Sommaire
Objet user directory
Les objets suivants sont directement liés à l'API userdirectory.
Répertoire d’utilisateurs
L’objet répertoire d’utilisateurs possède les propriétés suivantes.
| Property | Type | Description |
|---|---|---|
| userdirectoryid | ID | ID du répertoire d’utilisateurs. Si un répertoire d’utilisateurs est supprimé, la valeur de la propriété userdirectoryid de l’objet utilisateur est définie sur "0" pour tous les utilisateurs liés au répertoire d’utilisateurs supprimé.Comportement de la propriété : - lecture seule - obligatoire pour les opérations de mise à jour |
| idp_type | integer | Type du protocole d’authentification utilisé par le fournisseur d’identité pour le répertoire d’utilisateurs. Notez qu’un seul répertoire d’utilisateurs de type SAML peut exister. Valeurs possibles : 1 - Répertoire d’utilisateurs de type LDAP ; 2 - Répertoire d’utilisateurs de type SAML. Comportement de la propriété : - obligatoire pour les opérations de création |
| group_name | string | Attribut du répertoire d’utilisateurs LDAP/SAML qui contient le nom du groupe utilisé pour mapper les groupes entre le répertoire d’utilisateurs LDAP/SAML et Zabbix. Exemple : cn Comportement de la propriété : - obligatoire si provision_status est défini sur "Enabled" et si saml_jit_status de l’objet d’authentification est défini sur "Enabled for configured SAML IdPs" |
| user_username | string | Attribut du répertoire d’utilisateurs LDAP/SAML (également attribut SCIM si scim_status est défini sur "SCIM provisioning is enabled") qui contient le prénom de l’utilisateur, utilisé comme valeur de la propriété name de l’objet utilisateur lors du provisionnement de l’utilisateur.Exemples : cn, commonName, displayName, name |
| user_lastname | string | Attribut du répertoire d’utilisateurs LDAP/SAML (également attribut SCIM si scim_status est défini sur "SCIM provisioning is enabled") qui contient le nom de famille de l’utilisateur, utilisé comme valeur de la propriété surname de l’objet utilisateur lors du provisionnement de l’utilisateur.Exemples : sn, surname, lastName |
| provision_status | integer | État du provisionnement du répertoire d’utilisateurs. Valeurs possibles : 0 - (par défaut) Désactivé (le provisionnement des utilisateurs créés par ce répertoire d’utilisateurs est désactivé) ; 1 - Activé (le provisionnement des utilisateurs créés par ce répertoire d’utilisateurs est activé ; en outre, l’état du provisionnement LDAP ou SAML ( ldap_jit_status ou saml_jit_status de l’objet d’authentification) doit être activé). |
| provision_groups | array | Tableau d’objets de mappages de groupes de provisionnement pour mapper le modèle de groupe d’utilisateurs LDAP/SAML à un groupe d’utilisateurs Zabbix et à un rôle utilisateur. Comportement de la propriété : - obligatoire si provision_status est défini sur "Enabled" |
| provision_media | array | Tableau d’objets de mappages de types de média pour mapper les attributs de média LDAP/SAML de l’utilisateur (par exemple, l’e-mail) aux médias utilisateur Zabbix pour l’envoi de notifications. |
| Propriétés spécifiques à LDAP : | ||
| name | string | Nom unique du répertoire d’utilisateurs. Comportement de la propriété : - obligatoire si idp_type est défini sur "User directory of type LDAP" |
| host | string | Nom d’hôte, IP ou URI du serveur LDAP. L’URI doit contenir le schéma ( ldap:// ou ldaps://), l’hôte et le port (facultatif).Exemples : host.example.com 127.0.0.1 ldap://ldap.example.com:389 Comportement de la propriété : - obligatoire si idp_type est défini sur "User directory of type LDAP" |
| port | integer | Port du serveur LDAP. Comportement de la propriété : - obligatoire si idp_type est défini sur "User directory of type LDAP" |
| base_dn | string | Chemin de base du répertoire d’utilisateurs LDAP vers les comptes utilisateur. Exemples : ou=Users,dc=example,dc=org ou=Users,ou=system (pour OpenLDAP) DC=company,DC=com (pour Microsoft Active Directory) uid=%{user},dc=example,dc=com (pour la liaison directe de l’utilisateur ; l’espace réservé "%{user}" est obligatoire) Comportement de la propriété : - obligatoire si idp_type est défini sur "User directory of type LDAP" |
| search_attribute | string | Attribut du répertoire d’utilisateurs LDAP permettant d’identifier le compte utilisateur à partir des informations fournies dans la requête de connexion. Exemples : uid (pour OpenLDAP) sAMAccountName (pour Microsoft Active Directory) Comportement de la propriété : - obligatoire si idp_type est défini sur "User directory of type LDAP" |
