Benutzerverzeichnis-Objekt

Die folgenden Objekte stehen in direktem Zusammenhang mit der userdirectory API.

Benutzerverzeichnis

Das Objekt Benutzerverzeichnis hat die folgenden Eigenschaften.

Property Type Description
userdirectoryid ID ID des Benutzerverzeichnisses.

Wenn ein Benutzerverzeichnis gelöscht wird, wird der Wert der Eigenschaft userdirectoryid des User object für alle Benutzer, die mit dem gelöschten Benutzerverzeichnis verknüpft sind, auf "0" gesetzt.

Property behavior:
- read-only
- required for update operations
idp_type integer Typ des vom Identity Provider für das Benutzerverzeichnis verwendeten Authentifizierungsprotokolls.
Beachten Sie, dass nur ein Benutzerverzeichnis vom Typ SAML vorhanden sein kann.

Mögliche Werte:
1 - Benutzerverzeichnis vom Typ LDAP;
2 - Benutzerverzeichnis vom Typ SAML.

Property behavior:
- required for create operations
group_name string LDAP/SAML-Benutzerverzeichnisattribut, das den Gruppennamen enthält, der zum Zuordnen von Gruppen zwischen dem LDAP/SAML-Benutzerverzeichnis und Zabbix verwendet wird.

Beispiel: cn

Property behavior:
- required if provision_status is set to "Enabled" and saml_jit_status of Authentication object is set to "Enabled for configured SAML IdPs"
user_username string LDAP/SAML-Benutzerverzeichnisattribut (auch SCIM-Attribut, wenn scim_status auf "SCIM provisioning is enabled" gesetzt ist), das den Benutzernamen enthält, der beim Provisionieren des Benutzers als Wert für die Eigenschaft name des User object verwendet wird.

Beispiele: cn, commonName, displayName, name
user_lastname string LDAP/SAML-Benutzerverzeichnisattribut (auch SCIM-Attribut, wenn scim_status auf "SCIM provisioning is enabled" gesetzt ist), das den Nachnamen des Benutzers enthält, der beim Provisionieren des Benutzers als Wert für die Eigenschaft surname des User object verwendet wird.

Beispiele: sn, surname, lastName
provision_status integer Provisionierungsstatus des Benutzerverzeichnisses.

Mögliche Werte:
0 - (default) Deaktiviert (die Provisionierung von Benutzern, die von diesem Benutzerverzeichnis erstellt wurden, ist deaktiviert);
1 - Aktiviert (die Provisionierung von Benutzern, die von diesem Benutzerverzeichnis erstellt wurden, ist aktiviert; zusätzlich muss der Status der LDAP- oder SAML-Provisionierung (ldap_jit_status oder saml_jit_status des Authentication object) aktiviert sein).
provision_groups array Array von Objekten vom Typ provisioning groups mappings zum Zuordnen des LDAP/SAML-Benutzergruppenmusters zu Zabbix-Benutzergruppen und Benutzerrollen.

Property behavior:
- required if provision_status is set to "Enabled"
provision_media array Array von Objekten vom Typ media type mappings zum Zuordnen der LDAP/SAML-Medienattribute des Benutzers (z. B. E-Mail) zu Zabbix-Benutzermedien für den Versand von Benachrichtigungen.
LDAP-spezifische Eigenschaften: < <
name string Eindeutiger Name des Benutzerverzeichnisses.

Property behavior:
- required if idp_type is set to "User directory of type LDAP"
host string Hostname, IP oder URI des LDAP-Servers.
Die URI muss Schema (ldap:// oder ldaps://), Host und Port (optional) enthalten.

Beispiele:
host.example.com
127.0.0.1
ldap://ldap.example.com:389

Property behavior:
- required if idp_type is set to "User directory of type LDAP"
port integer Port des LDAP-Servers.

Property behavior:
- required if idp_type is set to "User directory of type LDAP"
base_dn string Basispfad des LDAP-Benutzerverzeichnisses zu den Benutzerkonten.

