Sommaire
Objet user directory
Les objets suivants sont directement liés à l'API userdirectory.
Annuaire d'utilisateurs
L'objet annuaire d'utilisateurs possède les propriétés suivantes.
| Property | Type | Description |
|---|---|---|
| userdirectoryid | ID | ID de l'annuaire d'utilisateurs. Si un annuaire d'utilisateurs est supprimé, la valeur de la propriété userdirectoryid de l'objet User est définie sur "0" pour tous les utilisateurs liés à l'annuaire d'utilisateurs supprimé.Comportement de la propriété: - lecture seule - obligatoire pour les opérations de mise à jour |
| idp_type | integer | Type du protocole d'authentification utilisé par le fournisseur d'identité pour l'annuaire d'utilisateurs. Notez qu'un seul annuaire d'utilisateurs de type SAML peut exister. Valeurs possibles : 1 - Annuaire d'utilisateurs de type LDAP; 2 - Annuaire d'utilisateurs de type SAML. Comportement de la propriété: - obligatoire pour les opérations de création |
| group_name | string | Attribut de l'annuaire d'utilisateurs LDAP/SAML qui contient le nom du groupe utilisé pour faire correspondre les groupes entre l'annuaire d'utilisateurs LDAP/SAML et Zabbix. Exemple : cn Comportement de la propriété: - obligatoire si provision_status est défini sur "Enabled" et que saml_jit_status de l'objet Authentication est défini sur "Enabled for configured SAML IdPs" |
| user_username | string | Attribut de l'annuaire d'utilisateurs LDAP/SAML (également attribut SCIM si scim_status est défini sur "SCIM provisioning is enabled") qui contient le nom de l'utilisateur, utilisé comme valeur de la propriété name de l'objet User lors du provisionnement de l'utilisateur.Exemples : cn, commonName, displayName, name |
| user_lastname | string | Attribut de l'annuaire d'utilisateurs LDAP/SAML (également attribut SCIM si scim_status est défini sur "SCIM provisioning is enabled") qui contient le nom de famille de l'utilisateur, utilisé comme valeur de la propriété surname de l'objet User lors du provisionnement de l'utilisateur.Exemples : sn, surname, lastName |
| provision_status | integer | État du provisionnement de l'annuaire d'utilisateurs. Valeurs possibles : 0 - (par défaut) Désactivé (le provisionnement des utilisateurs créés par cet annuaire d'utilisateurs est désactivé); 1 - Activé (le provisionnement des utilisateurs créés par cet annuaire d'utilisateurs est activé; en outre, l'état du provisionnement LDAP ou SAML ( ldap_jit_status ou saml_jit_status de l'objet Authentication) doit être activé). |
| provision_groups | array | Tableau d'objets mappages de groupes de provisionnement pour faire correspondre un modèle de groupe d'utilisateurs LDAP/SAML à un groupe d'utilisateurs et à un rôle d'utilisateur Zabbix. Comportement de la propriété: - obligatoire si provision_status est défini sur "Enabled" |
| provision_media | array | Tableau d'objets mappages de types de média pour faire correspondre les attributs de média LDAP/SAML de l'utilisateur (par exemple, l'e-mail) aux médias utilisateur Zabbix pour l'envoi de notifications. |
| LDAP-specific properties: | ||
| name | string | Nom unique de l'annuaire d'utilisateurs. Comportement de la propriété: - obligatoire si idp_type est défini sur "User directory of type LDAP" |
| host | string | Nom d'hôte, adresse IP ou URI du serveur LDAP. L'URI doit contenir le schéma ( ldap:// ou ldaps://), l'hôte et le port (facultatif).Exemples : host.example.com 127.0.0.1 ldap://ldap.example.com:389 Comportement de la propriété: - obligatoire si idp_type est défini sur "User directory of type LDAP" |
| port | integer | Port du serveur LDAP. Comportement de la propriété: - obligatoire si idp_type est défini sur "User directory of type LDAP" |
| base_dn | string | Chemin de base de l'annuaire d'utilisateurs LDAP vers les comptes utilisateurs. Exemples : ou=Users,dc=example,dc=org ou=Users,ou=system (pour OpenLDAP) DC=company,DC=com (pour Microsoft Active Directory) uid=%{user},dc=example,dc=com (pour la liaison directe de l'utilisateur; l'espace réservé "%{user}" est obligatoire) Comportement de la propriété: - obligatoire si idp_type est défini sur "User directory of type LDAP" |
| search_attribute | string | Attribut de l'annuaire d'utilisateurs LDAP permettant d'identifier le compte utilisateur à partir des informations fournies dans la requête de connexion. Exemples : uid (pour OpenLDAP) sAMAccountName (pour Microsoft Active Directory) Comportement de la propriété: - obligatoire si idp_type est défini sur "User directory of type LDAP" |