| bind_dn | string | Compte du serveur LDAP utilisé pour la liaison et la recherche sur le serveur LDAP. Pour la liaison directe de l’utilisateur et la liaison anonyme, bind_dn doit être vide.Exemples : uid=ldap_search,ou=system (pour OpenLDAP) CN=ldap_search,OU=user_group,DC=company,DC=com (pour Microsoft Active Directory) CN=Admin,OU=Users,OU=Zabbix,DC=zbx,DC=local Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| bind_password | string | Mot de passe LDAP du compte utilisé pour la liaison et la recherche sur le serveur LDAP. Pour la liaison directe de l’utilisateur et la liaison anonyme, bind_password doit être vide.Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| description | string | Description du répertoire d’utilisateurs. Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| group_basedn | string | Chemin de base du répertoire d’utilisateurs LDAP vers les groupes ; utilisé pour configurer une vérification de l’appartenance d’un utilisateur dans le répertoire d’utilisateurs LDAP. Ignoré lors du provisionnement d’un utilisateur si group_membership est défini.Exemple : ou=Groups,dc=example,dc=com Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| group_filter | string | Chaîne de filtre pour récupérer les groupes du répertoire d’utilisateurs LDAP dont l’utilisateur est membre ; utilisée pour configurer une vérification de l’appartenance d’un utilisateur dans le répertoire d’utilisateurs LDAP. Ignoré lors du provisionnement d’un utilisateur si group_membership est défini.Espaces réservés group_filter pris en charge :%{attr} - attribut de recherche (remplacé par la valeur de la propriété search_attribute) ;%{groupattr} - attribut de groupe (remplacé par la valeur de la propriété group_member) ;%{host} - nom d’hôte, IP ou URI du serveur LDAP (remplacé par la valeur de la propriété host) ;%{user} - nom d’utilisateur Zabbix. Par défaut : (%{groupattr}=%{user}) Exemples : - (member=uid=%{ref},ou=Users,dc=example,dc=com) correspondra à "User1" si un objet de groupe LDAP contient l’attribut "member" avec la valeur "uid=User1,ou=Users,dc=example,dc=com", et renverra le groupe dont "User1" est membre ; - (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) correspondra à "User1" si un objet de groupe LDAP contient l’attribut spécifié dans la propriété group_member avec la valeur "cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com", et renverra le groupe dont "User1" est membre.Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| group_member | string | Attribut du répertoire d’utilisateurs LDAP qui contient des informations sur les membres du groupe ; utilisé pour configurer une vérification de l’appartenance d’un utilisateur dans le répertoire d’utilisateurs LDAP. Ignoré lors du provisionnement d’un utilisateur si group_membership est défini.Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| group_membership | string | Attribut du répertoire d’utilisateurs LDAP qui contient des informations sur les groupes auxquels appartient un utilisateur. Exemple : memberOf Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| search_filter | string | Chaîne de filtre personnalisée utilisée pour localiser et authentifier un utilisateur dans un répertoire d’utilisateurs LDAP à partir des informations fournies dans la requête de connexion. Espaces réservés search_filter pris en charge :%{attr} - nom de l’attribut de recherche (par exemple, uid, sAMAccountName) ; %{user} - nom d’utilisateur Zabbix. Par défaut : (%{attr}=%{user}) Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| start_tls | integer | Option de configuration du serveur LDAP qui permet de sécuriser la communication avec le serveur LDAP à l’aide de Transport Layer Security (TLS). Notez que start_tls doit être défini sur "Disabled" pour les hôtes utilisant le protocole ldaps://.Valeurs possibles : 0 - (par défaut) Désactivé ; 1 - Activé. Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| user_ref_attr | string | Attribut du répertoire d’utilisateurs LDAP utilisé pour référencer un objet utilisateur. La valeur de user_ref_attr est utilisée pour obtenir des valeurs à partir de l’attribut spécifié dans le répertoire d’utilisateurs et les placer à la place de l’espace réservé %{ref} dans la chaîne group_filter.Exemples : cn, uid, member, uniqueMember Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type LDAP" |
| Propriétés spécifiques à SAML : | ||
| idp_entityid | string | URI qui identifie le fournisseur d’identité et est utilisée pour communiquer avec le fournisseur d’identité dans les messages SAML. Exemple : https://idp.example.com/idp Comportement de la propriété : - obligatoire si idp_type est défini sur "User directory of type SAML" |
