На странице
Объект каталога пользователей
Следующие объекты напрямую связаны с API userdirectory.
Каталог пользователей
Объект каталога пользователей имеет следующие свойства.
| Свойство | Тип | Описание |
|---|---|---|
| userdirectoryid | ID | ID каталога пользователей. Если каталог пользователей удалён, значение свойства userdirectoryid объекта User object устанавливается в "0" для всех пользователей, связанных с удалённым каталогом пользователей.Поведение свойства: - только для чтения - обязательно для операций обновления |
| idp_type | integer | Тип протокола аутентификации, используемого поставщиком удостоверений для каталога пользователей. Обратите внимание, что может существовать только один каталог пользователей типа SAML. Возможные значения: 1 - каталог пользователей типа LDAP; 2 - каталог пользователей типа SAML. Поведение свойства: - обязательно для операций создания |
| group_name | string | Атрибут каталога пользователей LDAP/SAML, содержащий имя группы, используемое для сопоставления групп между каталогом пользователей LDAP/SAML и Zabbix. Пример: cn Поведение свойства: - обязательно, если provision_status установлено в "Enabled" и saml_jit_status объекта Authentication object установлено в "Enabled for configured SAML IdPs" |
| user_username | string | Атрибут каталога пользователей LDAP/SAML (а также атрибут SCIM, если scim_status установлено в "SCIM provisioning is enabled"), содержащий имя пользователя, которое используется как значение свойства name объекта User object при подготовке пользователя.Примеры: cn, commonName, displayName, name |
| user_lastname | string | Атрибут каталога пользователей LDAP/SAML (а также атрибут SCIM, если scim_status установлено в "SCIM provisioning is enabled"), содержащий фамилию пользователя, которая используется как значение свойства surname объекта User object при подготовке пользователя.Примеры: sn, surname, lastName |
| provision_status | integer | Статус подготовки каталога пользователей. Возможные значения: 0 - (по умолчанию) Отключено (подготовка пользователей, создаваемых этим каталогом пользователей, отключена); 1 - Включено (подготовка пользователей, создаваемых этим каталогом пользователей, включена; дополнительно должен быть включён статус подготовки LDAP или SAML ( ldap_jit_status или saml_jit_status объекта Authentication object)). |
| provision_groups | array | Массив объектов сопоставлений групп подготовки для сопоставления шаблона группы пользователей LDAP/SAML с группой пользователей Zabbix и ролью пользователя. Поведение свойства: - обязательно, если provision_status установлено в "Enabled" |
| provision_media | array | Массив объектов сопоставлений типов медиа для сопоставления LDAP/SAML-атрибутов медиа пользователя (например, email) с пользовательскими медиа Zabbix для отправки уведомлений. |
| LDAP-специфичные свойства: | ||
| name | string | Уникальное имя каталога пользователей. Поведение свойства: - обязательно, если idp_type установлено в "User directory of type LDAP" |
| host | string | Имя узла, IP или URI LDAP-сервера. URI должен содержать схему ( ldap:// или ldaps://), имя узла и порт (необязательно).Примеры: host.example.com 127.0.0.1 ldap://ldap.example.com:389 Поведение свойства: - обязательно, если idp_type установлено в "User directory of type LDAP" |
| port | integer | Порт LDAP-сервера. Поведение свойства: - обязательно, если idp_type установлено в "User directory of type LDAP" |
| base_dn | string | Базовый путь каталога пользователей LDAP к учётным записям пользователей. Примеры: ou=Users,dc=example,dc=org ou=Users,ou=system (для OpenLDAP) DC=company,DC=com (для Microsoft Active Directory) uid=%{user},dc=example,dc=com (для прямой привязки пользователя; заполнитель "%{user}" обязателен) Поведение свойства: - обязательно, если idp_type установлено в "User directory of type LDAP" |
| search_attribute | string | Атрибут каталога пользователей LDAP, по которому определяется учётная запись пользователя на основе информации, предоставленной в запросе входа. Примеры: uid (для OpenLDAP) sAMAccountName (для Microsoft Active Directory) Поведение свойства: - обязательно, если idp_type установлено в "User directory of type LDAP" |
