3 ユーザグループ
概要
ユーザーグループを使用すると、組織上の目的とデータへの権限割り当ての両方のために、ユーザーをグループ化できます。ホストグループおよびテンプレートグループのデータの閲覧権限と設定権限は、個々のユーザーではなく、ユーザーグループに割り当てられます。
多くの場合、あるユーザーグループに対して利用可能な情報と、別のユーザーグループに対して利用可能な情報を分けることが有効です。これは、ユーザーをグループ化し、その後ホストグループおよびテンプレートグループに対して異なる権限を割り当てることで実現できます。
ユーザーは任意の数のグループに所属できます。
設定
ユーザーグループを設定するには、以下の手順を実行します。
- Users → User groups に移動します
- Create user group をクリックします(または、既存のグループを編集する場合はグループ名をクリックします)
- フォームでグループ属性を編集します
User group タブには、グループの一般属性が含まれています。
必須入力フィールドには、すべて赤いアスタリスクが付いています。
| Parameter | Description |
|---|---|
| Group name | 一意のグループ名。 |
| Users | グループにユーザーを追加するには、既存ユーザーの名前を入力し始めます。一致するユーザー名のドロップダウンが表示されたら、スクロールして選択します。 または、Select ボタンをクリックして、ポップアップからユーザーを選択することもできます。 |
| Frontend access | グループのユーザーをどのように認証するかを指定します。 System default - デフォルトの認証方式を使用します(グローバル に設定されたもの)。 Internal - Zabbix の内部認証を使用します(グローバルで LDAP 認証が使用されている場合でも)。 HTTP 認証がグローバルデフォルトの場合は無視されます。 LDAP - LDAP 認証を使用します(グローバルで内部認証が使用されている場合でも)。 HTTP 認証がグローバルデフォルトの場合は無視されます。 Disabled - このグループの Zabbix Webインターフェース へのアクセスを禁止します |
| LDAP server | ユーザー認証に使用する LDAP server を選択します。 このフィールドは、Frontend access が LDAP または System default に設定されている場合にのみ有効です。 |
| Multi-factor authentication | ユーザー認証に使用する多要素認証の method を選択します。 Default - MFA 設定でデフォルトとして設定された方式を使用します。このオプションは、MFA が有効な場合、新しいユーザーグループでデフォルトで選択されます。 <Method name> - 選択した方式を使用します(例: "Zabbix TOTP")。 Disabled - このグループでは MFA は無効です。このオプションは、MFA が無効な場合、新しいユーザーグループでデフォルトで選択されます。 ユーザーが MFA が有効な複数のユーザーグループに属している場合(または少なくとも 1 つのグループで MFA が有効な場合)、次の認証ルールが適用されることに注意してください。いずれかのグループが "Default" MFA 方式を使用している場合、その方式でユーザーを認証します。それ以外の場合は、アルファベット順で最初の方式が認証に使用されます。 |
| Enabled | ユーザーグループおよびグループメンバーのステータス。 Checked - ユーザーグループとユーザーは有効です Unchecked - ユーザーグループとユーザーは無効です |
| Debug mode | このチェックボックスをオンにすると、ユーザーに対して debug mode が有効になります。 |
Template permissions タブでは、テンプレートグループ(およびそれに含まれるテンプレート)データに対するユーザーグループのアクセス権を指定できます。
Host permissions タブでは、ホストグループ(およびそれに含まれるホスト)データに対するユーザーグループのアクセス権を指定できます。
をクリックして、テンプレート/ホストグループ
(親グループまたはネストされたグループ)を選択し、それらに権限を割り当てます。グループ名の入力を開始すると、
一致するグループのドロップダウンが表示されます。または、Select をクリックして、すべてのグループを一覧表示するポップアップウィンドウを開くこともできます。
その後、オプションボタンを使用して、選択したグループに権限を割り当てます。設定可能な権限は次のとおりです。
- Read-write - グループへの読み書きアクセス
- Read - グループへの読み取り専用アクセス
- Deny - グループへのアクセスを拒否
同じテンプレート/ホストグループが異なる権限設定で複数行に追加された場合は、最も厳しい権限が適用されます。
Super admin ユーザーは、ネストされたグループに親グループと同じ権限レベルを強制できることに注意してください。これは、host/template グループ設定フォームで行えます。
Template permissions タブと Host permissions タブは、同じパラメータセットをサポートしています。
グループに対する現在の権限は Permissions ブロックに表示され、そこで変更または削除できます。
ユーザーグループがホストに対して Read-write 権限を持ち、そのホストにリンクされたテンプレートに対して Deny または権限なしである場合、 そのグループのユーザーはホスト上のテンプレート化されたアイテムを編集できず、テンプレート名は Inaccessible template と表示されます。