Beispiele:
ou=Users,dc=example,dc=org
ou=Users,ou=system (für OpenLDAP)
DC=company,DC=com (für Microsoft Active Directory)
uid=%{user},dc=example,dc=com (für direkte Benutzerbindung; Platzhalter "%{user}" ist obligatorisch)

Property behavior:
- required if idp_type is set to "User directory of type LDAP"
search_attribute string LDAP-Benutzerverzeichnisattribut, anhand dessen das Benutzerkonto aus den in der Anmeldeanforderung bereitgestellten Informationen identifiziert wird.

Beispiele:
uid (für OpenLDAP)
sAMAccountName (für Microsoft Active Directory)

Property behavior:
- required if idp_type is set to "User directory of type LDAP"
bind_dn string LDAP-Serverkonto für die Bindung und die Suche auf dem LDAP-Server.

Für direkte Benutzerbindung und anonyme Bindung muss bind_dn leer sein.

Beispiele:
uid=ldap_search,ou=system (für OpenLDAP)
CN=ldap_search,OU=user_group,DC=company,DC=com (für Microsoft Active Directory)
CN=Admin,OU=Users,OU=Zabbix,DC=zbx,DC=local

Property behavior:
- supported if idp_type is set to "User directory of type LDAP"
bind_password string LDAP-Kennwort des Kontos für die Bindung und die Suche auf dem LDAP-Server.

Für direkte Benutzerbindung und anonyme Bindung muss bind_password leer sein.

Property behavior:
- supported if idp_type is set to "User directory of type LDAP"
description string Beschreibung des Benutzerverzeichnisses.

Property behavior:
- supported if idp_type is set to "User directory of type LDAP"
group_basedn string Basispfad des LDAP-Benutzerverzeichnisses zu den Gruppen; wird verwendet, um eine Prüfung der Benutzerzugehörigkeit im LDAP-Benutzerverzeichnis zu konfigurieren.

Wird bei der Provisionierung eines Benutzers ignoriert, wenn group_membership gesetzt ist.

Beispiel: ou=Groups,dc=example,dc=com

Property behavior:
- supported if idp_type is set to "User directory of type LDAP"
group_filter string Filterzeichenfolge zum Abrufen von LDAP-Benutzerverzeichnisgruppen, deren Mitglied der Benutzer ist; wird verwendet, um eine Prüfung der Benutzerzugehörigkeit im LDAP-Benutzerverzeichnis zu konfigurieren.

Wird bei der Provisionierung eines Benutzers ignoriert, wenn group_membership gesetzt ist.

Unterstützte Platzhalter für group_filter:
%{attr} - Suchattribut (wird durch den Wert der Eigenschaft search_attribute ersetzt);
%{groupattr} - Gruppenattribut (wird durch den Wert der Eigenschaft group_member ersetzt);
%{host} - Hostname, IP oder URI des LDAP-Servers (wird durch den Wert der Eigenschaft host ersetzt);
%{user} - Benutzername des Zabbix-Benutzers.

Standard: (%{groupattr}=%{user})

Beispiele:
- (member=uid=%{ref},ou=Users,dc=example,dc=com) stimmt mit "User1" überein, wenn ein LDAP-Gruppenobjekt das Attribut "member" mit dem Wert "uid=User1,ou=Users,dc=example,dc=com" enthält, und gibt die Gruppe zurück, der "User1" angehört;
- (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) stimmt mit "User1" überein, wenn ein LDAP-Gruppenobjekt das in der Eigenschaft group_member angegebene Attribut mit dem Wert "cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com" enthält, und gibt die Gruppe zurück, der "User1" angehört.

Property behavior:
- supported if idp_type is set to "User directory of type LDAP"
group_member string LDAP-Benutzerverzeichnisattribut, das Informationen über die Gruppenmitglieder enthält; wird verwendet, um eine Prüfung der Benutzerzugehörigkeit im LDAP-Benutzerverzeichnis zu konfigurieren.

Wird bei der Provisionierung eines Benutzers ignoriert, wenn group_membership gesetzt ist.

Property behavior:
- supported if idp_type is set to "User directory of type LDAP"
group_membership string LDAP-Benutzerverzeichnisattribut, das Informationen über die Gruppen enthält, denen ein Benutzer angehört.

