On this page
Obiekt katalogu użytkownika
Następujące obiekty są bezpośrednio powiązane z API userdirectory.
Katalog użytkowników
Obiekt katalogu użytkowników ma następujące właściwości.
| Property | Type | Description |
|---|---|---|
| userdirectoryid | ID | ID katalogu użytkowników. Jeśli katalog użytkowników zostanie usunięty, wartość właściwości obiektu User userdirectoryid zostanie ustawiona na "0" dla wszystkich użytkowników powiązanych z usuniętym katalogiem użytkowników.Zachowanie właściwości: - tylko do odczytu - wymagane dla operacji aktualizacji |
| idp_type | integer | Typ protokołu uwierzytelniania używanego przez dostawcę tożsamości dla katalogu użytkowników. Uwaga: może istnieć tylko jeden katalog użytkowników typu SAML. Możliwe wartości: 1 - Katalog użytkowników typu LDAP; 2 - Katalog użytkowników typu SAML. Zachowanie właściwości: - wymagane dla operacji tworzenia |
| group_name | string | Atrybut katalogu użytkowników LDAP/SAML zawierający nazwę grupy używaną do mapowania grup między katalogiem użytkowników LDAP/SAML a Zabbix. Przykład: cn Zachowanie właściwości: - wymagane jeśli provision_status ma wartość "Enabled" i saml_jit_status w obiekcie Authentication ma wartość "Enabled for configured SAML IdPs" |
| user_username | string | Atrybut katalogu użytkowników LDAP/SAML (również atrybut SCIM, jeśli scim_status ma wartość "SCIM provisioning is enabled") zawierający nazwę użytkownika, która jest używana jako wartość właściwości obiektu User name podczas aprowizacji użytkownika.Przykłady: cn, commonName, displayName, name |
| user_lastname | string | Atrybut katalogu użytkowników LDAP/SAML (również atrybut SCIM, jeśli scim_status ma wartość "SCIM provisioning is enabled") zawierający nazwisko użytkownika, które jest używane jako wartość właściwości obiektu User surname podczas aprowizacji użytkownika.Przykłady: sn, surname, lastName |
| provision_status | integer | Status aprowizacji katalogu użytkowników. Możliwe wartości: 0 - (domyślnie) Wyłączone (aprowizacja użytkowników utworzonych przez ten katalog użytkowników jest wyłączona); 1 - Włączone (aprowizacja użytkowników utworzonych przez ten katalog użytkowników jest włączona; dodatkowo status aprowizacji LDAP lub SAML ( ldap_jit_status lub saml_jit_status w obiekcie Authentication) musi być włączony). |
| provision_groups | array | Tablica obiektów mapowań grup aprowizacji służących do mapowania wzorca grupy użytkowników LDAP/SAML na grupę użytkowników i rolę użytkownika Zabbix. Zachowanie właściwości: - wymagane jeśli provision_status ma wartość "Enabled" |
| provision_media | array | Tablica obiektów mapowań typów mediów służących do mapowania atrybutów mediów użytkownika LDAP/SAML (np. adresu e-mail) na media użytkownika Zabbix do wysyłania powiadomień. |
| Właściwości specyficzne dla LDAP: | ||
| name | string | Unikalna nazwa katalogu użytkowników. Zachowanie właściwości: - wymagane jeśli idp_type ma wartość "User directory of type LDAP" |
| host | string | Nazwa hosta, adres IP lub URI serwera LDAP. URI musi zawierać schemat ( ldap:// lub ldaps://), host i port (opcjonalnie).Przykłady: host.example.com 127.0.0.1 ldap://ldap.example.com:389 Zachowanie właściwości: - wymagane jeśli idp_type ma wartość "User directory of type LDAP" |
| port | integer | Port serwera LDAP. Zachowanie właściwości: - wymagane jeśli idp_type ma wartość "User directory of type LDAP" |
| base_dn | string | Bazowa ścieżka katalogu użytkowników LDAP do kont użytkowników. Przykłady: ou=Users,dc=example,dc=org ou=Users,ou=system (dla OpenLDAP) DC=company,DC=com (dla Microsoft Active Directory) uid=%{user},dc=example,dc=com (dla bezpośredniego wiązania użytkownika; symbol zastępczy "%{user}" jest obowiązkowy) Zachowanie właściwości: - wymagane jeśli idp_type ma wartość "User directory of type LDAP" |
| search_attribute | string | Atrybut katalogu użytkowników LDAP, według którego identyfikowane jest konto użytkownika na podstawie informacji podanych w żądaniu logowania. Przykłady: uid (dla OpenLDAP) sAMAccountName (dla Microsoft Active Directory) Zachowanie właściwości: - wymagane jeśli idp_type ma wartość "User directory of type LDAP" |
