User directoryオブジェクト

次のオブジェクトは、userdirectoryAPIに直接関連しています。

ユーザーディレクトリ

ユーザー ディレクトリ オブジェクトには次のプロパティがあります。

プロパティ Type Description
userdirectoryid ID ユーザー ディレクトリの ID

ユーザー ディレクトリが削除されると、削除されたユーザー ディレクトリにリンクされているすべてのユーザーの User オブジェクト プロパティ userdirectoryid の値が"0"に設定されます。

プロパティの動作:
- 読み取り専用
- 更新操作に必須
idp_type integer ユーザー ディレクトリの ID プロバイダーが使用する認証プロトコルのタイプ
SAML タイプのユーザー ディレクトリは 1 つだけ存在できることに注意してください。

可能な値:
1 - LDAP タイプのユーザー ディレクトリ
2 - SAML タイプのユーザー ディレクトリ

プロパティの動作:
- 作成操作には 必須
group_name 文字列 LDAP/SAML ユーザー ディレクトリ属性。LDAP/SAML ユーザー ディレクトリと Zabbix 間でグループをマッピングするために使用されるグループ名が含まれます。

例: cn

プロパティの動作:
- provision_status が "有効" に設定され、認証オブジェクトsaml_jit_status が "構成された SAML IdP に対して有効" に設定されている場合には 必須
user_username 文字列 LDAP/SAML ユーザー ディレクトリ属性 (scim_status が"SCIM プロビジョニングが有効"に設定されている場合は SCIM 属性)ユーザーがプロビジョニングされるときに ユーザー オブジェクト プロパティ name の値として使用されるユーザーの名前が含まれます。

例: cncommonNamedisplayNamename
user_lastname 文字列 LDAP/SAML ユーザー ディレクトリ属性 (scim_status が"SCIM プロビジョニングが有効"に設定されている場合は SCIM 属性)ユーザーのプロビジョニング時に ユーザー オブジェクト プロパティ surname の値として使用されるユーザーの姓が含まれます。

例: snsurnamelastName
provision_status 整数 ユーザー ディレクトリのプロビジョニング ステータス

可能な値:
0 - (デフォルト) 無効 (このユーザー ディレクトリによって作成されたユーザーのプロビジョニングは無効です);
1 - 有効 (このユーザー ディレクトリによって作成されたユーザーのプロビジョニングは有効です。さらに、LDAP または SAML プロビジョニングのステータス (認証オブジェクト) の ldap_jit_status または saml_jit_status) が有効になっている必要があります。)
provision_groups array LDAP/SAML ユーザー グループ パターンを Zabbix ユーザー グループおよびユーザー ロールにマッピングするための プロビジョニング グループ マッピング オブジェクトの配列

プロパティの動作:
- provision_status が "Enabled" に設定されている場合は 必須
provision_media array 通知を送信するためにユーザーのLDAP/SAMLメディア属性(例:電子メール)をZabbixユーザーメディアにマッピングするためのメディアタイプマッピングオブジェクトの配列
LDAP固有のプロパティ:
name 文字列 ユーザー ディレクトリの一意の名前

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合は 必須
host 文字列 LDAP サーバーのホスト名、IP、または URI
URI には、スキーマ (ldap:// または ldaps://)、ホスト、およびポート (オプション) が含まれている必要があります。

例:
host.example.com
127.0.0.1
ldap://ldap.example.com:389

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合は 必須
port 整数 LDAP サーバーのポート。

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合は 必須
base_dn 文字列 ユーザー アカウントへの LDAP ユーザー ディレクトリ ベース パス

例:
ou=Users,dc=example,dc=org
ou=Users,ou=system (OpenLDAP の場合)
DC=company,DC=com (Microsoft Active Directory の場合)
uid=%{user},dc=example,dc=com (直接ユーザー バインディングの場合。プレースホルダー "%{user}" は必須です)

プロパティの動作:
- idp_type が "User directory of type LDAP" に設定されている場合は 必須
search_attribute 文字列 ログイン要求で提供された情報からユーザー アカウントを識別するための LDAP ユーザー ディレクトリ属性

例:
uid (OpenLDAP の場合)
sAMAccountName (Microsoft Active Directory の場合)

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合は 必須
bind_dn 文字列 LDAP サーバーを介したバインドと検索に使用する LDAP サーバー アカウント

直接ユーザー バインドおよび匿名バインドの場合、bind_dn は空にする必要があります。

例:
uid=ldap_search、ou=system (OpenLDAP の場合)
CN=ldap_search、OU=user_group、DC=company、DC=com (Microsoft Active Directory の場合)
CN=Admin、OU=Users、OU=Zabbix、DC=zbx、DC=local

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ" に設定されている場合に サポートされます
bind_password 文字列 LDAP サーバーを介してバインドおよび検索するためのアカウントの LDAP パスワード

直接ユーザー バインドおよび匿名バインドの場合、bind_password は空にする必要があります。

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。
description 文字列 ユーザー ディレクトリの説明

