメディアにマッピングするためのメディアタイプマッピングオブジェクトの配列 |
LDAP固有のプロパティ: | ||
name | 文字列 | ユーザー ディレクトリの一意の名前 プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合は 必須 |
host | 文字列 | LDAP サーバーのホスト名、IP、または URI URI には、スキーマ ( ldap:// または ldaps:// )、ホスト、およびポート (オプション) が含まれている必要があります。例: host.example.com 127.0.0.1 ldap://ldap.example.com:389 プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合は 必須 |
port | 整数 | LDAP サーバーのポート。 プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合は 必須 |
base_dn | 文字列 | ユーザー アカウントへの LDAP ユーザー ディレクトリ ベース パス 例: ou=Users,dc=example,dc=org ou=Users,ou=system (OpenLDAP の場合) DC=company,DC=com (Microsoft Active Directory の場合) uid=%{user},dc=example,dc=com (直接ユーザー バインディングの場合。プレースホルダー "%{user}" は必須です) プロパティの動作: - idp_type が "User directory of type LDAP" に設定されている場合は 必須 |
search_attribute | 文字列 | ログイン要求で提供された情報からユーザー アカウントを識別するための LDAP ユーザー ディレクトリ属性 例: uid (OpenLDAP の場合) sAMAccountName (Microsoft Active Directory の場合) プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合は 必須 |
bind_dn | 文字列 | LDAP サーバーを介したバインドと検索に使用する LDAP サーバー アカウント 直接ユーザー バインドおよび匿名バインドの場合、 bind_dn は空にする必要があります。例: uid=ldap_search、ou=system (OpenLDAP の場合) CN=ldap_search、OU=user_group、DC=company、DC=com (Microsoft Active Directory の場合) CN=Admin、OU=Users、OU=Zabbix、DC=zbx、DC=local プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ" に設定されている場合に サポートされます |
bind_password | 文字列 | LDAP サーバーを介してバインドおよび検索するためのアカウントの LDAP パスワード 直接ユーザー バインドおよび匿名バインドの場合、 bind_password は空にする必要があります。プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。 |
description | 文字列 | ユーザー ディレクトリの説明 プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。 |
group_basedn | 文字列 | LDAP ユーザー ディレクトリのグループへの基本パス。LDAP ユーザー ディレクトリでユーザー メンバーシップ チェックを構成するために使用されます。group_membership が設定されている場合、ユーザーのプロビジョニング時に無視されます。例: ou=Groups,dc=example,dc=com プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。 |
group_filter | 文字列 | ユーザーがメンバーとなっている LDAP ユーザー ディレクトリ グループを取得するためのフィルター文字列。 LDAPユーザーディレクトリのユーザーメンバーシップチェックを構成するために使用されます。group_membership が設定されている場合、ユーザーのプロビジョニング時に無視されます。サポートされている group_filter プレースホルダー:%{attr} - 検索属性 ( search_attribute プロパティ値に置き換えられます);%{groupattr} - グループ属性 ( group_member プロパティ値に置き換えられます);%{host} - LDAPサーバーのホスト名、IP、またはURI ( host プロパティ値に置き換えられます);%{user} - Zabbixユーザーのユーザー名。 デフォルト: (%{groupattr}=%{user}) 例: - (member=uid=%{ref},ou=Users,dc=example,dc=com) は、LDAPグループオブジェクトに次の文字列が含まれている場合、"User1"と一致します。 "member"属性の値が"uid=User1,ou=Users,dc=example,dc=com"であり、"User1"がメンバーであるグループを返します。 - (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) は、LDAP グループ オブジェクトに group_member プロパティで指定された属性の値が"cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com"である場合に"User1"と一致し、"User1"がメンバーであるグループを返します。プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。 |
