3 Группы пользователей
Обзор
Группы пользователей позволяют объединять пользователей как в организационных целях, так и для назначения прав доступа к данным. Права на просмотр и настройку данных групп узлов сети и групп шаблонов назначаются группам пользователей, а не отдельным пользователям.
Часто имеет смысл разделять, какая информация доступна одной группе пользователей, а какая — другой. Этого можно добиться, сгруппировав пользователей, а затем назначив различные права доступа группам узлов сети и шаблонов.
Пользователь может принадлежать к любому количеству групп.
Конфигурация
Чтобы настроить группу пользователей:
- Перейдите в Пользователи > Группы пользователей
- Нажмите Создать группу пользователей (или на имя группы, чтобы изменить существующую группу)
- Измените атрибуты группы в форме
Вкладка Группа пользователей содержит общие атрибуты группы:
Все обязательные поля ввода отмечены красной звёздочкой.
| Параметр | Описание |
|---|---|
| Имя группы | Уникальное имя группы. |
| Пользователи | Чтобы добавить пользователей в группу, начните вводить имя существующего пользователя. Когда появится выпадающий список с подходящими именами пользователей, прокрутите его вниз и выберите нужное имя. Также можно нажать кнопку Выбрать, чтобы выбрать пользователей во всплывающем окне. |
| Доступ к веб-интерфейсу | Как выполняется аутентификация пользователей группы. По умолчанию для системы — использовать метод аутентификации по умолчанию (заданный глобально) Внутренний — использовать внутреннюю аутентификацию Zabbix (даже если глобально используется аутентификация LDAP). Игнорируется, если глобально по умолчанию используется HTTP-аутентификация. LDAP — использовать аутентификацию LDAP (даже если глобально используется внутренняя аутентификация). Игнорируется, если глобально по умолчанию используется HTTP-аутентификация. Отключено — доступ к веб-интерфейсу Zabbix для этой группы запрещён |
| LDAP сервер | Выберите, какой LDAP сервер использовать для аутентификации пользователя. Это поле доступно только если для Доступ к веб-интерфейсу установлено значение LDAP или По умолчанию для системы. |
| Многофакторная аутентификация | Выберите, какой метод многофакторной аутентификации использовать для аутентификации пользователя: По умолчанию — использовать метод, заданный по умолчанию в конфигурации MFA; этот вариант по умолчанию выбран для новых групп пользователей, если MFA включена; <Имя метода> — использовать выбранный метод (например, "Zabbix TOTP"); Отключено — MFA отключена для этой группы; этот вариант по умолчанию выбран для новых групп пользователей, если MFA отключена. Обратите внимание, что если пользователь входит в несколько групп пользователей с включённой MFA (или хотя бы в одной группе MFA включена), применяются следующие правила аутентификации: если какая-либо группа использует метод MFA "По умолчанию", пользователь будет аутентифицирован с его помощью; в противном случае для аутентификации будет использоваться первый метод в алфавитном порядке. |
| Включено | Состояние группы пользователей и её участников. Отмечено — группа пользователей и пользователи включены Не отмечено — группа пользователей и пользователи отключены |
| Режим отладки | Установите этот флажок, чтобы активировать режим отладки для пользователей. |
Вкладка Права доступа к шаблонам позволяет указать доступ группы пользователей к данным групп шаблонов (и, соответственно, шаблонов):
Вкладка Права доступа к узлам сети позволяет указать доступ группы пользователей к данным групп узлов сети (и, соответственно, узлов сети):
Нажмите 
, чтобы выбрать группы шаблонов/узлов сети (как родительские, так и вложенные) и назначить им права доступа.
Начните вводить имя группы (появится выпадающий список подходящих групп) или нажмите Выбрать, чтобы открыть всплывающее окно со списком всех групп.
Затем используйте кнопки выбора, чтобы назначить права доступа выбранным группам. Возможны следующие права доступа:
- Чтение-запись — доступ к группе на чтение и запись
- Чтение — доступ к группе только на чтение
- Запретить — доступ к группе запрещён
Если одна и та же группа шаблонов/узлов сети добавлена в нескольких строках с разными правами доступа, будет применено самое строгое право.
Обратите внимание, что пользователь Супер-администратор может принудительно установить для вложенных групп тот же уровень прав доступа, что и для родительской группы; это можно сделать в форме настройки группы узлов сети/шаблонов.
Вкладки Права доступа к шаблонам и Права доступа к узлам сети поддерживают одинаковый набор параметров.
Текущие права доступа к группам отображаются в блоке Права доступа; их можно изменить или удалить.