| bind_dn | string | Konto serwera LDAP do wiązania i wyszukiwania w serwerze LDAP. W przypadku bezpośredniego wiązania użytkownika i anonimowego wiązania bind_dn musi być puste.Przykłady: uid=ldap_search,ou=system (dla OpenLDAP) CN=ldap_search,OU=user_group,DC=company,DC=com (dla Microsoft Active Directory) CN=Admin,OU=Users,OU=Zabbix,DC=zbx,DC=local Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type LDAP" |
| bind_password | string | Hasło LDAP konta do wiązania i wyszukiwania w serwerze LDAP. W przypadku bezpośredniego wiązania użytkownika i anonimowego wiązania bind_password musi być puste.Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type LDAP" |
| description | string | Opis katalogu użytkowników. Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type LDAP" |
| group_basedn | string | Bazowa ścieżka katalogu użytkowników LDAP do grup; używana do konfiguracji sprawdzania członkostwa użytkownika w katalogu użytkowników LDAP. Ignorowane podczas aprowizacji użytkownika, jeśli ustawiono group_membership.Przykład: ou=Groups,dc=example,dc=com Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type LDAP" |
| group_filter | string | Ciąg filtra służący do pobierania grup katalogu użytkowników LDAP, do których należy użytkownik; używany do konfiguracji sprawdzania członkostwa użytkownika w katalogu użytkowników LDAP. Ignorowane podczas aprowizacji użytkownika, jeśli ustawiono group_membership.Obsługiwane symbole zastępcze group_filter:%{attr} - atrybut wyszukiwania (zastępowany wartością właściwości search_attribute);%{groupattr} - atrybut grupy (zastępowany wartością właściwości group_member);%{host} - nazwa hosta, adres IP lub URI serwera LDAP (zastępowany wartością właściwości host);%{user} - nazwa użytkownika Zabbix. Domyślnie: (%{groupattr}=%{user}) Przykłady: - (member=uid=%{ref},ou=Users,dc=example,dc=com) dopasuje "User1", jeśli obiekt grupy LDAP zawiera atrybut "member" z wartością "uid=User1,ou=Users,dc=example,dc=com", i zwróci grupę, do której należy "User1"; - (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) dopasuje "User1", jeśli obiekt grupy LDAP zawiera atrybut określony w właściwości group_member z wartością "cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com", i zwróci grupę, do której należy "User1".Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type LDAP" |
| group_member | string | Atrybut katalogu użytkowników LDAP zawierający informacje o członkach grupy; używany do konfiguracji sprawdzania członkostwa użytkownika w katalogu użytkowników LDAP. Ignorowane podczas aprowizacji użytkownika, jeśli ustawiono group_membership.Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type LDAP" |
| group_membership | string | Atrybut katalogu użytkowników LDAP zawierający informacje o grupach, do których należy użytkownik. Przykład: memberOf Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type LDAP" |
| search_filter | string | Niestandardowy ciąg filtra używany do lokalizowania i uwierzytelniania użytkownika w katalogu użytkowników LDAP na podstawie informacji podanych w żądaniu logowania. Obsługiwane symbole zastępcze search_filter:%{attr} - nazwa atrybutu wyszukiwania (np. uid, sAMAccountName); %{user} - nazwa użytkownika Zabbix. Domyślnie: (%{attr}=%{user}) Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type LDAP" |
| start_tls | integer | Opcja konfiguracji serwera LDAP, która umożliwia zabezpieczenie komunikacji z serwerem LDAP przy użyciu Transport Layer Security (TLS). Uwaga: start_tls musi mieć wartość "Disabled" dla hostów używających protokołu ldaps://.Możliwe wartości: 0 - (domyślnie) Wyłączone; 1 - Włączone. Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type LDAP" |
| user_ref_attr | string | Atrybut katalogu użytkowników LDAP używany do odwołania do obiektu użytkownika. Wartość user_ref_attr jest używana do pobierania wartości z określonego atrybutu w katalogu użytkowników i zastępowania nimi symbolu zastępczego %{ref} w ciągu group_filter.Przykłady: cn, uid, member, uniqueMember Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type LDAP" |