| bind_dn | string | Compte du serveur LDAP utilisé pour la liaison et la recherche sur le serveur LDAP. Pour la liaison directe de l'utilisateur et la liaison anonyme, bind_dn doit être vide.Exemples : uid=ldap_search,ou=system (pour OpenLDAP) CN=ldap_search,OU=user_group,DC=company,DC=com (pour Microsoft Active Directory) CN=Admin,OU=Users,OU=Zabbix,DC=zbx,DC=local Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| bind_password | string | Mot de passe LDAP du compte utilisé pour la liaison et la recherche sur le serveur LDAP. Pour la liaison directe de l'utilisateur et la liaison anonyme, bind_password doit être vide.Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| description | string | Description de l'annuaire d'utilisateurs. Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| group_basedn | string | Chemin de base de l'annuaire d'utilisateurs LDAP vers les groupes; utilisé pour configurer une vérification d'appartenance à un groupe dans l'annuaire d'utilisateurs LDAP. Ignoré lors du provisionnement d'un utilisateur si group_membership est défini.Exemple : ou=Groups,dc=example,dc=com Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| group_filter | string | Chaîne de filtre utilisée pour récupérer les groupes de l'annuaire d'utilisateurs LDAP dont l'utilisateur est membre; utilisée pour configurer une vérification d'appartenance à un groupe dans l'annuaire d'utilisateurs LDAP. Ignoré lors du provisionnement d'un utilisateur si group_membership est défini.Espaces réservés group_filter pris en charge :%{attr} - attribut de recherche (remplacé par la valeur de la propriété search_attribute);%{groupattr} - attribut de groupe (remplacé par la valeur de la propriété group_member);%{host} - nom d'hôte, adresse IP ou URI du serveur LDAP (remplacé par la valeur de la propriété host);%{user} - nom d'utilisateur Zabbix. Par défaut : (%{groupattr}=%{user}) Exemples : - (member=uid=%{ref},ou=Users,dc=example,dc=com) correspondra à "User1" si un objet de groupe LDAP contient l'attribut "member" avec la valeur "uid=User1,ou=Users,dc=example,dc=com", et renverra le groupe dont "User1" est membre; - (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) correspondra à "User1" si un objet de groupe LDAP contient l'attribut spécifié dans la propriété group_member avec la valeur "cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com", et renverra le groupe dont "User1" est membre.Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| group_member | string | Attribut de l'annuaire d'utilisateurs LDAP qui contient des informations sur les membres du groupe; utilisé pour configurer une vérification d'appartenance à un groupe dans l'annuaire d'utilisateurs LDAP. Ignoré lors du provisionnement d'un utilisateur si group_membership est défini.Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| group_membership | string | Attribut de l'annuaire d'utilisateurs LDAP qui contient des informations sur les groupes auxquels appartient un utilisateur. Exemple : memberOf Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| search_filter | string | Chaîne de filtre personnalisée utilisée pour localiser et authentifier un utilisateur dans un annuaire d'utilisateurs LDAP à partir des informations fournies dans la requête de connexion. Espaces réservés search_filter pris en charge :%{attr} - nom de l'attribut de recherche (par exemple, uid, sAMAccountName); %{user} - nom d'utilisateur Zabbix. Par défaut : (%{attr}=%{user}) Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| start_tls | integer | Option de configuration du serveur LDAP qui permet de sécuriser la communication avec le serveur LDAP à l'aide de Transport Layer Security (TLS). Notez que start_tls doit être défini sur "Disabled" pour les hôtes utilisant le protocole ldaps://.Valeurs possibles : 0 - (par défaut) Désactivé; 1 - Activé. Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| user_ref_attr | string | Attribut de l'annuaire d'utilisateurs LDAP utilisé pour référencer un objet utilisateur. La valeur de user_ref_attr est utilisée pour récupérer les valeurs de l'attribut spécifié dans l'annuaire d'utilisateurs et les placer à la place de l'espace réservé %{ref} dans la chaîne group_filter.Exemples : cn, uid, member, uniqueMember Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| SAML-specific properties: | ||