| sp_entityid | string | URL ou toute chaîne qui identifie le fournisseur de services du fournisseur d’identité. Exemples : https://idp.example.com/sp zabbix Comportement de la propriété : - obligatoire si idp_type est défini sur "User directory of type SAML" |
| username_attribute | string | Attribut du répertoire d’utilisateurs SAML (également attribut SCIM si scim_status est défini sur "SCIM provisioning is enabled") qui contient le nom d’utilisateur de l’utilisateur, comparé à la valeur de la propriété username de l’objet utilisateur lors de l’authentification.Exemples : uid, userprincipalname, samaccountname, username, userusername, urn:oid:0.9.2342.19200300.100.1.1, urn:oid:1.3.6.1.4.1.5923.1.1.1.13, urn:oid:0.9.2342.19200300.100.1.44 Comportement de la propriété : - obligatoire si idp_type est défini sur "User directory of type SAML" |
| sso_url | string | URL du service SAML d’authentification unique du fournisseur d’identité, vers laquelle Zabbix enverra les requêtes d’authentification SAML. Exemple : http://idp.example.com/idp/sso/saml Comportement de la propriété : - obligatoire si idp_type est défini sur "User directory of type SAML" |
| slo_url | string | URL du service SAML de déconnexion unique du fournisseur d’identité, vers laquelle Zabbix enverra les requêtes de déconnexion SAML. Exemple : https://idp.example.com/idp/slo/saml Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" |
| encrypt_nameid | integer | Indique si l’identifiant de nom SAML doit être chiffré. Valeurs possibles : 0 - (par défaut) Ne pas chiffrer l’identifiant de nom ; 1 - Chiffrer l’identifiant de nom. Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" |
| encrypt_assertions | integer | Indique si les assertions SAML doivent être chiffrées. Valeurs possibles : 0 - (par défaut) Ne pas chiffrer les assertions ; 1 - Chiffrer les assertions. Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" |
| nameid_format | string | Format de l’identifiant de nom du fournisseur de services du fournisseur d’identité SAML. Exemples : urn:oasis:names:tc:SAML:2.0:nameid-format:persistent urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:entity Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" |
| scim_status | integer | Indique si le provisionnement SCIM pour SAML est activé ou désactivé. Valeurs possibles : 0 - (par défaut) Le provisionnement SCIM est désactivé ; 1 - Le provisionnement SCIM est activé. Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" |
| sign_assertions | integer | Indique si les assertions SAML doivent être signées avec une signature SAML. Valeurs possibles : 0 - (par défaut) Ne pas signer les assertions ; 1 - Signer les assertions. Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" |
| sign_authn_requests | integer | Indique si les requêtes AuthN SAML doivent être signées avec une signature SAML. Valeurs possibles : 0 - (par défaut) Ne pas signer les requêtes AuthN ; 1 - Signer les requêtes AuthN. Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" |
| sign_messages | integer | Indique si les messages SAML doivent être signés avec une signature SAML. Valeurs possibles : 0 - (par défaut) Ne pas signer les messages ; 1 - Signer les messages. Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" |
| sign_logout_requests | integer | Indique si les requêtes de déconnexion SAML doivent être signées avec une signature SAML. Valeurs possibles : 0 - (par défaut) Ne pas signer les requêtes de déconnexion ; 1 - Signer les requêtes de déconnexion. Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" |
| sign_logout_responses | integer | Indique si les réponses de déconnexion SAML doivent être signées avec une signature SAML. Valeurs possibles : 0 - (par défaut) Ne pas signer les réponses de déconnexion ; 1 - Signer les réponses de déconnexion. Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" |
| idp_certificate | string | Contenu du certificat du fournisseur de services (SP) pour la configuration du service SAML d’authentification unique (SSO). Exemples : -----BEGIN CERTIFICATE----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7... ...more encoded data... -----END CERTIFICATE----- Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" et si $SSO['CERT_STORAGE'] est défini sur database dans zabbix.conf.php- écriture seule |