Beispiel: memberOf

Property behavior:
- supported if idp_type is set to "User directory of type LDAP"
search_filter string Benutzerdefinierte Filterzeichenfolge, die verwendet wird, um einen Benutzer in einem LDAP-Benutzerverzeichnis anhand der in der Anmeldeanforderung bereitgestellten Informationen zu lokalisieren und zu authentifizieren.

Unterstützte Platzhalter für search_filter:
%{attr} - Name des Suchattributs (z. B. uid, sAMAccountName);
%{user} - Benutzername des Zabbix-Benutzers.

Standard: (%{attr}=%{user})

Property behavior:
- supported if idp_type is set to "User directory of type LDAP"
start_tls integer Konfigurationsoption des LDAP-Servers, die es ermöglicht, die Kommunikation mit dem LDAP-Server mithilfe von Transport Layer Security (TLS) abzusichern.

Beachten Sie, dass start_tls für Hosts, die das Protokoll ldaps:// verwenden, auf "Disabled" gesetzt sein muss.

Mögliche Werte:
0 - (default) Deaktiviert;
1 - Aktiviert.

Property behavior:
- supported if idp_type is set to "User directory of type LDAP"
user_ref_attr string LDAP-Benutzerverzeichnisattribut, das zum Referenzieren eines Benutzerobjekts verwendet wird. Der Wert von user_ref_attr wird verwendet, um Werte aus dem angegebenen Attribut im Benutzerverzeichnis abzurufen und sie anstelle des Platzhalters %{ref} in der Zeichenfolge group_filter einzusetzen.

Beispiele: cn, uid, member, uniqueMember

Property behavior:
- supported if idp_type is set to "User directory of type LDAP"
SAML-spezifische Eigenschaften: < <
idp_entityid string URI, die den Identity Provider identifiziert und in SAML-Nachrichten für die Kommunikation mit dem Identity Provider verwendet wird.

Beispiel: https://idp.example.com/idp

Property behavior:
- required if idp_type is set to "User directory of type SAML"
sp_entityid string URL oder beliebige Zeichenfolge, die den Service Provider des Identity Providers identifiziert.

Beispiele:
https://idp.example.com/sp
zabbix

Property behavior:
- required if idp_type is set to "User directory of type SAML"
username_attribute string SAML-Benutzerverzeichnisattribut (auch SCIM-Attribut, wenn scim_status auf "SCIM provisioning is enabled" gesetzt ist), das den Benutzernamen des Benutzers enthält, der bei der Authentifizierung mit dem Wert der Eigenschaft username des User object verglichen wird.

Beispiele: uid, userprincipalname, samaccountname, username, userusername, urn:oid:0.9.2342.19200300.100.1.1, urn:oid:1.3.6.1.4.1.5923.1.1.1.13, urn:oid:0.9.2342.19200300.100.1.44

Property behavior:
- required if idp_type is set to "User directory of type SAML"
sso_url string URL des SAML-Single-Sign-on-Dienstes des Identity Providers, an den Zabbix die SAML-Authentifizierungsanforderungen sendet.

Beispiel: http://idp.example.com/idp/sso/saml

Property behavior:
- required if idp_type is set to "User directory of type SAML"
 
slo_url string URL des SAML-Single-Log-out-Dienstes des Identity Providers, an den Zabbix die SAML-Abmeldeanforderungen sendet.

Beispiel: https://idp.example.com/idp/slo/saml

Property behavior:
- supported if idp_type is set to "User directory of type SAML"
encrypt_nameid integer Gibt an, ob die SAML-Name-ID verschlüsselt werden soll.

Mögliche Werte:
0 - (default) Name-ID nicht verschlüsseln;
1 - Name-ID verschlüsseln.

Property behavior:
- supported if idp_type is set to "User directory of type SAML"
encrypt_assertions integer Gibt an, ob die SAML-Assertions verschlüsselt werden sollen.

Mögliche Werte:
0 - (default) Assertions nicht verschlüsseln;
1 - Assertions verschlüsseln.

