Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.

3 Grupos de usuarios

Descripción general

Los grupos de usuarios permiten agrupar usuarios tanto con fines organizativos como para asignar permisos a los datos. Los permisos para ver y configurar datos de grupos de equipos y grupos de plantillas se asignan a los grupos de usuarios, no a usuarios individuales.

A menudo puede tener sentido separar qué información está disponible para un grupo de usuarios y cuál para otro. Esto se puede lograr agrupando usuarios y luego asignando permisos variados a los grupos de equipos y de plantillas.

Un usuario puede pertenecer a cualquier número de grupos.

Configuración

Para configurar un grupo de usuarios:

  • Vaya a Usuarios → Grupos de usuarios
  • Haga clic en Crear grupo de usuarios (o en el nombre del grupo para editar un grupo existente)
  • Edite los atributos del grupo en el formulario

La pestaña Grupo de usuarios contiene los atributos generales del grupo:

Todos los campos obligatorios están marcados con un asterisco rojo.

Parámetro Descripción
Nombre del grupo Nombre único del grupo.
Usuarios Para añadir usuarios al grupo, comience a escribir el nombre de un usuario existente. Cuando aparezca el desplegable con los nombres coincidentes, desplácese hacia abajo para seleccionar.
Alternativamente, puede hacer clic en el botón Seleccionar para seleccionar usuarios en una ventana emergente.
Acceso a la interfaz Cómo se autentican los usuarios del grupo.
Por defecto del sistema - utiliza el método de autenticación por defecto (configurado globalmente)
Interno - utiliza la autenticación interna de Zabbix (incluso si la autenticación LDAP se utiliza globalmente).
Se ignora si la autenticación HTTP es la predeterminada global.
LDAP - utiliza la autenticación LDAP (incluso si la autenticación interna se utiliza globalmente).
Se ignora si la autenticación HTTP es la predeterminada global.
Deshabilitado - el acceso a la interfaz de Zabbix está prohibido para este grupo
Servidor LDAP Seleccione qué servidor LDAP utilizar para autenticar al usuario.
Este campo solo está habilitado si Acceso a la interfaz está configurado en LDAP o Por defecto del sistema.
Autenticación multifactor Seleccione qué método de autenticación multifactor utilizar para autenticar al usuario:
Por defecto - utiliza el método configurado como predeterminado en la configuración MFA; esta opción se selecciona por defecto para los nuevos grupos de usuarios si MFA está habilitado;
<Nombre del método> - utiliza el método seleccionado (por ejemplo, "Zabbix TOTP");
Deshabilitado - MFA está deshabilitado para este grupo; esta opción se selecciona por defecto para los nuevos grupos de usuarios si MFA está deshabilitado.
Tenga en cuenta que si un usuario pertenece a varios grupos de usuarios con MFA habilitado (o al menos un grupo tiene MFA habilitado), se aplican las siguientes reglas de autenticación: si algún grupo utiliza el método MFA "Por defecto", este autenticará al usuario; de lo contrario, se utilizará el primer método (ordenado alfabéticamente) para la autenticación.
Habilitado Estado del grupo de usuarios y sus miembros.
Marcado - el grupo de usuarios y los usuarios están habilitados
Desmarcado - el grupo de usuarios y los usuarios están deshabilitados
Modo de depuración Marque esta casilla para activar el modo de depuración para los usuarios.

La pestaña Permisos de plantilla permite especificar el acceso del grupo de usuarios a los datos del grupo de plantillas (y por lo tanto a la plantilla):

La pestaña Permisos de equipo permite especificar el acceso del grupo de usuarios a los datos del grupo de equipos (y por lo tanto al equipo):

Haga clic en para elegir los grupos de plantillas/equipos (ya sea un grupo padre o anidado) y asignar permisos a estos. Comience a escribir el nombre del grupo (aparecerá un desplegable con los grupos coincidentes) o haga clic en Seleccionar para abrir una ventana emergente con la lista de todos los grupos.

Luego utilice los botones de opción para asignar permisos a los grupos seleccionados. Los permisos posibles son los siguientes:

  • Lectura-escritura - acceso de lectura y escritura a un grupo;
  • Lectura - acceso de solo lectura a un grupo;
  • Denegar - acceso denegado a un grupo.

Si el mismo grupo de plantillas/equipos se añade en varias filas con diferentes permisos establecidos, se aplicará el permiso más restrictivo.

Tenga en cuenta que un usuario Super admin puede forzar que los grupos anidados tengan el mismo nivel de permisos que el grupo padre; esto se puede hacer en el formulario de configuración del grupo de equipos/plantillas.

Las pestañas Permisos de plantilla y Permisos de equipo admiten el mismo conjunto de parámetros.

Los permisos actuales a los grupos se muestran en el bloque Permisos, y estos pueden ser modificados o eliminados.

Si un grupo de usuarios tiene permisos de Lectura-escritura sobre un equipo y Denegar o ningún permiso sobre una plantilla vinculada a este equipo, los usuarios de dicho grupo no podrán editar las métricas de plantilla en el equipo, y el nombre de la plantilla se mostrará como Plantilla inaccesible.