| sp_private_key | string | Contenu de la clé privée du fournisseur de services (SP) pour la configuration du service SAML d’authentification unique (SSO). Fournit une authentification sécurisée et un échange de données avec le fournisseur d’identité (IdP). Exemples : -----BEGIN CERTIFICATE----- MIIEvQIBADANBgkqhkiG9w0BA... ...more encoded data... -----END CERTIFICATE----- Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" et si $SSO['CERT_STORAGE'] est défini sur database dans zabbix.conf.php- écriture seule |
| sp_certificate | string | Contenu du certificat du fournisseur de services (SP) pour la configuration du service SAML d’authentification unique (SSO). Exemples : -----BEGIN CERTIFICATE----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7... ...more encoded data... -----END CERTIFICATE----- Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" et si $SSO['CERT_STORAGE'] est défini sur database dans zabbix.conf.php- écriture seule |
| idp_certificate_hash | string | Le hachage md5 de la valeur de idp_certificate. Renvoie une chaîne vide si idp_certificate est vide.Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" et si $SSO['CERT_STORAGE'] est défini sur database dans zabbix.conf.php- lecture seule |
| sp_private_key_hash | string | Le hachage md5 de la valeur de sp_private_key. Renvoie une chaîne vide si sp_private_key est vide.Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" et si $SSO['CERT_STORAGE'] est défini sur database dans zabbix.conf.php- lecture seule |
| sp_certificate_hash | string | Le hachage md5 de la valeur de sp_certificate. Renvoie une chaîne vide si sp_certificate est vide.Comportement de la propriété : - pris en charge si idp_type est défini sur "User directory of type SAML" et si $SSO['CERT_STORAGE'] est défini sur database dans zabbix.conf.php- lecture seule |
Mappages des types de média
L'objet de mappages des types de média possède les propriétés suivantes.
| Propriété | Type | Description |
|---|---|---|
| userdirectory_mediaid | ID | ID du mappage du type de média. Comportement de la propriété : - lecture seule |
| name | string | Nom visible dans la liste des mappages des types de média. Comportement de la propriété : - obligatoire |
| mediatypeid | ID | ID du type de média à créer ; utilisé comme valeur de la propriété mediatypeid de l'objet Media.Comportement de la propriété : - obligatoire |
| attribute | string | Attribut de l'annuaire d'utilisateurs LDAP/SAML (également attribut SCIM si scim_status est défini sur « SCIM provisioning is enabled ») qui contient le média de l'utilisateur (par exemple, [email protected]), utilisé comme valeur de la propriété sendto de l'objet Media.S'il est présent dans les données reçues du fournisseur d'identité LDAP/SAML et que la valeur n'est pas vide, cela déclenchera la création du média pour l'utilisateur provisionné. Comportement de la propriété : - obligatoire |
| active | integer | Valeur de la propriété active du média utilisateur lors de la création du média pour l'utilisateur provisionné.Valeurs possibles : 0 - (par défaut) activé ; 1 - désactivé. |
| severity | integer | Valeur de la propriété severity du média utilisateur lors de la création du média pour l'utilisateur provisionné.Par défaut : 63. |
| period | string | Valeur de la propriété period du média utilisateur lors de la création du média pour l'utilisateur provisionné.Par défaut : 1-7,00:00-24:00. |
Mappages des groupes de provisionnement
Les mappages des groupes de provisionnement possèdent les propriétés suivantes.
| Propriété | Type | Description |
|---|---|---|
| name | string | Nom complet d’un groupe (par ex., Administrateurs Zabbix) dans l’annuaire d’utilisateurs LDAP/SAML (également SCIM si scim_status est défini sur « Le provisionnement SCIM est activé »).Prend en charge le caractère générique « * ». Unique parmi tous les mappages des groupes de provisionnement. Comportement de la propriété : - obligatoire |
| roleid | ID | ID du rôle utilisateur à attribuer à l’utilisateur. Si plusieurs mappages des groupes de provisionnement correspondent, le rôle du type d’utilisateur le plus élevé (Utilisateur, Admin ou Super admin) est attribué à l’utilisateur. S’il existe plusieurs rôles avec le même type d’utilisateur, le premier rôle (trié par ordre alphabétique) est attribué à l’utilisateur. Comportement de la propriété : - obligatoire |
| user_groups | array | Tableau d’objets d’ID de groupes d’utilisateurs Zabbix. Chaque objet possède les propriétés suivantes :usrgrpid - (ID) ID du groupe d’utilisateurs Zabbix à attribuer à l’utilisateur.Si plusieurs mappages des groupes de provisionnement correspondent, les groupes d’utilisateurs Zabbix de tous les mappages correspondants sont attribués à l’utilisateur. Comportement de la propriété : - obligatoire |