Property behavior:
- supported if idp_type is set to "User directory of type SAML"
nameid_format string Name-ID-Format des Service Providers des SAML Identity Providers.

Beispiele:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:entity

Property behavior:
- supported if idp_type is set to "User directory of type SAML"
scim_status integer Gibt an, ob die SCIM-Provisionierung für SAML aktiviert oder deaktiviert ist.

Mögliche Werte:
0 - (default) SCIM-Provisionierung ist deaktiviert;
1 - SCIM-Provisionierung ist aktiviert.

Property behavior:
- supported if idp_type is set to "User directory of type SAML"
sign_assertions integer Gibt an, ob die SAML-Assertions mit einer SAML-Signatur signiert werden sollen.

Mögliche Werte:
0 - (default) Assertions nicht signieren;
1 - Assertions signieren.

Property behavior:
- supported if idp_type is set to "User directory of type SAML"
sign_authn_requests integer Gibt an, ob die SAML-AuthN-Anforderungen mit einer SAML-Signatur signiert werden sollen.

Mögliche Werte:
0 - (default) AuthN-Anforderungen nicht signieren;
1 - AuthN-Anforderungen signieren.

Property behavior:
- supported if idp_type is set to "User directory of type SAML"
sign_messages integer Gibt an, ob die SAML-Nachrichten mit einer SAML-Signatur signiert werden sollen.

Mögliche Werte:
0 - (default) Nachrichten nicht signieren;
1 - Nachrichten signieren.

Property behavior:
- supported if idp_type is set to "User directory of type SAML"
sign_logout_requests integer Gibt an, ob die SAML-Abmeldeanforderungen mit einer SAML-Signatur signiert werden sollen.

Mögliche Werte:
0 - (default) Abmeldeanforderungen nicht signieren;
1 - Abmeldeanforderungen signieren.

Property behavior:
- supported if idp_type is set to "User directory of type SAML"
sign_logout_responses integer Gibt an, ob die SAML-Abmeldereaktionen mit einer SAML-Signatur signiert werden sollen.

Mögliche Werte:
0 - (default) Abmeldereaktionen nicht signieren;
1 - Abmeldereaktionen signieren.

Property behavior:
- supported if idp_type is set to "User directory of type SAML"
idp_certificate string Inhalt des Zertifikats des Service Providers (SP) für die Einrichtung des SAML-Single-Sign-on-(SSO)-Dienstes.

Beispiele:
-----BEGIN CERTIFICATE-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7...
...more encoded data...
-----END CERTIFICATE-----


Property behavior:
- supported if idp_type is set to "User directory of type SAML" and $SSO['CERT_STORAGE'] is set to database in zabbix.conf.php
- write-only
sp_private_key string Inhalt des privaten Schlüssels des Service Providers (SP) für die Einrichtung des SAML-Single-Sign-on-(SSO)-Dienstes.
Ermöglicht eine sichere Authentifizierung und einen sicheren Datenaustausch mit dem Identity Provider (IdP).

Beispiele:
-----BEGIN CERTIFICATE-----
MIIEvQIBADANBgkqhkiG9w0BA...
...more encoded data...
-----END CERTIFICATE-----


Property behavior:
- supported if idp_type is set to "User directory of type SAML" and $SSO['CERT_STORAGE'] is set to database in zabbix.conf.php
- write-only
sp_certificate string Inhalt des Zertifikats des Service Providers (SP) für die Einrichtung des SAML-Single-Sign-on-(SSO)-Dienstes.

Beispiele:
-----BEGIN CERTIFICATE-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7...
...more encoded data...
-----END CERTIFICATE-----


Property behavior:
- supported if idp_type is set to "User directory of type SAML" and $SSO['CERT_STORAGE'] is set to database in zabbix.conf.php
- write-only
idp_certificate_hash string Der md5-Hash des Werts von idp_certificate. Gibt für ein leeres idp_certificate eine leere Zeichenfolge zurück.

Property behavior:
- supported if idp_type is set to "User directory of type SAML" and $SSO['CERT_STORAGE'] is set to database in zabbix.conf.php
- read-only
sp_private_key_hash string Der md5-Hash des Werts von sp_private_key. Gibt für ein leeres sp_private_key eine leere Zeichenfolge zurück.

