На странице
Объект каталога пользователей
Следующие объекты напрямую связаны с API userdirectory.
Каталог пользователей
Объект каталога пользователей имеет следующие свойства.
| Property | Type | Description |
|---|---|---|
| userdirectoryid | ID | ID каталога пользователей. Если каталог пользователей удален, значение свойства объекта User userdirectoryid для всех пользователей, связанных с удаленным каталогом пользователей, устанавливается в "0".Поведение свойства: - только для чтения - обязательно для операций обновления |
| idp_type | integer | Тип протокола аутентификации, используемого поставщиком удостоверений для каталога пользователей. Обратите внимание, что может существовать только один каталог пользователей типа SAML. Возможные значения: 1 - каталог пользователей типа LDAP; 2 - каталог пользователей типа SAML. Поведение свойства: - обязательно для операций создания |
| group_name | string | Атрибут каталога пользователей LDAP/SAML, содержащий имя группы, используемое для сопоставления групп между каталогом пользователей LDAP/SAML и Zabbix. Пример: cn Поведение свойства: - обязательно, если provision_status установлен в "Enabled" и saml_jit_status объекта Authentication установлен в "Enabled for configured SAML IdPs" |
| user_username | string | Атрибут каталога пользователей LDAP/SAML (также атрибут SCIM, если scim_status установлен в "SCIM provisioning is enabled"), содержащий имя пользователя, которое используется как значение свойства объекта User name при создании пользователя.Примеры: cn, commonName, displayName, name |
| user_lastname | string | Атрибут каталога пользователей LDAP/SAML (также атрибут SCIM, если scim_status установлен в "SCIM provisioning is enabled"), содержащий фамилию пользователя, которая используется как значение свойства объекта User surname при создании пользователя.Примеры: sn, surname, lastName |
| provision_status | integer | Статус provision для каталога пользователей. Возможные значения: 0 - (по умолчанию) Disabled (provisioning пользователей, созданных этим каталогом пользователей, отключен); 1 - Enabled (provisioning пользователей, созданных этим каталогом пользователей, включен; дополнительно должен быть включен статус LDAP или SAML provisioning ( ldap_jit_status или saml_jit_status объекта Authentication)). |
| provision_groups | array | Массив объектов сопоставлений групп provisioning для сопоставления шаблона группы пользователей LDAP/SAML с группой пользователей и ролью пользователя Zabbix. Поведение свойства: - обязательно, если provision_status установлен в "Enabled" |
| provision_media | array | Массив объектов сопоставлений типов медиа для сопоставления атрибутов медиа пользователя LDAP/SAML (например, email) с медиа пользователя Zabbix для отправки уведомлений. |
| LDAP-specific properties: | ||
| name | string | Уникальное имя каталога пользователей. Поведение свойства: - обязательно, если idp_type установлен в "User directory of type LDAP" |
| host | string | Имя узла сети, IP-адрес или URI LDAP-сервера. URI должен содержать схему ( ldap:// или ldaps://), узел сети и порт (необязательно).Примеры: host.example.com 127.0.0.1 ldap://ldap.example.com:389 Поведение свойства: - обязательно, если idp_type установлен в "User directory of type LDAP" |
| port | integer | Порт LDAP-сервера. Поведение свойства: - обязательно, если idp_type установлен в "User directory of type LDAP" |
| base_dn | string | Базовый путь каталога пользователей LDAP к учетным записям пользователей. Примеры: ou=Users,dc=example,dc=org ou=Users,ou=system (для OpenLDAP) DC=company,DC=com (для Microsoft Active Directory) uid=%{user},dc=example,dc=com (для прямой привязки пользователя; заполнитель "%{user}" обязателен) Поведение свойства: - обязательно, если idp_type установлен в "User directory of type LDAP" |
| search_attribute | string | Атрибут каталога пользователей LDAP, по которому определяется учетная запись пользователя на основе информации, переданной в запросе на вход. Примеры: uid (для OpenLDAP) sAMAccountName (для Microsoft Active Directory) Поведение свойства: - обязательно, если idp_type установлен в "User directory of type LDAP" |
| bind_dn | string | Учетная запись LDAP-сервера для привязки и поиска на LDAP-сервере. Для прямой привязки пользователя и анонимной привязки bind_dn должен быть пустым.Примеры: uid=ldap_search,ou=system (для OpenLDAP) CN=ldap_search,OU=user_group,DC=company,DC=com (для Microsoft Active Directory) CN=Admin,OU=Users,OU=Zabbix,DC=zbx,DC=local Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type LDAP" |
| bind_password | string | Пароль LDAP для учетной записи, используемой для привязки и поиска на LDAP-сервере. Для прямой привязки пользователя и анонимной привязки bind_password должен быть пустым.Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type LDAP" |
| description | string | Описание каталога пользователей. Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type LDAP" |