| bind_dn | string | Учётная запись LDAP-сервера для привязки и поиска на LDAP-сервере. Для прямой привязки пользователя и анонимной привязки bind_dn должно быть пустым.Примеры: uid=ldap_search,ou=system (для OpenLDAP) CN=ldap_search,OU=user_group,DC=company,DC=com (для Microsoft Active Directory) CN=Admin,OU=Users,OU=Zabbix,DC=zbx,DC=local Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type LDAP" |
| bind_password | string | LDAP-пароль учётной записи для привязки и поиска на LDAP-сервере. Для прямой привязки пользователя и анонимной привязки bind_password должно быть пустым.Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type LDAP" |
| description | string | Описание каталога пользователей. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type LDAP" |
| group_basedn | string | Базовый путь каталога пользователей LDAP к группам; используется для настройки проверки членства пользователя в каталоге пользователей LDAP. Игнорируется при подготовке пользователя, если задано group_membership.Пример: ou=Groups,dc=example,dc=com Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type LDAP" |
| group_filter | string | Строка фильтра для получения групп каталога пользователей LDAP, в которые входит пользователь; используется для настройки проверки членства пользователя в каталоге пользователей LDAP. Игнорируется при подготовке пользователя, если задано group_membership.Поддерживаемые заполнители group_filter:%{attr} - атрибут поиска (заменяется значением свойства search_attribute);%{groupattr} - атрибут группы (заменяется значением свойства group_member);%{host} - имя узла, IP или URI LDAP-сервера (заменяется значением свойства host);%{user} - имя пользователя Zabbix. По умолчанию: (%{groupattr}=%{user}) Примеры: - (member=uid=%{ref},ou=Users,dc=example,dc=com) будет соответствовать "User1", если объект группы LDAP содержит атрибут "member" со значением "uid=User1,ou=Users,dc=example,dc=com", и вернёт группу, в которую входит "User1"; - (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) будет соответствовать "User1", если объект группы LDAP содержит атрибут, указанный в свойстве group_member, со значением "cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com", и вернёт группу, в которую входит "User1".Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type LDAP" |
| group_member | string | Атрибут каталога пользователей LDAP, содержащий информацию о членах группы; используется для настройки проверки членства пользователя в каталоге пользователей LDAP. Игнорируется при подготовке пользователя, если задано group_membership.Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type LDAP" |
| group_membership | string | Атрибут каталога пользователей LDAP, содержащий информацию о группах, в которые входит пользователь. Пример: memberOf Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type LDAP" |
| search_filter | string | Пользовательская строка фильтра, используемая для поиска и аутентификации пользователя в каталоге пользователей LDAP на основе информации, предоставленной в запросе входа. Поддерживаемые заполнители search_filter:%{attr} - имя атрибута поиска (например, uid, sAMAccountName); %{user} - имя пользователя Zabbix. По умолчанию: (%{attr}=%{user}) Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type LDAP" |
| start_tls | integer | Параметр конфигурации LDAP-сервера, позволяющий защитить обмен данными с LDAP-сервером с помощью Transport Layer Security (TLS). Обратите внимание, что start_tls должно быть установлено в "Disabled" для узлов, использующих протокол ldaps://.Возможные значения: 0 - (по умолчанию) Отключено; 1 - Включено. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type LDAP" |
| user_ref_attr | string | Атрибут каталога пользователей LDAP, используемый для ссылки на объект пользователя. Значение user_ref_attr используется для получения значений из указанного атрибута в каталоге пользователей и подстановки их вместо заполнителя %{ref} в строке group_filter.Примеры: cn, uid, member, uniqueMember Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type LDAP" |
| SAML-специфичные свойства: | ||
