3 Gruppi di utenti
Panoramica
I gruppi di utenti consentono di raggruppare gli utenti sia per scopi organizzativi sia per assegnare permessi ai dati. I permessi per la visualizzazione e la configurazione dei dati dei gruppi di host e dei gruppi di template vengono assegnati ai gruppi di utenti, non ai singoli utenti.
Spesso può avere senso separare quali informazioni sono disponibili per un gruppo di utenti e quali per un altro. Questo può essere ottenuto raggruppando gli utenti e assegnando poi permessi diversi ai gruppi di host e ai gruppi di template.
Un utente può appartenere a qualsiasi numero di gruppi.
Configurazione
Per configurare un gruppo utente:
- Vai a Users → User groups
- Fai clic su Create user group (oppure sul nome del gruppo per modificare un gruppo esistente)
- Modifica gli attributi del gruppo nel modulo
La scheda User group contiene gli attributi generali del gruppo:
Tutti i campi obbligatori sono contrassegnati da un asterisco rosso.
| Parameter | Description |
|---|---|
| Group name | Nome univoco del gruppo. |
| Users | Per aggiungere utenti al gruppo, inizia a digitare il nome di un utente esistente. Quando appare il menu a discesa con i nomi corrispondenti, scorri verso il basso per selezionare. In alternativa, puoi fare clic sul pulsante Select per selezionare gli utenti in una finestra popup. |
| Frontend access | Modalità di autenticazione degli utenti del gruppo. System default - usa il metodo di autenticazione predefinito (impostato globalmente) Internal - usa l'autenticazione interna di Zabbix (anche se l'autenticazione LDAP è usata globalmente). Ignorato se l'autenticazione HTTP è il valore predefinito globale. LDAP - usa l'autenticazione LDAP (anche se l'autenticazione interna è usata globalmente). Ignorato se l'autenticazione HTTP è il valore predefinito globale. Disabled - l'accesso al frontend di Zabbix è vietato per questo gruppo |
| LDAP server | Seleziona quale LDAP server usare per autenticare l'utente. Questo campo è abilitato solo se Frontend access è impostato su LDAP o System default. |
| Multi-factor authentication | Seleziona quale metodo di autenticazione a più fattori usare per autenticare l'utente: Default - usa il metodo impostato come predefinito nella configurazione MFA; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utente se MFA è abilitata; <Method name> - usa il metodo selezionato (ad esempio, "Zabbix TOTP"); Disabled - MFA è disabilitata per questo gruppo; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utente se MFA è disabilitata. Nota che se un utente appartiene a più gruppi utente con MFA abilitata (o almeno un gruppo ha MFA abilitata), si applicano le seguenti regole di autenticazione: se un gruppo usa il metodo MFA "Default", autenticherà l'utente; in caso contrario, verrà usato per l'autenticazione il primo metodo (ordinato alfabeticamente). |
| Enabled | Stato del gruppo utente e dei membri del gruppo. Checked - il gruppo utente e gli utenti sono abilitati Unchecked - il gruppo utente e gli utenti sono disabilitati |
| Debug mode | Seleziona questa casella di controllo per attivare la modalità debug per gli utenti. |
La scheda Template permissions consente di specificare l'accesso del gruppo utente ai dati del gruppo di template (e quindi dei template):
La scheda Host permissions consente di specificare l'accesso del gruppo utente ai dati del gruppo di host (e quindi degli host):
Fai clic su 
per scegliere i gruppi di template/host
(sia un gruppo padre sia un gruppo annidato) e assegnare loro i permessi. Inizia a digitare il nome del gruppo
(comparirà un menu a discesa con i gruppi corrispondenti) oppure fai clic su Select per aprire una finestra popup con l'elenco di tutti i gruppi.
Quindi usa i pulsanti delle opzioni per assegnare i permessi ai gruppi scelti. I permessi possibili sono i seguenti:
- Read-write - accesso in lettura e scrittura a un gruppo;
- Read - accesso in sola lettura a un gruppo;
- Deny - accesso a un gruppo negato.
Se lo stesso gruppo di template/host viene aggiunto in più righe con permessi diversi, verrà applicato il permesso più restrittivo.
Nota che un utente Super admin può imporre ai gruppi annidati di avere lo stesso livello di permessi del gruppo padre; ciò può essere fatto nel modulo di configurazione del gruppo host/template.
Le schede Template permissions e Host permissions supportano lo stesso insieme di parametri.
I permessi correnti sui gruppi sono visualizzati nel blocco Permissions e possono essere modificati o rimossi.