| group_basedn | string | Базовый путь каталога пользователей LDAP к группам; используется для настройки проверки членства пользователя в каталоге пользователей LDAP. Игнорируется при provisioning пользователя, если задан group_membership.Пример: ou=Groups,dc=example,dc=com Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type LDAP" |
| group_filter | string | Строка фильтра для получения групп каталога пользователей LDAP, членом которых является пользователь; используется для настройки проверки членства пользователя в каталоге пользователей LDAP. Игнорируется при provisioning пользователя, если задан group_membership.Поддерживаемые заполнители group_filter:%{attr} - атрибут поиска (заменяется значением свойства search_attribute);%{groupattr} - атрибут группы (заменяется значением свойства group_member);%{host} - имя узла сети, IP-адрес или URI LDAP-сервера (заменяется значением свойства host);%{user} - имя пользователя Zabbix. По умолчанию: (%{groupattr}=%{user}) Примеры: - (member=uid=%{ref},ou=Users,dc=example,dc=com) будет соответствовать "User1", если объект группы LDAP содержит атрибут "member" со значением "uid=User1,ou=Users,dc=example,dc=com", и вернет группу, членом которой является "User1"; - (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) будет соответствовать "User1", если объект группы LDAP содержит атрибут, указанный в свойстве group_member, со значением "cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com", и вернет группу, членом которой является "User1".Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type LDAP" |
| group_member | string | Атрибут каталога пользователей LDAP, содержащий информацию о членах группы; используется для настройки проверки членства пользователя в каталоге пользователей LDAP. Игнорируется при provisioning пользователя, если задан group_membership.Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type LDAP" |
| group_membership | string | Атрибут каталога пользователей LDAP, содержащий информацию о группах, к которым принадлежит пользователь. Пример: memberOf Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type LDAP" |
| search_filter | string | Пользовательская строка фильтра, используемая для поиска и аутентификации пользователя в каталоге пользователей LDAP на основе информации, переданной в запросе на вход. Поддерживаемые заполнители search_filter:%{attr} - имя атрибута поиска (например, uid, sAMAccountName); %{user} - имя пользователя Zabbix. По умолчанию: (%{attr}=%{user}) Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type LDAP" |
| start_tls | integer | Параметр конфигурации LDAP-сервера, который позволяет защищать связь с LDAP-сервером с помощью Transport Layer Security (TLS). Обратите внимание, что start_tls должен быть установлен в "Disabled" для узлов сети, использующих протокол ldaps://.Возможные значения: 0 - (по умолчанию) Disabled; 1 - Enabled. Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type LDAP" |
| user_ref_attr | string | Атрибут каталога пользователей LDAP, используемый для ссылки на объект пользователя. Значение user_ref_attr используется для получения значений из указанного атрибута в каталоге пользователей и подстановки их вместо заполнителя %{ref} в строке group_filter.Примеры: cn, uid, member, uniqueMember Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type LDAP" |
| SAML-specific properties: | ||
| idp_entityid | string | URI, который идентифицирует поставщика удостоверений и используется для обмена сообщениями SAML с поставщиком удостоверений. Пример: https://idp.example.com/idp Поведение свойства: - обязательно, если idp_type установлен в "User directory of type SAML" |
| sp_entityid | string | URL или любая строка, которая идентифицирует поставщика услуг поставщика удостоверений. Примеры: https://idp.example.com/sp zabbix Поведение свойства: - обязательно, если idp_type установлен в "User directory of type SAML" |
| username_attribute | string | Атрибут каталога пользователей SAML (также атрибут SCIM, если scim_status установлен в "SCIM provisioning is enabled"), содержащий имя пользователя, которое сравнивается со значением свойства объекта User username при аутентификации.Примеры: uid, userprincipalname, samaccountname, username, userusername, urn:oid:0.9.2342.19200300.100.1.1, urn:oid:1.3.6.1.4.1.5923.1.1.1.13, urn:oid:0.9.2342.19200300.100.1.44 Поведение свойства: - обязательно, если idp_type установлен в "User directory of type SAML" |
| sso_url | string | URL службы единого входа SAML поставщика удостоверений, на которую Zabbix будет отправлять запросы аутентификации SAML. Пример: http://idp.example.com/idp/sso/saml Поведение свойства: - обязательно, если idp_type установлен в "User directory of type SAML" |
| slo_url | string | URL службы единого выхода SAML поставщика удостоверений, на которую Zabbix будет отправлять запросы выхода SAML. Пример: https://idp.example.com/idp/slo/saml Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type SAML" |