| idp_entityid | string | URI, идентифицирующий поставщика удостоверений и используемый для взаимодействия с поставщиком удостоверений в сообщениях SAML. Пример: https://idp.example.com/idp Поведение свойства: - обязательно, если idp_type установлено в "User directory of type SAML" |
| sp_entityid | string | URL или любая строка, идентифицирующая поставщика услуг поставщика удостоверений. Примеры: https://idp.example.com/sp zabbix Поведение свойства: - обязательно, если idp_type установлено в "User directory of type SAML" |
| username_attribute | string | Атрибут каталога пользователей SAML (а также атрибут SCIM, если scim_status установлено в "SCIM provisioning is enabled"), содержащий имя пользователя, которое сравнивается со значением свойства username объекта User object при аутентификации.Примеры: uid, userprincipalname, samaccountname, username, userusername, urn:oid:0.9.2342.19200300.100.1.1, urn:oid:1.3.6.1.4.1.5923.1.1.1.13, urn:oid:0.9.2342.19200300.100.1.44 Поведение свойства: - обязательно, если idp_type установлено в "User directory of type SAML" |
| sso_url | string | URL службы единого входа SAML поставщика удостоверений, на который Zabbix будет отправлять запросы аутентификации SAML. Пример: http://idp.example.com/idp/sso/saml Поведение свойства: - обязательно, если idp_type установлено в "User directory of type SAML" |
| slo_url | string | URL службы единого выхода SAML поставщика удостоверений, на который Zabbix будет отправлять запросы выхода SAML. Пример: https://idp.example.com/idp/slo/saml Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" |
| encrypt_nameid | integer | Следует ли шифровать SAML name ID. Возможные значения: 0 - (по умолчанию) Не шифровать name ID; 1 - Шифровать name ID. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" |
| encrypt_assertions | integer | Следует ли шифровать утверждения SAML. Возможные значения: 0 - (по умолчанию) Не шифровать утверждения; 1 - Шифровать утверждения. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" |
| nameid_format | string | Формат Name ID поставщика услуг поставщика удостоверений SAML. Примеры: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:entity Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" |
| scim_status | integer | Включена или отключена подготовка SCIM для SAML. Возможные значения: 0 - (по умолчанию) Подготовка SCIM отключена; 1 - Подготовка SCIM включена. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" |
| sign_assertions | integer | Следует ли подписывать утверждения SAML подписью SAML. Возможные значения: 0 - (по умолчанию) Не подписывать утверждения; 1 - Подписывать утверждения. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" |
| sign_authn_requests | integer | Следует ли подписывать запросы SAML AuthN подписью SAML. Возможные значения: 0 - (по умолчанию) Не подписывать запросы AuthN; 1 - Подписывать запросы AuthN. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" |
| sign_messages | integer | Следует ли подписывать сообщения SAML подписью SAML. Возможные значения: 0 - (по умолчанию) Не подписывать сообщения; 1 - Подписывать сообщения. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" |
| sign_logout_requests | integer | Следует ли подписывать запросы выхода SAML подписью SAML. Возможные значения: 0 - (по умолчанию) Не подписывать запросы выхода; 1 - Подписывать запросы выхода. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" |
| sign_logout_responses | integer | Следует ли подписывать ответы выхода SAML подписью SAML. Возможные значения: 0 - (по умолчанию) Не подписывать ответы выхода; 1 - Подписывать ответы выхода. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" |
| idp_certificate | string | Содержимое сертификата Service Provider (SP) для настройки службы единого входа SAML (SSO). Примеры: -----BEGIN CERTIFICATE----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7... ...more encoded data... -----END CERTIFICATE----- Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" и $SSO['CERT_STORAGE'] установлено в database в zabbix.conf.php- только для записи |