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。
group_basedn 文字列 LDAP ユーザー ディレクトリのグループへの基本パス。LDAP ユーザー ディレクトリでユーザー メンバーシップ チェックを構成するために使用されます。

group_membership が設定されている場合、ユーザーのプロビジョニング時に無視されます。

例: ou=Groups,dc=example,dc=com

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。
group_filter 文字列 ユーザーがメンバーとなっている LDAP ユーザー ディレクトリ グループを取得するためのフィルター文字列。 LDAPユーザーディレクトリのユーザーメンバーシップチェックを構成するために使用されます。

group_membershipが設定されている場合、ユーザーのプロビジョニング時に無視されます。

サポートされているgroup_filterプレースホルダー:
%{attr} - 検索属性 (search_attributeプロパティ値に置き換えられます);
%{groupattr} - グループ属性 (group_memberプロパティ値に置き換えられます);
%{host} - LDAPサーバーのホスト名、IP、またはURI (hostプロパティ値に置き換えられます);
%{user} - Zabbixユーザーのユーザー名。

デフォルト: (%{groupattr}=%{user})

例:
- (member=uid=%{ref},ou=Users,dc=example,dc=com) は、LDAPグループオブジェクトに次の文字列が含まれている場合、"User1"と一致します。 "member"属性の値が"uid=User1,ou=Users,dc=example,dc=com"であり、"User1"がメンバーであるグループを返します。
- (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) は、LDAP グループ オブジェクトに group_member プロパティで指定された属性の値が"cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com"である場合に"User1"と一致し、"User1"がメンバーであるグループを返します。

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。
group_member 文字列 グループ メンバーに関する情報を含む LDAP ユーザー ディレクトリ属性。LDAP ユーザー ディレクトリでユーザー メンバーシップ チェックを構成するために使用されます。

group_membership が設定されている場合、ユーザーのプロビジョニング時に無視されます。

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合は サポート されます。
group_membership 文字列 ユーザーが所属するグループに関する情報を含む LDAP ユーザー ディレクトリ属性

例: memberOf

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。
search_filter 文字列 ログイン要求で提供された情報に基づいて、LDAP ユーザー ディレクトリ内のユーザーを検索および認証するために使用されるカスタム フィルター文字列

サポートされている search_filter プレースホルダー:
%{attr} - 検索属性名 (例: uidsAMAccountName);
%{user} - Zabbix ユーザーのユーザー名

デフォルト: (%{attr}=%{user})

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"設定されている場合に サポート されます。
start_tls 整数 LDAP サーバー構成オプション。トランスポート層セキュリティ (TLS) を使用して LDAP サーバーとの通信をセキュリティで保護します。

ldaps:// プロトコルを使用するホストでは、start_tls を"無効"に設定する必要があることに注意してください。

可能な値:
0 - (デフォルト) 無効;
1 - 有効。

プロパティの動作:
- idp_type が"LDAP タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。
user_ref_attr 文字列 ユーザーオブジェクトを参照するために使用されるLDAPユーザーディレクトリ属性。user_ref_attrの値は、ユーザーディレクトリ内の指定された属性から値を取得し、group_filter文字列の%{ref}プレースホルダーの代わりに配置するために使用されます。

例: cnuidmemberuniqueMember

プロパティの動作:
- idp_typeが"LDAPタイプのユーザーディレクトリ"に設定されている場合に サポートされます。
SAML固有のプロパティ:
idp_entityid 文字列 アイデンティティプロバイダーを識別し、SAML メッセージでアイデンティティプロバイダーと通信するために使用される URI

例: https://idp.example.com/idp

プロパティの動作:
- idp_type が"SAML タイプのユーザーディレクトリ"に設定されている場合 必須
sp_entityid 文字列 アイデンティティプロバイダのサービスプロバイダを識別する URL または任意の文字列

例:
https://idp.example.com/sp
zabbix

プロパティの動作:
- idp_type が"SAML タイプのユーザーディレクトリ"に設定されている場合 必須
username_attribute 文字列 認証時にユーザーオブジェクトプロパティusernameの値と比較されるユーザーのユーザー名を含むSAMLユーザーディレクトリ属性(scim_statusが"SCIMプロビジョニングが有効"に設定されている場合はSCIM属性)

例: uiduserprincipalnamesamaccountnameusernameuserusernameurn:oid:0.9.2342.19200300.100.1.1urn:oid:1.3.6.1.4.1.5923.1.1.1.13urn:oid:0.9.2342.19200300.100.1.44

プロパティ動作:
- idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合は 必須
sso_url 文字列 Zabbix が SAML 認証リクエストを送信する、アイデンティティ プロバイダーの SAML シングル サインオン サービスの URL

例: http://idp.example.com/idp/sso/saml

プロパティの動作:
- idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合 必須
slo_url 文字列 Zabbix が SAML ログアウト要求を送信する、アイデンティティ プロバイダーの SAML シングル ログアウト サービスの URL。

例: https://idp.example.com/idp/slo/saml

プロパティの動作:
- idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。
encrypt_nameid 整数 SAML 名前 ID の暗号化