| Właściwości specyficzne dla SAML: | ||
| idp_entityid | string | URI identyfikujący dostawcę tożsamości, używany do komunikacji z dostawcą tożsamości w komunikatach SAML. Przykład: https://idp.example.com/idp Zachowanie właściwości: - wymagane jeśli idp_type ma wartość "User directory of type SAML" |
| sp_entityid | string | URL lub dowolny ciąg znaków identyfikujący dostawcę usług dostawcy tożsamości. Przykłady: https://idp.example.com/sp zabbix Zachowanie właściwości: - wymagane jeśli idp_type ma wartość "User directory of type SAML" |
| username_attribute | string | Atrybut katalogu użytkowników SAML (również atrybut SCIM, jeśli scim_status ma wartość "SCIM provisioning is enabled") zawierający nazwę użytkownika, która jest porównywana z wartością właściwości obiektu User username podczas uwierzytelniania.Przykłady: uid, userprincipalname, samaccountname, username, userusername, urn:oid:0.9.2342.19200300.100.1.1, urn:oid:1.3.6.1.4.1.5923.1.1.1.13, urn:oid:0.9.2342.19200300.100.1.44 Zachowanie właściwości: - wymagane jeśli idp_type ma wartość "User directory of type SAML" |
| sso_url | string | URL usługi pojedynczego logowania SAML dostawcy tożsamości, do której Zabbix będzie wysyłać żądania uwierzytelniania SAML. Przykład: http://idp.example.com/idp/sso/saml Zachowanie właściwości: - wymagane jeśli idp_type ma wartość "User directory of type SAML" |
| slo_url | string | URL usługi pojedynczego wylogowania SAML dostawcy tożsamości, do której Zabbix będzie wysyłać żądania wylogowania SAML. Przykład: https://idp.example.com/idp/slo/saml Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type SAML" |
| encrypt_nameid | integer | Czy identyfikator Name ID w SAML powinien być szyfrowany. Możliwe wartości: 0 - (domyślnie) Nie szyfruj Name ID; 1 - Szyfruj Name ID. Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type SAML" |
| encrypt_assertions | integer | Czy asercje SAML powinny być szyfrowane. Możliwe wartości: 0 - (domyślnie) Nie szyfruj asercji; 1 - Szyfruj asercje. Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type SAML" |
| nameid_format | string | Format Name ID dostawcy usług dostawcy tożsamości SAML. Przykłady: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:entity Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type SAML" |
| scim_status | integer | Czy aprowizacja SCIM dla SAML jest włączona czy wyłączona. Możliwe wartości: 0 - (domyślnie) Aprowizacja SCIM jest wyłączona; 1 - Aprowizacja SCIM jest włączona. Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type SAML" |
| sign_assertions | integer | Czy asercje SAML powinny być podpisywane podpisem SAML. Możliwe wartości: 0 - (domyślnie) Nie podpisuj asercji; 1 - Podpisuj asercje. Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type SAML" |
| sign_authn_requests | integer | Czy żądania AuthN SAML powinny być podpisywane podpisem SAML. Możliwe wartości: 0 - (domyślnie) Nie podpisuj żądań AuthN; 1 - Podpisuj żądania AuthN. Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type SAML" |
| sign_messages | integer | Czy komunikaty SAML powinny być podpisywane podpisem SAML. Możliwe wartości: 0 - (domyślnie) Nie podpisuj komunikatów; 1 - Podpisuj komunikaty. Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type SAML" |
| sign_logout_requests | integer | Czy żądania wylogowania SAML powinny być podpisywane podpisem SAML. Możliwe wartości: 0 - (domyślnie) Nie podpisuj żądań wylogowania; 1 - Podpisuj żądania wylogowania. Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type SAML" |
| sign_logout_responses | integer | Czy odpowiedzi wylogowania SAML powinny być podpisywane podpisem SAML. Możliwe wartości: 0 - (domyślnie) Nie podpisuj odpowiedzi wylogowania; 1 - Podpisuj odpowiedzi wylogowania. Zachowanie właściwości: - obsługiwane jeśli idp_type ma wartość "User directory of type SAML" |
Mapowania typów mediów
Obiekt mapowań typów mediów ma następujące właściwości.