| sp_private_key | string | Содержимое закрытого ключа Service Provider (SP) для настройки службы единого входа SAML (SSO). Обеспечивает безопасную аутентификацию и обмен данными с Identity Provider (IdP). Примеры: -----BEGIN CERTIFICATE----- MIIEvQIBADANBgkqhkiG9w0BA... ...more encoded data... -----END CERTIFICATE----- Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" и $SSO['CERT_STORAGE'] установлено в database в zabbix.conf.php- только для записи |
| sp_certificate | string | Содержимое сертификата Service Provider (SP) для настройки службы единого входа SAML (SSO). Примеры: -----BEGIN CERTIFICATE----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7... ...more encoded data... -----END CERTIFICATE----- Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" и $SSO['CERT_STORAGE'] установлено в database в zabbix.conf.php- только для записи |
| idp_certificate_hash | string | Хэш md5 значения idp_certificate. Возвращает пустую строку для пустого idp_certificate. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" и $SSO['CERT_STORAGE'] установлено в database в zabbix.conf.php- только для чтения |
| sp_private_key_hash | string | Хэш md5 значения sp_private_key. Возвращает пустую строку для пустого sp_private_key. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" и $SSO['CERT_STORAGE'] установлено в database в zabbix.conf.php- только для чтения |
| sp_certificate_hash | string | Хэш md5 значения sp_certificate. Возвращает пустую строку для пустого sp_certificate. Поведение свойства: - поддерживается, если idp_type установлено в "User directory of type SAML" и $SSO['CERT_STORAGE'] установлено в database в zabbix.conf.php- только для чтения |
Сопоставления типов медиа
Объект сопоставлений типов медиа имеет следующие свойства.
| Свойство | Тип | Описание |
|---|---|---|
| userdirectory_mediaid | ID | ID сопоставления типа медиа. Поведение свойства: - только для чтения |
| name | string | Отображаемое имя в списке сопоставлений типов медиа. Поведение свойства: - обязательно |
| mediatypeid | ID | ID типа медиа, который должен быть создан; используется как значение свойства mediatypeid объекта Media.Поведение свойства: - обязательно |
| attribute | string | Атрибут каталога пользователей LDAP/SAML (а также атрибут SCIM, если scim_status установлен в значение "SCIM provisioning is enabled"), который содержит медиа пользователя (например, [email protected]), используемое как значение свойства sendto объекта Media.Если он присутствует в данных, полученных от поставщика удостоверений LDAP/SAML, и значение не пустое, это приведет к созданию медиа для подготовленного пользователя. Поведение свойства: - обязательно |
| active | integer | Значение свойства active медиа пользователя при создании медиа для подготовленного пользователя.Возможные значения: 0 - (по умолчанию) включено; 1 - отключено. |
| severity | integer | Значение свойства severity медиа пользователя при создании медиа для подготовленного пользователя.По умолчанию: 63. |
| period | string | Значение свойства period медиа пользователя при создании медиа для подготовленного пользователя.По умолчанию: 1-7,00:00-24:00. |
Сопоставления групп подготовки
Сопоставления групп подготовки имеют следующие свойства.
| Свойство | Тип | Описание |
|---|---|---|
| name | string | Полное имя группы (например, Zabbix administrators) в каталоге пользователей LDAP/SAML (а также SCIM, если scim_status установлено в значение "SCIM provisioning is enabled").Поддерживает подстановочный символ "*". Уникально среди всех сопоставлений групп подготовки. Поведение свойства: - обязательно |
| roleid | ID | ID роли пользователя, назначаемой пользователю. Если совпадают несколько сопоставлений групп подготовки, пользователю назначается роль с наивысшим типом пользователя (User, Admin или Super admin). Если имеется несколько ролей с одинаковым типом пользователя, пользователю назначается первая роль (отсортированная в алфавитном порядке). Поведение свойства: - обязательно |
| user_groups | array | Массив объектов ID групп пользователей Zabbix. Каждый объект имеет следующие свойства:usrgrpid - (ID) ID группы пользователей Zabbix, назначаемой пользователю.Если совпадают несколько сопоставлений групп подготовки, пользователю назначаются группы пользователей Zabbix из всех совпавших сопоставлений. Поведение свойства: - обязательно |