可能な値:
0 - (デフォルト) 名前 ID を暗号化しない
1 - 名前 ID を暗号化する

プロパティの動作:
- idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。
encrypt_assertions 整数 SAML アサーションの暗号化

可能な値:
0 - (デフォルト) アサーションを暗号化しない。
1 - アサーションを暗号化する。

プロパティの動作:
- idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。
nameid_format 文字列 SAML アイデンティティ プロバイダーのサービス プロバイダーの名前 ID 形式

例:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:entity

プロパティの動作:
- idp_type が"タイプ SAML のユーザー ディレクトリ"に設定されている場合に サポート されます。
scim_status 整数 SAML の SCIM プロビジョニングの有効無効

可能な値:
0 - (デフォルト) SCIM プロビジョニングは無効
1 - SCIM プロビジョニングは有効

プロパティの動作:
- idp_type が"タイプ SAML のユーザー ディレクトリ"に設定されている場合に サポート されます。
sign_assertions integer SAML アサーションを SAML 署名で署名するか

可能な値:
0 - (デフォルト) アサーションに署名しません。
1 - アサーションに署名します。

プロパティの動作:
- idp_type が"タイプ SAML のユーザー ディレクトリ"に設定されている場合に サポート されます。
sign_authn_requests 整数 SAML AuthN リクエストを SAML 署名で署名するか。

可能な値:
0 - (デフォルト) AuthN リクエストに署名しません。
1 - AuthN リクエストに署名します。

プロパティの動作:
- idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合 サポート されます。
sign_messages 整数 SAML メッセージを SAML 署名で署名するかどうか。

可能な値:
0 - (デフォルト) メッセージに署名しない。
1 - メッセージに署名する。

プロパティの動作:
- idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合に サポート されます。
sign_logout_requests 整数 SAML ログアウト リクエストを SAML 署名で署名するかどうか。

可能な値:
0 - (デフォルト) ログアウト リクエストに署名しません。
1 - ログアウト リクエストに署名します。

プロパティの動作:
- idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合 サポート されます。
sign_logout_responses 整数 SAML ログアウト応答を SAML 署名で署名するかどうか。

可能な値:
0 - (デフォルト) ログアウト応答に署名しません。
1 - ログアウト応答に署名します。

プロパティの動作:
- サポート idp_type が"SAML タイプのユーザー ディレクトリ"に設定されている場合 サポート されます。

メディアタイプマッピング

メディアタイプマッピングオブジェクトには、以下のプロパティがあります。

プロパティ タイプ 説明
userdirectory_mediaid ID メディアタイプマッピングID

プロパティの動作:
- 読み取り専用
name 文字列 メディアタイプマッピングのリストに表示される名前

プロパティの動作:
- 必須
mediatypeid ID 作成するメディアタイプのID メディア オブジェクト プロパティ mediatypeid の値として使用されます。

プロパティの動作:
- 必須
attribute string LDAP/SAML ユーザーディレクトリ属性(scim_status が"SCIM プロビジョニングが有効"に設定されている場合は SCIM 属性)で、ユーザーのメディア(例:[email protected])が含まれます。このメディアは、メディアオブジェクト プロパティ sendto の値として使用されます。

LDAP/SAML アイデンティティプロバイダーから受信したデータに存在し、値が空でない場合、プロビジョニングされたユーザーのメディア作成がトリガーされます。

プロパティの動作:
- 必須
active integer プロビジョニングされたユーザーのメディアが作成されるときのユーザーメディアの active プロパティ値

可能な値:
0 - (デフォルト) 有効;
1 - 無効
severity 整数 プロビジョニングされたユーザーに対してメディアが作成される際のユーザーメディアのseverityプロパティ値

デフォルト: 63
period 文字列 プロビジョニングされたユーザーに対してメディアが作成される際のユーザーメディアのperiodプロパティ値

デフォルト: 1~7、00:00~24:00

プロビジョニンググループのマッピング

プロビジョニンググループのマッピングには、以下のプロパティがあります。

プロパティ タイプ 説明
name string LDAP/SAMLユーザーディレクトリ(scim_statusが"SCIMプロビジョニングが有効"に設定されている場合はSCIMも)内のグループのフルネーム(例:Zabbix administrators
ワイルドカード文字"*"をサポートします。
すべてのプロビジョニンググループのマッピングで一意です。

プロパティの動作:
- 必須
roleid ID ユーザーに割り当てるユーザーロールのID

複数のプロビジョニンググループマッピングが一致した場合、最も高いユーザータイプ(UserAdmin、またはSuper admin)のロールがユーザーに割り当てられます。同じユーザータイプのロールが複数ある場合は、最初のロール(アルファベット順)がユーザーに割り当てられます。

プロパティの動作:
- 必須
user_groups array ZabbixユーザーグループIDオブジェクトの配列各オブジェクトには次のプロパティがあります:
usrgrpid - (ID) ユーザーに割り当てる Zabbix ユーザー グループの ID

複数のプロビジョニング グループ マッピングが一致する場合、一致したすべてのマッピングの Zabbix ユーザー グループがユーザーに割り当てられます。

プロパティの動作:
- 必須