La pestaña Filtro de etiquetas de problemas permite establecer permisos basados en etiquetas para que los grupos de usuarios vean problemas filtrados por nombre y valor de etiqueta:

Haga clic en para elegir los grupos de equipos. Para seleccionar un grupo de equipos al que aplicar un filtro de etiquetas, haga clic en Seleccionar para obtener la lista completa de grupos de equipos existentes o comience a escribir el nombre de un grupo de equipos para obtener un desplegable de grupos coincidentes. Solo se mostrarán grupos de equipos, porque el filtro de etiquetas de problemas no se puede aplicar a grupos de plantillas.

Luego es posible cambiar de Todas las etiquetas a Lista de etiquetas para establecer etiquetas y sus valores específicos para el filtrado. Se pueden añadir nombres de etiquetas sin valores, pero no valores sin nombres. Solo las tres primeras etiquetas (con valores, si los hay) se muestran en el bloque Permisos; si hay más, estas pueden verse haciendo clic o pasando el ratón sobre el icono .

El filtro de etiquetas permite separar el acceso al grupo de equipos de la posibilidad de ver problemas.

Por ejemplo, si un administrador de bases de datos necesita ver solo los problemas de la base de datos "MySQL", es necesario crear primero un grupo de usuarios para los administradores de bases de datos, luego especificar el nombre de etiqueta "target" y el valor "mysql".

Si se especifica el nombre de etiqueta "target" y el campo de valor se deja en blanco, el grupo de usuarios verá todos los problemas con el nombre de etiqueta "target" para el grupo de equipos seleccionado. Si se selecciona Todas las etiquetas, el grupo de usuarios verá todos los problemas para el grupo de equipos especificado.

Asegúrese de que el nombre y el valor de la etiqueta estén especificados correctamente, de lo contrario, el grupo de usuarios no verá ningún problema.

Revisemos un ejemplo cuando un usuario es miembro de varios grupos de usuarios seleccionados. El filtrado en este caso utilizará la condición OR para las etiquetas.

Grupo de usuarios A Grupo de usuarios B Resultado visible para un usuario (miembro) de ambos grupos
Filtro de etiquetas
Grupo de equipos Nombre de etiqueta Valor de etiqueta Grupo de equipos Nombre de etiqueta Valor de etiqueta
Bases de datos target mysql Bases de datos target oracle problemas target:mysql o target:oracle visibles
Bases de datos configurado en: Todas las etiquetas Bases de datos target oracle Todos los problemas visibles
No configurado en el Filtro de etiquetas de problemas Bases de datos target oracle problemas target:oracle visibles

Añadir un filtro (por ejemplo, todas las etiquetas en un cierto grupo de equipos "Bases de datos") da como resultado no poder ver los problemas de otros grupos de equipos.

Acceso desde varios grupos de usuarios

Un usuario puede pertenecer a cualquier número de grupos de usuarios. Estos grupos pueden tener diferentes permisos de acceso a equipos o plantillas.

Por lo tanto, es importante saber a qué entidades podrá acceder un usuario sin privilegios como resultado. Por ejemplo, consideremos cómo se verá afectado el acceso al equipo X (en el Grupo de equipos 1) en varias situaciones para un usuario que pertenece a los grupos de usuarios A y B.

  • Si el Grupo A tiene solo acceso de Lectura al Grupo de equipos 1, pero el Grupo B tiene acceso de Lectura-escritura al Grupo de equipos 1, el usuario obtendrá acceso de Lectura-escritura a 'X'.

Los permisos de “Lectura-escritura” tienen prioridad sobre los permisos de “Lectura”.

  • En el mismo escenario anterior, si 'X' está simultáneamente también en el Grupo de equipos 2 que está denegado para el Grupo A o B, el acceso a 'X' será no disponible, a pesar del acceso de Lectura-escritura al Grupo de equipos 1.
  • Si el Grupo A no tiene permisos definidos y el Grupo B tiene acceso de Lectura-escritura al Grupo de equipos 1, el usuario obtendrá acceso de Lectura-escritura a 'X'.
  • Si el Grupo A tiene acceso de Denegado al Grupo de equipos 1 y el Grupo B tiene acceso de Lectura-escritura al Grupo de equipos 1, el acceso del usuario a 'X' será denegado.

Otros detalles

  • Un usuario de nivel Admin con acceso Lectura-escritura a un equipo no podrá vincular/desvincular plantillas si no tiene acceso al grupo de plantillas al que pertenecen. Con acceso Lectura al grupo de plantillas podrá vincular/desvincular plantillas al equipo, sin embargo, no verá ninguna plantilla en la lista de plantillas y no podrá operar con plantillas en otros lugares.
  • Un usuario de nivel Admin con acceso Lectura a un equipo no verá el equipo en la lista de equipos de la sección de configuración; sin embargo, los disparadores del equipo serán accesibles en la configuración de servicios TI.
  • Cualquier usuario que no sea Super Admin (incluido 'guest') puede ver mapas de red siempre que el mapa esté vacío o solo tenga imágenes. Cuando se añaden equipos, grupos de equipos o disparadores al mapa, se respetan los permisos.
  • El servidor Zabbix no enviará notificaciones a los usuarios definidos como destinatarios de operaciones de acción si el acceso al equipo en cuestión está explícitamente "denegado".