Se un gruppo utente ha permessi Read-write su un host e Deny o nessun permesso su un template collegato a questo host, gli utenti di tale gruppo non potranno modificare gli item basati su template sull'host e il nome del template verrà visualizzato come Inaccessible template.
La scheda Problem tag filter consente di impostare permessi basati sui tag per i gruppi utente, in modo che possano vedere i problemi filtrati per nome e valore del tag:
Fai clic su per scegliere i gruppi di host.
Per selezionare un gruppo di host a cui applicare un filtro tag, fai clic su Select per ottenere
l'elenco completo dei gruppi di host esistenti oppure inizia a digitare il nome di un gruppo di host per ottenere
un menu a discesa con i gruppi corrispondenti. Verranno visualizzati solo i gruppi di host, perché il filtro tag dei problemi non può essere applicato ai gruppi di template.
Quindi è possibile passare da All tags a Tag list per impostare tag specifici e i relativi valori per il filtro.
È possibile aggiungere nomi di tag senza valori, ma non valori senza nomi. Solo i primi tre tag (con eventuali valori)
sono visualizzati nel blocco Permissions; se ce ne sono altri, possono essere visti facendo clic o passando il mouse sull'icona 
.
Il filtro tag consente di separare l'accesso al gruppo di host dalla possibilità di vedere i problemi.
Ad esempio, se un amministratore di database deve vedere solo i problemi del database "MySQL", è necessario creare prima un gruppo utente per gli amministratori di database, quindi specificare il nome del tag "target" e il valore "mysql".
Se viene specificato il nome del tag "target" e il campo del valore viene lasciato vuoto, il gruppo utente vedrà tutti i problemi con il nome del tag "target" per il gruppo di host selezionato. Se è selezionato All tags, il gruppo utente vedrà tutti i problemi per il gruppo di host specificato.
Assicurati che il nome del tag e il valore del tag siano specificati correttamente, altrimenti il gruppo utente non vedrà alcun problema.
Esaminiamo un esempio in cui un utente è membro di più gruppi utente selezionati. In questo caso, il filtro userà una condizione OR per i tag.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Databases | set to: All tags | Databases | target | oracle | All problems visible | |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
L'aggiunta di un filtro (ad esempio, tutti i tag in un determinato gruppo di host "Databases") comporta l'impossibilità di vedere i problemi degli altri gruppi di host.
Accesso da più gruppi di utenti
Un utente può appartenere a qualsiasi numero di gruppi di utenti. Questi gruppi possono avere diversi permessi di accesso agli host o ai template.
Pertanto, è importante sapere a quali entità un utente senza privilegi potrà accedere come risultato. Nell'esempio seguente, considera come l'accesso all'host X (nel gruppo host 1) sarà influenzato in varie situazioni per un utente che appartiene ai gruppi di utenti A e B.
- Se il gruppo A ha solo accesso Read al gruppo host 1, ma il gruppo B ha accesso Read-write al gruppo host 1, l'utente otterrà accesso Read-write a 'X'.
I permessi "Read-write" hanno precedenza sui permessi "Read".
- Nello stesso scenario di cui sopra, se 'X' si trova contemporaneamente anche nel gruppo host 2 che è negato al gruppo A o B, l'accesso a 'X' sarà non disponibile, nonostante l'accesso Read-write al gruppo host 1.
- Se il gruppo A non ha permessi definiti e il gruppo B ha accesso Read-write al gruppo host 1, l'utente otterrà accesso Read-write a 'X'.
- Se il gruppo A ha accesso Deny al gruppo host 1 e il gruppo B ha accesso Read-write al gruppo host 1, l'utente avrà accesso a 'X' negato.
Altri dettagli
- Un utente di livello Admin con accesso Read-write a un host non potrà collegare/scollegare template se non ha accesso al gruppo di template a cui appartengono. Con accesso Read al gruppo di template potrà collegare/scollegare template all'host, tuttavia non vedrà alcun template nell'elenco dei template e non potrà operare con i template in altri punti.
- Un utente di livello Admin con accesso Read a un host non vedrà l'host nell'elenco host della sezione di configurazione; tuttavia, i trigger dell'host saranno accessibili nella configurazione del servizio IT.
- Qualsiasi utente non Super Admin (incluso 'guest') può vedere le mappe di rete purché la mappa sia vuota o contenga solo immagini. Quando host, gruppi di host o trigger vengono aggiunti alla mappa, i permessi vengono rispettati.
- Zabbix server non invierà notifiche agli utenti definiti come destinatari delle operazioni dell'azione se l'accesso all'host interessato è esplicitamente "denied".