Property behavior:
- supported if idp_type is set to "User directory of type SAML" and $SSO['CERT_STORAGE'] is set to database in zabbix.conf.php
- read-only
sp_certificate_hash string Der md5-Hash des Werts von sp_certificate. Gibt für ein leeres sp_certificate eine leere Zeichenfolge zurück.

Property behavior:
- supported if idp_type is set to "User directory of type SAML" and $SSO['CERT_STORAGE'] is set to database in zabbix.conf.php
- read-only

Zuordnungen von Medientypen

Das Objekt für Medientyp-Zuordnungen hat die folgenden Eigenschaften.

Eigenschaft Typ Beschreibung
userdirectory_mediaid ID ID der Medientyp-Zuordnung.

Verhalten der Eigenschaft:
- schreibgeschützt
name string Sichtbarer Name in der Liste der Medientyp-Zuordnungen.

Verhalten der Eigenschaft:
- erforderlich
mediatypeid ID ID des zu erstellenden Medientyps; wird als Wert für die Eigenschaft mediatypeid des Media-Objekts verwendet.

Verhalten der Eigenschaft:
- erforderlich
attribute string LDAP-/SAML-Benutzerverzeichnisattribut (auch SCIM-Attribut, wenn scim_status auf "SCIM provisioning is enabled" gesetzt ist), das das Medium des Benutzers enthält (z. B. [email protected]), das als Wert für die Eigenschaft sendto des Media-Objekts verwendet wird.

Falls es in den vom LDAP-/SAML-Identitätsanbieter empfangenen Daten vorhanden ist und der Wert nicht leer ist, löst dies die Erstellung eines Mediums für den bereitgestellten Benutzer aus.

Verhalten der Eigenschaft:
- erforderlich
active integer Wert der Benutzermedien-Eigenschaft active, wenn für den bereitgestellten Benutzer ein Medium erstellt wird.

Mögliche Werte:
0 - (Standard) aktiviert;
1 - deaktiviert.
severity integer Wert der Benutzermedien-Eigenschaft severity, wenn für den bereitgestellten Benutzer ein Medium erstellt wird.

Standard: 63.
period string Wert der Benutzermedien-Eigenschaft period, wenn für den bereitgestellten Benutzer ein Medium erstellt wird.

Standard: 1-7,00:00-24:00.

Zuordnungen von Provisioning-Gruppen

Die Zuordnungen von Provisioning-Gruppen haben die folgenden Eigenschaften.

Eigenschaft Typ Beschreibung
name string Vollständiger Name einer Gruppe (z. B. Zabbix administrators) im LDAP-/SAML-Benutzerverzeichnis (auch SCIM, wenn scim_status auf „SCIM-Provisionierung ist aktiviert“ gesetzt ist).
Unterstützt das Platzhalterzeichen „*“.
Eindeutig über alle Zuordnungen von Provisioning-Gruppen hinweg.

Verhalten der Eigenschaft:
- erforderlich
roleid ID ID der Benutzerrolle, die dem Benutzer zugewiesen werden soll.

Wenn mehrere Zuordnungen von Provisioning-Gruppen übereinstimmen, wird dem Benutzer die Rolle mit dem höchsten Benutzertyp (User, Admin oder Super admin) zugewiesen. Wenn es mehrere Rollen mit demselben Benutzertyp gibt, wird dem Benutzer die erste Rolle (alphabetisch sortiert) zugewiesen.

Verhalten der Eigenschaft:
- erforderlich
user_groups array Array von Zabbix-Benutzergruppen-ID-Objekten. Jedes Objekt hat die folgenden Eigenschaften:
usrgrpid - (ID) ID der Zabbix-Benutzergruppe, die dem Benutzer zugewiesen werden soll.

Wenn mehrere Zuordnungen von Provisioning-Gruppen übereinstimmen, werden dem Benutzer die Zabbix-Benutzergruppen aller übereinstimmenden Zuordnungen zugewiesen.

Verhalten der Eigenschaft:
- erforderlich