group_member | 文字列 | グループ メンバーに関する情報を含む LDAP ユーザー ディレクトリ属性。LDAP ユーザー ディレクトリでユーザー メンバーシップ チェックを構成するために使用されます。group_membership が設定されている場合、ユーザーのプロビジョニング時に無視されます。プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合は サポート されます。 |
group_membership | 文字列 | ユーザーが所属するグループに関する情報を含む LDAP ユーザー ディレクトリ属性 例: memberOf プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。 |
search_filter | 文字列 | ログイン要求で提供された情報に基づいて、LDAP ユーザー ディレクトリ内のユーザーを検索および認証するために使用されるカスタム フィルター文字列 サポートされている search_filter プレースホルダー:%{attr} - 検索属性名 (例: uid、sAMAccountName); %{user} - Zabbix ユーザーのユーザー名 デフォルト: (%{attr}=%{user}) プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"設定されている場合に サポート されます。 |
start_tls | 整数 | LDAP サーバー構成オプション。トランスポート層セキュリティ (TLS) を使用して LDAP サーバーとの通信をセキュリティで保護します。ldaps:// プロトコルを使用するホストでは、start_tls を"無効"に設定する必要があることに注意してください。可能な値: 0 - (デフォルト) 無効; 1 - 有効。 プロパティの動作: - idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。 |
user_ref_attr | 文字列 | ユーザーオブジェクトを参照するために使用されるLDAPユーザーディレクトリ属性。user_ref_attr の値は、ユーザーディレクトリ内の指定された属性から値を取得し、group_filter 文字列の%{ref}プレースホルダーの代わりに配置するために使用されます。例: cn、uid、member、uniqueMember プロパティの動作: - idp_type が"LDAPタイプのユーザーディレクトリ"に設定されている場合に サポートされます。 |
SAML固有のプロパティ: | ||
idp_entityid | 文字列 | アイデンティティプロバイダーを識別し、SAML メッセージでアイデンティティプロバイダーと通信するために使用される URI 例: https://idp.example.com/idp プロパティの動作: - idp_type が"SAML タイプのユーザーディレクトリ"に設定されている場合 必須 |
sp_entityid | 文字列 | アイデンティティプロバイダのサービスプロバイダを識別する URL または任意の文字列 例: https://idp.example.com/sp zabbix プロパティの動作: - idp_type が"SAML タイプのユーザーディレクトリ"に設定されている場合 必須 |
username_attribute | 文字列 | 認証時にユーザーオブジェクトプロパティusername の値と比較されるユーザーのユーザー名を含むSAMLユーザーディレクトリ属性(scim_status が"SCIMプロビジョニングが有効"に設定されている場合はSCIM属性)例: uid、userprincipalname、samaccountname、username、userusername、urn:oid:0.9.2342.19200300.100.1.1、urn:oid:1.3.6.1.4.1.5923.1.1.1.13、urn:oid:0.9.2342.19200300.100.1.44 プロパティ動作: - idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合は 必須 |
sso_url | 文字列 | Zabbix が SAML 認証リクエストを送信する、アイデンティティ プロバイダーの SAML シングル サインオン サービスの URL 例: http://idp.example.com/idp/sso/saml プロパティの動作: - idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合 必須 |
slo_url | 文字列 | Zabbix が SAML ログアウト要求を送信する、アイデンティティ プロバイダーの SAML シングル ログアウト サービスの URL。 例: https://idp.example.com/idp/slo/saml プロパティの動作: - idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。 |
encrypt_nameid | 整数 | SAML 名前 ID の暗号化 可能な値: 0 - (デフォルト) 名前 ID を暗号化しない 1 - 名前 ID を暗号化する プロパティの動作: - idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。 |
encrypt_assertions | 整数 | SAML アサーションの暗号化 可能な値: 0 - (デフォルト) アサーションを暗号化しない。 1 - アサーションを暗号化する。 プロパティの動作: - idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。 |
