3 Groupes d'utilisateur
Vue d’ensemble
Les groupes d’utilisateurs permettent de regrouper les utilisateurs à la fois à des fins organisationnelles et pour attribuer des autorisations d’accès aux données. Les autorisations de consultation et de configuration des données des groupes d’hôtes et des groupes de modèles sont attribuées aux groupes d’utilisateurs, et non aux utilisateurs individuels.
Il est souvent judicieux de distinguer les informations disponibles pour un groupe d’utilisateurs de celles accessibles à un autre. Cela peut être réalisé en regroupant les utilisateurs, puis en attribuant des autorisations différentes aux groupes d’hôtes et aux groupes de modèles.
Un utilisateur peut appartenir à un nombre quelconque de groupes.
Configuration
Pour configurer un groupe d'utilisateurs :
- Allez dans Utilisateurs > Groupes d'utilisateurs
- Cliquez sur Créer un groupe d'utilisateurs (ou sur le nom du groupe pour modifier un groupe existant)
- Modifiez les attributs du groupe dans le formulaire
L'onglet Groupe d'utilisateurs contient les attributs généraux du groupe :
Tous les champs de saisie obligatoires sont marqués d'un astérisque rouge.
| Parameter | Description |
|---|---|
| Nom du groupe | Nom de groupe unique. |
| Utilisateurs | Pour ajouter des utilisateurs au groupe, commencez à saisir le nom d'un utilisateur existant. Lorsque la liste déroulante avec les noms d'utilisateurs correspondants apparaît, faites défiler pour sélectionner. Vous pouvez également cliquer sur le bouton Sélectionner pour choisir des utilisateurs dans une fenêtre contextuelle. |
| Accès au frontend | Définit comment les utilisateurs du groupe sont authentifiés. Par défaut du système - utiliser la méthode d'authentification par défaut (définie globalement) Interne - utiliser l'authentification interne de Zabbix (même si l'authentification LDAP est utilisée globalement). Ignoré si l'authentification HTTP est la valeur par défaut globale. LDAP - utiliser l'authentification LDAP (même si l'authentification interne est utilisée globalement). Ignoré si l'authentification HTTP est la valeur par défaut globale. Désactivé - l'accès au frontend Zabbix est interdit pour ce groupe |
| Serveur LDAP | Sélectionnez quel serveur LDAP utiliser pour authentifier l'utilisateur. Ce champ est activé uniquement si Accès au frontend est défini sur LDAP ou Par défaut du système. |
| Authentification multifacteur | Sélectionnez quelle méthode d'authentification multifacteur utiliser pour authentifier l'utilisateur : Par défaut - utiliser la méthode définie par défaut dans la configuration MFA ; cette option est sélectionnée par défaut pour les nouveaux groupes d'utilisateurs si MFA est activée ; <Nom de la méthode> - utiliser la méthode sélectionnée (par exemple, "Zabbix TOTP") ; Désactivé - MFA est désactivée pour ce groupe ; cette option est sélectionnée par défaut pour les nouveaux groupes d'utilisateurs si MFA est désactivée. Notez que si un utilisateur appartient à plusieurs groupes d'utilisateurs avec MFA activée (ou si au moins un groupe a MFA activée), les règles d'authentification suivantes s'appliquent : si un groupe utilise la méthode MFA "Par défaut", elle servira à authentifier l'utilisateur ; sinon, la première méthode (par ordre alphabétique) sera utilisée pour l'authentification. |
| Activé | Statut du groupe d'utilisateurs et des membres du groupe. Coché - le groupe d'utilisateurs et les utilisateurs sont activés Décoché - le groupe d'utilisateurs et les utilisateurs sont désactivés |
| Mode de débogage | Cochez cette case pour activer le mode de débogage pour les utilisateurs. |
L'onglet Autorisations des modèles permet de spécifier l'accès du groupe d'utilisateurs aux données des groupes de modèles (et donc des modèles) :
L'onglet Autorisations des hôtes permet de spécifier l'accès du groupe d'utilisateurs aux données des groupes d'hôtes (et donc des hôtes) :
Cliquez sur 
pour choisir les groupes de modèles/d'hôtes (qu'il s'agisse d'un groupe parent ou imbriqué) et leur attribuer des autorisations.
Commencez à saisir le nom du groupe (une liste déroulante des groupes correspondants apparaîtra) ou cliquez sur Sélectionner pour ouvrir une fenêtre contextuelle répertoriant tous les groupes.
Utilisez ensuite les boutons d'option pour attribuer des autorisations aux groupes choisis. Les autorisations possibles sont les suivantes :
- Lecture-écriture - accès en lecture-écriture à un groupe
- Lecture - accès en lecture seule à un groupe
- Refuser - accès à un groupe refusé
Si le même groupe de modèles/d'hôtes est ajouté sur plusieurs lignes avec des autorisations différentes, l'autorisation la plus restrictive sera appliquée.
Notez qu'un utilisateur Super admin peut imposer aux groupes imbriqués d'avoir le même niveau d'autorisations que le groupe parent ; cela peut être fait dans le formulaire de configuration du groupe d'hôtes/de modèles.
Les onglets Autorisations des modèles et Autorisations des hôtes prennent en charge le même ensemble de paramètres.
Les autorisations actuelles sur les groupes sont affichées dans le bloc Autorisations, et elles peuvent être modifiées ou supprimées.
Si un groupe d'utilisateurs dispose des autorisations Lecture-écriture sur un hôte et des autorisations Refuser ou d'aucune autorisation sur un modèle lié à cet hôte, les utilisateurs de ce groupe ne pourront pas modifier les éléments hérités du modèle sur l'hôte, et le nom du modèle sera affiché comme Modèle inaccessible.