Если группа пользователей имеет права Чтение-запись на узел сети и права Запретить или не имеет прав на шаблон, связанный с этим узлом сети, пользователи такой группы не смогут редактировать унаследованные из шаблона элементы данных на узле сети, а имя шаблона будет отображаться как Недоступный шаблон.
Вкладка Фильтр тегов проблем позволяет задавать для групп пользователей права на основе тегов, чтобы видеть проблемы, отфильтрованные по имени и значению тега:
Нажмите , чтобы выбрать группы узлов сети.
Чтобы выбрать группу узлов сети, для которой будет применён фильтр тегов, нажмите Выбрать, чтобы получить полный список существующих групп узлов сети, или начните вводить имя группы узлов сети, чтобы получить выпадающий список подходящих групп.
Будут отображаться только группы узлов сети, поскольку фильтр тегов проблем нельзя применять к группам шаблонов.
Можно добавлять имена тегов без значений, но значения без имён добавлять нельзя.
В блоке Права доступа отображаются только первые три тега (со значениями, если они есть); если тегов больше, их можно увидеть, нажав на значок 
или наведя на него курсор.
Фильтр тегов позволяет разделить доступ к группе узлов сети и возможность видеть проблемы.
Например, если администратору баз данных нужно видеть только проблемы базы данных "MySQL", сначала необходимо создать группу пользователей для администраторов баз данных, а затем указать имя тега "target" и значение "mysql".
Если указано имя тега "target", а поле значения оставлено пустым, группа пользователей будет видеть все проблемы с именем тега "target" для выбранной группы узлов сети.
Убедитесь, что имя тега и значение тега указаны правильно, иначе группа пользователей не увидит ни одной проблемы.
Рассмотрим пример, когда пользователь является участником нескольких выбранных групп пользователей. В этом случае при фильтрации для тегов будет использоваться условие OR.
| Группа пользователей A | Группа пользователей B | Видимый результат для пользователя (участника) обеих групп | ||||
| Фильтр тегов | ||||||
| Группа узлов сети | Имя тега | Значение тега | Группа узлов сети | Имя тега | Значение тега | |
| Databases | target | mysql | Databases | target | oracle | видны проблемы target:mysql или target:oracle |
| Не настроено в Фильтр тегов проблем | Databases | target | oracle | видны проблемы target:oracle | ||
Доступ из нескольких групп пользователей
Пользователь может принадлежать к любому количеству групп пользователей. Эти группы могут иметь разные права доступа к узлам сети или шаблонам.
Поэтому важно понимать, к каким сущностям в результате сможет получить доступ непривилегированный пользователь. В следующем примере рассмотрим, как будет изменяться доступ к узлу сети X (в группе узлов сети 1) в различных ситуациях для пользователя, который состоит в группах пользователей A и B.
- Если у группы A есть только доступ Чтение к группе узлов сети 1, а у группы B — доступ Чтение-запись к группе узлов сети 1, пользователь получит доступ Чтение-запись к 'X'.
Права доступа "Чтение-запись" имеют приоритет над правами "Чтение".
- В том же сценарии, что и выше, если 'X' одновременно также входит в группу узлов сети 2, доступ к которой запрещён для группы A или B, доступ к 'X' будет недоступен, несмотря на наличие доступа Чтение-запись к группе узлов сети 1.
- Если для группы A права доступа не определены, а у группы B есть доступ Чтение-запись к группе узлов сети 1, пользователь получит доступ Чтение-запись к 'X'.
- Если у группы A есть доступ Запретить к группе узлов сети 1, а у группы B есть доступ Чтение-запись к группе узлов сети 1, пользователю будет запрещён доступ к 'X'.
Прочие сведения
- Пользователь уровня Admin с доступом Read-write к узлу сети не сможет привязывать/отвязывать шаблоны, если у него нет доступа к группе шаблонов, к которой они принадлежат. При наличии доступа Read к группе шаблонов он сможет привязывать/отвязывать шаблоны к узлу сети, однако не будет видеть никаких шаблонов в списке шаблонов и не сможет работать с шаблонами в других местах.
- Пользователь уровня Admin с доступом Read к узлу сети не будет видеть узел сети в списке узлов сети в разделе конфигурации; однако триггеры узла сети будут доступны в конфигурации IT-услуг.
- Любой пользователь, не являющийся Super Admin (включая 'guest'), может видеть карты сети, если карта пуста или содержит только изображения. Когда на карту добавляются узлы сети, группы узлов сети или триггеры, права доступа учитываются.
- сервер Zabbix не будет отправлять уведомления пользователям, указанным в качестве получателей операций действия, если доступ к соответствующему узлу сети явно "denied".