nameid_format | 文字列 | SAML アイデンティティ プロバイダーのサービス プロバイダーの名前 ID 形式 例: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:entity プロパティの動作: - idp_type が"タイプ SAML のユーザー ディレクトリ"に設定されている場合に サポート されます。 |
scim_status | 整数 | SAML の SCIM プロビジョニングの有効無効 可能な値: 0 - (デフォルト) SCIM プロビジョニングは無効 1 - SCIM プロビジョニングは有効 プロパティの動作: - idp_type が"タイプ SAML のユーザー ディレクトリ"に設定されている場合に サポート されます。 |
sign_assertions | integer | SAML アサーションを SAML 署名で署名するか 可能な値: 0 - (デフォルト) アサーションに署名しません。 1 - アサーションに署名します。 プロパティの動作: - idp_type が"タイプ SAML のユーザー ディレクトリ"に設定されている場合に サポート されます。 |
sign_authn_requests | 整数 | SAML AuthN リクエストを SAML 署名で署名するか。 可能な値: 0 - (デフォルト) AuthN リクエストに署名しません。 1 - AuthN リクエストに署名します。 プロパティの動作: - idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合 サポート されます。 |
sign_messages | 整数 | SAML メッセージを SAML 署名で署名するかどうか。 可能な値: 0 - (デフォルト) メッセージに署名しない。 1 - メッセージに署名する。 プロパティの動作: - idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。 |
sign_logout_requests | 整数 | SAML ログアウト リクエストを SAML 署名で署名するかどうか。 可能な値: 0 - (デフォルト) ログアウト リクエストに署名しません。 1 - ログアウト リクエストに署名します。 プロパティの動作: - idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合 サポート されます。 |
sign_logout_responses | 整数 | SAML ログアウト応答を SAML 署名で署名するかどうか。 可能な値: 0 - (デフォルト) ログアウト応答に署名しません。 1 - ログアウト応答に署名します。 プロパティの動作: - サポート idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合 サポート されます。 |
メディアタイプマッピングオブジェクトには、以下のプロパティがあります。
プロパティ | タイプ | 説明 |
---|---|---|
userdirectory_mediaid | ID | メディアタイプマッピングID プロパティの動作: - 読み取り専用 |
name | 文字列 | メディアタイプマッピングのリストに表示される名前 プロパティの動作: - 必須 |
mediatypeid | ID | 作成するメディアタイプのID メディア オブジェクト プロパティ mediatypeid の値として使用されます。プロパティの動作: - 必須 |
attribute | string | LDAP/SAML ユーザーディレクトリ属性(scim_status が"SCIM プロビジョニングが有効"に設定されている場合は SCIM 属性)で、ユーザーのメディア(例:[email protected])が含まれます。このメディアは、メディアオブジェクト プロパティ sendto の値として使用されます。LDAP/SAML アイデンティティプロバイダーから受信したデータに存在し、値が空でない場合、プロビジョニングされたユーザーのメディア作成がトリガーされます。 プロパティの動作: - 必須 |
active | integer | プロビジョニングされたユーザーのメディアが作成されるときのユーザーメディアの active プロパティ値可能な値: 0 - (デフォルト) 有効; 1 - 無効 |
severity | 整数 | プロビジョニングされたユーザーに対してメディアが作成される際のユーザーメディアのseverity プロパティ値デフォルト: 63 |
period | 文字列 | プロビジョニングされたユーザーに対してメディアが作成される際のユーザーメディアのperiod プロパティ値デフォルト: 1~7、00:00~24:00 |
プロビジョニンググループのマッピングには、以下のプロパティがあります。
プロパティ | タイプ | 説明 |
---|---|---|
name | string | LDAP/SAMLユーザーディレクトリ(scim_status が"SCIMプロビジョニングが有効"に設定されている場合はSCIMも)内のグループのフルネーム(例:Zabbix administrators)ワイルドカード文字"*"をサポートします。 すべてのプロビジョニンググループのマッピングで一意です。 プロパティの動作: - 必須 |
roleid | ID | ユーザーに割り当てるユーザーロールのID 複数のプロビジョニンググループマッピングが一致した場合、最も高いユーザータイプ(User、Admin、またはSuper admin)のロールがユーザーに割り当てられます。同じユーザータイプのロールが複数ある場合は、最初のロール(アルファベット順)がユーザーに割り当てられます。 プロパティの動作: - 必須 |
user_groups | array | ZabbixユーザーグループIDオブジェクトの配列各オブジェクトには次のプロパティがあります:usrgrpid - (ID) ユーザーに割り当てる Zabbix ユーザー グループの ID複数のプロビジョニング グループ マッピングが一致する場合、一致したすべてのマッピングの Zabbix ユーザー グループがユーザーに割り当てられます。 プロパティの動作: - 必須 |