| idp_entityid | string | URI qui identifie le fournisseur d'identité et est utilisée pour communiquer avec le fournisseur d'identité dans les messages SAML. Exemple : https://idp.example.com/idp Comportement de la propriété: - obligatoire si idp_type est défini sur "User directory of type SAML" |
| sp_entityid | string | URL ou toute chaîne qui identifie le fournisseur de services du fournisseur d'identité. Exemples : https://idp.example.com/sp zabbix Comportement de la propriété: - obligatoire si idp_type est défini sur "User directory of type SAML" |
| username_attribute | string | Attribut de l'annuaire d'utilisateurs SAML (également attribut SCIM si scim_status est défini sur "SCIM provisioning is enabled") qui contient le nom d'utilisateur, comparé à la valeur de la propriété username de l'objet User lors de l'authentification.Exemples : uid, userprincipalname, samaccountname, username, userusername, urn:oid:0.9.2342.19200300.100.1.1, urn:oid:1.3.6.1.4.1.5923.1.1.1.13, urn:oid:0.9.2342.19200300.100.1.44 Comportement de la propriété: - obligatoire si idp_type est défini sur "User directory of type SAML" |
| sso_url | string | URL du service d'authentification unique SAML du fournisseur d'identité, vers laquelle Zabbix enverra les requêtes d'authentification SAML. Exemple : http://idp.example.com/idp/sso/saml Comportement de la propriété: - obligatoire si idp_type est défini sur "User directory of type SAML" |
| slo_url | string | URL du service de déconnexion unique SAML du fournisseur d'identité, vers laquelle Zabbix enverra les requêtes de déconnexion SAML. Exemple : https://idp.example.com/idp/slo/saml Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type SAML" |
| encrypt_nameid | integer | Indique si le Name ID SAML doit être chiffré. Valeurs possibles : 0 - (par défaut) Ne pas chiffrer le Name ID; 1 - Chiffrer le Name ID. Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type SAML" |
| encrypt_assertions | integer | Indique si les assertions SAML doivent être chiffrées. Valeurs possibles : 0 - (par défaut) Ne pas chiffrer les assertions; 1 - Chiffrer les assertions. Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type SAML" |
| nameid_format | string | Format du Name ID du fournisseur de services du fournisseur d'identité SAML. Exemples : urn:oasis:names:tc:SAML:2.0:nameid-format:persistent urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:entity Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type SAML" |
| scim_status | integer | Indique si le provisionnement SCIM pour SAML est activé ou désactivé. Valeurs possibles : 0 - (par défaut) Le provisionnement SCIM est désactivé; 1 - Le provisionnement SCIM est activé. Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type SAML" |
| sign_assertions | integer | Indique si les assertions SAML doivent être signées avec une signature SAML. Valeurs possibles : 0 - (par défaut) Ne pas signer les assertions; 1 - Signer les assertions. Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type SAML" |
| sign_authn_requests | integer | Indique si les requêtes AuthN SAML doivent être signées avec une signature SAML. Valeurs possibles : 0 - (par défaut) Ne pas signer les requêtes AuthN; 1 - Signer les requêtes AuthN. Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type SAML" |
| sign_messages | integer | Indique si les messages SAML doivent être signés avec une signature SAML. Valeurs possibles : 0 - (par défaut) Ne pas signer les messages; 1 - Signer les messages. Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type SAML" |
| sign_logout_requests | integer | Indique si les requêtes de déconnexion SAML doivent être signées avec une signature SAML. Valeurs possibles : 0 - (par défaut) Ne pas signer les requêtes de déconnexion; 1 - Signer les requêtes de déconnexion. Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type SAML" |
| sign_logout_responses | integer | Indique si les réponses de déconnexion SAML doivent être signées avec une signature SAML. Valeurs possibles : 0 - (par défaut) Ne pas signer les réponses de déconnexion; 1 - Signer les réponses de déconnexion. Comportement de la propriété: - pris en charge si idp_type est défini sur "User directory of type SAML" |
Mappages des types de média
L'objet de mappages des types de média possède les propriétés suivantes.