| encrypt_nameid | integer | Следует ли шифровать SAML Name ID. Возможные значения: 0 - (по умолчанию) Не шифровать Name ID; 1 - Шифровать Name ID. Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type SAML" |
| encrypt_assertions | integer | Следует ли шифровать SAML assertions. Возможные значения: 0 - (по умолчанию) Не шифровать assertions; 1 - Шифровать assertions. Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type SAML" |
| nameid_format | string | Формат Name ID для поставщика услуг SAML поставщика удостоверений. Примеры: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:entity Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type SAML" |
| scim_status | integer | Включено или отключено provisioning SCIM для SAML. Возможные значения: 0 - (по умолчанию) SCIM provisioning отключен; 1 - SCIM provisioning включен. Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type SAML" |
| sign_assertions | integer | Следует ли подписывать SAML assertions с помощью подписи SAML. Возможные значения: 0 - (по умолчанию) Не подписывать assertions; 1 - Подписывать assertions. Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type SAML" |
| sign_authn_requests | integer | Следует ли подписывать запросы SAML AuthN с помощью подписи SAML. Возможные значения: 0 - (по умолчанию) Не подписывать запросы AuthN; 1 - Подписывать запросы AuthN. Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type SAML" |
| sign_messages | integer | Следует ли подписывать сообщения SAML с помощью подписи SAML. Возможные значения: 0 - (по умолчанию) Не подписывать сообщения; 1 - Подписывать сообщения. Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type SAML" |
| sign_logout_requests | integer | Следует ли подписывать запросы выхода SAML с помощью подписи SAML. Возможные значения: 0 - (по умолчанию) Не подписывать запросы выхода; 1 - Подписывать запросы выхода. Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type SAML" |
| sign_logout_responses | integer | Следует ли подписывать ответы на выход SAML с помощью подписи SAML. Возможные значения: 0 - (по умолчанию) Не подписывать ответы на выход; 1 - Подписывать ответы на выход. Поведение свойства: - поддерживается, если idp_type установлен в "User directory of type SAML" |
Сопоставления типов носителей
Объект сопоставлений типов носителей имеет следующие свойства.
| Property | Type | Description |
|---|---|---|
| userdirectory_mediaid | ID | ID сопоставления типа носителя. Поведение свойства: - только для чтения |
| name | string | Отображаемое имя в списке сопоставлений типов носителей. Поведение свойства: - обязательное |
| mediatypeid | ID | ID типа носителя, который будет создан; используется как значение свойства объекта Media mediatypeid.Поведение свойства: - обязательное |
| attribute | string | Атрибут каталога пользователей LDAP/SAML (также атрибут SCIM, если scim_status имеет значение "SCIM provisioning is enabled"), который содержит носитель пользователя (например, [email protected]), используемый как значение свойства объекта Media sendto.Если он присутствует в данных, полученных от поставщика удостоверений LDAP/SAML, и его значение не пустое, это вызовет создание носителя для подготовленного пользователя. Поведение свойства: - обязательное |
| active | integer | Значение свойства active носителя пользователя при создании носителя для подготовленного пользователя.Возможные значения: 0 - (по умолчанию) включено; 1 - отключено. |
| severity | integer | Значение свойства severity носителя пользователя при создании носителя для подготовленного пользователя.По умолчанию: 63. |
| period | string | Значение свойства period носителя пользователя при создании носителя для подготовленного пользователя.По умолчанию: 1-7,00:00-24:00. |
Сопоставления групп для автоматического создания пользователей
Сопоставления групп для автоматического создания пользователей имеют следующие свойства.
| Property | Type | Description |
|---|---|---|
| name | string | Полное имя группы (например, Zabbix administrators) в каталоге пользователей LDAP/SAML (а также SCIM, если scim_status имеет значение "SCIM provisioning is enabled").Поддерживает символ подстановки "*". Уникально среди всех сопоставлений групп для автоматического создания пользователей. Property behavior: - required |
| roleid | ID | ID роли пользователя, назначаемой пользователю. Если совпадает несколько сопоставлений групп для автоматического создания пользователей, пользователю назначается роль с наивысшим типом пользователя (User, Admin или Super admin). Если есть несколько ролей с одинаковым типом пользователя, пользователю назначается первая роль (отсортированная в алфавитном порядке). Property behavior: - required |
| user_groups | array | Массив объектов ID групп пользователей Zabbix. Каждый объект имеет следующие свойства:usrgrpid - (ID) ID группы пользователей Zabbix, назначаемой пользователю.Если совпадает несколько сопоставлений групп для автоматического создания пользователей, пользователю назначаются группы пользователей Zabbix из всех совпавших сопоставлений. Property behavior: - required |