Problem tag filter タブでは、タグ名と値でフィルタリングされた障害をユーザーグループが表示できるようにする、タグベースの権限を設定できます。
をクリックして、ホストグループを選択します。
タグフィルターを適用するホストグループを選択するには、Select をクリックして
既存のホストグループの完全な一覧を表示するか、ホストグループ名の入力を開始して
一致するグループのドロップダウンを表示します。障害タグフィルターはテンプレートグループには適用できないため、
表示されるのはホストグループのみです。
その後、All tags から Tag list に切り替えて、フィルタリング用の特定のタグとその値を設定できます。
値のないタグ名は追加できますが、名前のない値は追加できません。Permissions ブロックには最初の 3 つのタグのみ
(値がある場合はその値も含む)が表示されます。さらに多くある場合は、
アイコンをクリックするか、その上にマウスカーソルを置くことで確認できます。
タグフィルターを使用すると、ホストグループへのアクセス権と、 障害を表示できるかどうかを分離できます。
たとえば、データベース管理者が "MySQL" データベースの障害だけを確認する必要がある場合、まずデータベース 管理者用のユーザーグループを作成し、その後でタグ名 "target" と値 "mysql" を指定する必要があります。
タグ名 "target" が指定され、値フィールドが空白のままの場合、 そのユーザーグループは、選択したホストグループに対してタグ名 "target" を持つすべての障害を表示できます。 All tags が選択されている場合、ユーザーグループは指定された ホストグループのすべての障害を表示できます。
タグ名とタグ値が 正しく指定されていることを確認してください。そうでない場合、ユーザーグループには 障害がまったく表示されません。
ユーザーが複数のユーザーグループのメンバーである場合の例を見てみましょう。 この場合、フィルタリングではタグに対して OR 条件が使用されます。
| User group A | User group B | 両方のグループに属するユーザー(メンバー)に表示される結果 | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql または target:oracle の障害が表示される |
| Databases | set to: All tags | Databases | target | oracle | すべての障害が表示される | |
| Problem tag filter で未設定 | Databases | target | oracle | target:oracle の障害が表示される | ||
フィルターを追加すると(たとえば、特定のホストグループ "Databases" ですべてのタグを対象にした場合)、 他のホストグループの障害は表示できなくなります。
複数のユーザーグループからのアクセス
ユーザーは任意の数のユーザーグループに所属できます。これらのグループは、ホストまたはテンプレートに対して異なるアクセス権限を持つ場合があります。
そのため、権限のないユーザーが結果としてどのエンティティにアクセスできるようになるのかを把握することが重要です。以下の例では、ユーザーグループAおよびBに所属するユーザーについて、ホスト X(ホストグループ1内)へのアクセスがさまざまな状況でどのような影響を受けるかを考えます。
- グループAがホストグループ1に対して Read アクセスのみを持ち、グループBがホストグループ1に対して Read-write アクセスを持つ場合、ユーザーは 'X' に対して Read-write アクセスを取得します。
「Read-write」権限は「Read」権限より優先されます。
- 上記と同じシナリオで、'X' が同時にグループAまたはBに対して 拒否 されているホストグループ2にも属している場合、ホストグループ1に対する Read-write アクセスがあっても、'X' へのアクセスは 利用不可 になります。
- グループAに権限が定義されておらず、グループBがホストグループ1に対して Read-write アクセスを持つ場合、ユーザーは 'X' に対して Read-write アクセスを取得します。
- グループAがホストグループ1に対して Deny アクセスを持ち、グループBがホストグループ1に対して Read-write アクセスを持つ場合、ユーザーの 'X' へのアクセスは 拒否 されます。
その他の詳細
- ホストへの読み書きアクセス権を持つAdminレベルのユーザーでも、それらが属するテンプレートグループへのアクセス権がない場合、テンプレートのリンク/リンク解除はできません。テンプレートグループへの読み取りアクセス権がある場合は、ホストへのテンプレートのリンク/リンク解除は可能ですが、テンプレート一覧にはテンプレートは表示されず、他の場所でテンプレートを操作することもできません。
- ホストへの読み取りアクセス権を持つAdminレベルのユーザーは、設定セクションのホスト一覧にそのホストを表示できません。ただし、そのホストのトリガーはITサービス設定でアクセス可能です。
- Super Admin以外のすべてのユーザー('guest' を含む)は、マップが空であるか、画像のみを含む場合に限り、ネットワークマップを表示できます。ホスト、ホストグループ、またはトリガーがマップに追加されると、権限設定が適用されます。
- 対象のホストへのアクセスが明示的に "denied" されている場合、Zabbixサーバーはアクションの実行先受信者として定義されたユーザーに通知を送信しません。