| Właściwość | Typ | Opis |
|---|---|---|
| userdirectory_mediaid | ID | ID mapowania typu mediów. Zachowanie właściwości: - tylko do odczytu |
| name | string | Widoczna nazwa na liście mapowań typów mediów. Zachowanie właściwości: - wymagane |
| mediatypeid | ID | ID typu mediów, który ma zostać utworzony; używane jako wartość właściwości mediatypeid obiektu Media.Zachowanie właściwości: - wymagane |
| attribute | string | Atrybut katalogu użytkowników LDAP/SAML (również atrybut SCIM, jeśli scim_status jest ustawione na „Udostępnianie SCIM jest włączone”), który zawiera media użytkownika (np. [email protected]), używane jako wartość właściwości sendto obiektu Media.Jeśli występuje w danych otrzymanych od dostawcy tożsamości LDAP/SAML, a wartość nie jest pusta, spowoduje to utworzenie mediów dla udostępnionego użytkownika. Zachowanie właściwości: - wymagane |
| active | integer | Wartość właściwości active mediów użytkownika podczas tworzenia mediów dla udostępnionego użytkownika.Możliwe wartości: 0 - (domyślnie) włączone; 1 - wyłączone. |
| severity | integer | Wartość właściwości severity mediów użytkownika podczas tworzenia mediów dla udostępnionego użytkownika.Domyślnie: 63. |
| period | string | Wartość właściwości period mediów użytkownika podczas tworzenia mediów dla udostępnionego użytkownika.Domyślnie: 1-7,00:00-24:00. |
Mapowania grup provisioningu
Mapowania grup provisioningu mają następujące właściwości.
| Właściwość | Typ | Opis |
|---|---|---|
| name | string | Pełna nazwa grupy (np. Zabbix administrators) w katalogu użytkowników LDAP/SAML (również SCIM, jeśli scim_status jest ustawione na „SCIM provisioning is enabled”).Obsługuje znak wieloznaczny „*”. Unikalna wśród wszystkich mapowań grup provisioningu. Zachowanie właściwości: - wymagane |
| roleid | ID | ID roli użytkownika, która ma zostać przypisana użytkownikowi. Jeśli dopasowanych zostanie wiele mapowań grup provisioningu, użytkownikowi zostanie przypisana rola o najwyższym typie użytkownika (User, Admin lub Super admin). Jeśli istnieje wiele ról z tym samym typem użytkownika, użytkownikowi zostanie przypisana pierwsza rola (posortowana alfabetycznie). Zachowanie właściwości: - wymagane |
| user_groups | array | Tablica obiektów ID grup użytkowników Zabbix. Każdy obiekt ma następujące właściwości:usrgrpid - (ID) ID grupy użytkowników Zabbix, która ma zostać przypisana użytkownikowi.Jeśli dopasowanych zostanie wiele mapowań grup provisioningu, użytkownikowi zostaną przypisane grupy użytkowników Zabbix ze wszystkich dopasowanych mapowań. Zachowanie właściwości: - wymagane |