| Propriété | Type | Description |
|---|---|---|
| userdirectory_mediaid | ID | ID du mappage du type de média. Comportement de la propriété: - lecture seule |
| name | string | Nom visible dans la liste des mappages des types de média. Comportement de la propriété: - obligatoire |
| mediatypeid | ID | ID du type de média à créer ; utilisée comme valeur de la propriété mediatypeid de l'objet Media.Comportement de la propriété: - obligatoire |
| attribute | string | Attribut du répertoire d'utilisateurs LDAP/SAML (également attribut SCIM si scim_status est défini sur "SCIM provisioning is enabled") qui contient le média de l'utilisateur (par exemple, [email protected]), utilisé comme valeur de la propriété sendto de l'objet Media.S'il est présent dans les données reçues du fournisseur d'identité LDAP/SAML et que sa valeur n'est pas vide, cela déclenchera la création du média pour l'utilisateur provisionné. Comportement de la propriété: - obligatoire |
| active | integer | Valeur de la propriété active du média utilisateur lorsque le média est créé pour l'utilisateur provisionné.Valeurs possibles : 0 - (par défaut) activé ; 1 - désactivé. |
| severity | integer | Valeur de la propriété severity du média utilisateur lorsque le média est créé pour l'utilisateur provisionné.Par défaut : 63. |
| period | string | Valeur de la propriété period du média utilisateur lorsque le média est créé pour l'utilisateur provisionné.Par défaut : 1-7,00:00-24:00. |
Mappages des groupes de provisionnement
Les mappages des groupes de provisionnement possèdent les propriétés suivantes.
| Propriété | Type | Description |
|---|---|---|
| name | string | Nom complet d’un groupe (par exemple, Zabbix administrators) dans l’annuaire d’utilisateurs LDAP/SAML (également SCIM si scim_status est défini sur "SCIM provisioning is enabled").Prend en charge le caractère générique "*". Unique parmi tous les mappages des groupes de provisionnement. Comportement de la propriété: - obligatoire |
| roleid | ID | ID du rôle utilisateur à attribuer à l’utilisateur. Si plusieurs mappages des groupes de provisionnement correspondent, le rôle du type d’utilisateur le plus élevé (User, Admin ou Super admin) est attribué à l’utilisateur. S’il existe plusieurs rôles avec le même type d’utilisateur, le premier rôle (trié par ordre alphabétique) est attribué à l’utilisateur. Comportement de la propriété: - obligatoire |
| user_groups | array | Tableau d’objets d’ID de groupes d’utilisateurs Zabbix. Chaque objet possède les propriétés suivantes :usrgrpid - (ID) ID du groupe d’utilisateurs Zabbix à attribuer à l’utilisateur.Si plusieurs mappages des groupes de provisionnement correspondent, les groupes d’utilisateurs Zabbix de tous les mappages correspondants sont attribués à l’utilisateur. Comportement de la propriété: - obligatoire |