L'onglet Filtre des tags de problème permet de définir, pour les groupes d'utilisateurs, des autorisations basées sur les tags afin de voir les problèmes filtrés par nom et valeur de tag :
Cliquez sur pour choisir les groupes d'hôtes.
Pour sélectionner un groupe d'hôtes auquel appliquer un filtre de tags, cliquez sur Sélectionner pour obtenir la liste complète des groupes d'hôtes existants ou commencez à saisir le nom d'un groupe d'hôtes pour obtenir une liste déroulante des groupes correspondants.
Seuls les groupes d'hôtes seront affichés, car le filtre des tags de problème ne peut pas être appliqué aux groupes de modèles.
Il est ensuite possible de passer de Tous les tags à Liste des tags afin de définir des tags particuliers et leurs valeurs pour le filtrage.
Des noms de tags sans valeurs peuvent être ajoutés, mais des valeurs sans noms ne le peuvent pas.
Seuls les trois premiers tags (avec leurs valeurs, le cas échéant) sont affichés dans le bloc Autorisations ; s'il y en a davantage, ils peuvent être consultés en cliquant sur l'icône 
ou en la survolant.
Le filtre des tags permet de dissocier l'accès au groupe d'hôtes de la possibilité de voir les problèmes.
Par exemple, si un administrateur de base de données doit voir uniquement les problèmes de base de données "MySQL", il faut d'abord créer un groupe d'utilisateurs pour les administrateurs de base de données, puis spécifier le nom de tag "target" et la valeur "mysql".
Si le nom de tag "target" est spécifié et que le champ de valeur est laissé vide, le groupe d'utilisateurs verra tous les problèmes avec le nom de tag "target" pour le groupe d'hôtes sélectionné. Si Tous les tags est sélectionné, le groupe d'utilisateurs verra tous les problèmes pour le groupe d'hôtes spécifié.
Assurez-vous que le nom du tag et la valeur du tag sont correctement spécifiés ; sinon, le groupe d'utilisateurs ne verra aucun problème.
Examinons un exemple où un utilisateur est membre de plusieurs groupes d'utilisateurs sélectionnés. Dans ce cas, le filtrage utilisera une condition OR pour les tags.
| Groupe d'utilisateurs A | Groupe d'utilisateurs B | Résultat visible pour un utilisateur (membre) des deux groupes | ||||
| Filtre de tags | ||||||
| Groupe d'hôtes | Nom du tag | Valeur du tag | Groupe d'hôtes | Nom du tag | Valeur du tag | |
| Databases | target | mysql | Databases | target | oracle | problèmes target:mysql ou target:oracle visibles |
| Databases | défini sur : Tous les tags | Databases | target | oracle | Tous les problèmes visibles | |
| Non configuré dans le Filtre des tags de problème | Databases | target | oracle | problèmes target:oracle visibles | ||
L'ajout d'un filtre (par exemple, tous les tags dans un certain groupe d'hôtes "Databases") a pour conséquence qu'il n'est plus possible de voir les problèmes des autres groupes d'hôtes.
Accès depuis plusieurs groupes d’utilisateurs
Un utilisateur peut appartenir à un nombre quelconque de groupes d’utilisateurs. Ces groupes peuvent avoir des autorisations d’accès différentes aux hôtes ou aux modèles.
Il est donc important de savoir à quelles entités un utilisateur non privilégié pourra accéder au final. Dans l’exemple suivant, examinez comment l’accès à l’hôte X (dans le groupe d’hôtes 1) sera affecté dans différentes situations pour un utilisateur appartenant aux groupes d’utilisateurs A et B.
- Si le groupe A dispose uniquement d’un accès Lecture au groupe d’hôtes 1, mais que le groupe B dispose d’un accès Lecture-écriture au groupe d’hôtes 1, l’utilisateur obtiendra un accès Lecture-écriture à « X ».
Les autorisations « Lecture-écriture » ont priorité sur les autorisations « Lecture ».
- Dans le même scénario que ci-dessus, si « X » appartient simultanément aussi au groupe d’hôtes 2 qui est refusé au groupe A ou B, l’accès à « X » sera indisponible, malgré un accès Lecture-écriture au groupe d’hôtes 1.
- Si aucune autorisation n’est définie pour le groupe A et que le groupe B dispose d’un accès Lecture-écriture au groupe d’hôtes 1, l’utilisateur obtiendra un accès Lecture-écriture à « X ».
- Si le groupe A dispose d’un accès Refuser au groupe d’hôtes 1 et que le groupe B dispose d’un accès Lecture-écriture au groupe d’hôtes 1, l’accès à « X » sera refusé à l’utilisateur.
Autres détails
- Un utilisateur de niveau Admin disposant d’un accès Lecture-écriture à un hôte ne pourra pas lier/délier des modèles s’il n’a pas accès au groupe de modèles auquel ils appartiennent. Avec un accès Lecture au groupe de modèles, il pourra lier/délier des modèles à l’hôte, mais ne verra aucun modèle dans la liste des modèles et ne pourra pas effectuer d’opérations sur les modèles à d’autres endroits.
- Un utilisateur de niveau Admin disposant d’un accès Lecture à un hôte ne verra pas l’hôte dans la liste des hôtes de la section de configuration ; toutefois, les déclencheurs de l’hôte seront accessibles dans la configuration des services IT.
- Tout utilisateur autre qu’un Super Admin (y compris « guest ») peut voir les cartes réseau tant que la carte est vide ou ne contient que des images. Lorsque des hôtes, des groupes d’hôtes ou des déclencheurs sont ajoutés à la carte, les permissions sont respectées.
- Le serveur Zabbix n’enverra pas de notifications aux utilisateurs définis comme destinataires des opérations d’action si l’accès à l’hôte concerné est explicitement « refusé ».