Los siguientes objetos están directamente relacionados con la API userdirectory
.
El objeto directorio de usuarios tiene las siguientes propiedades.
Propiedad | Tipo | Descripción |
---|---|---|
userdirectoryid | ID | ID del directorio de usuarios. Si se elimina un directorio de usuarios, el valor de la propiedad userdirectoryid del objeto Usuario se establece en "0" para todos los usuarios que están vinculados al directorio de usuarios eliminado.Comportamiento de la propiedad: - solo lectura - requerido para operaciones de actualización |
idp_type | integer | Tipo de protocolo de autenticación utilizado por el proveedor de identidad para el directorio de usuarios. Tenga en cuenta que solo puede existir un directorio de usuarios de tipo SAML. Valores posibles: 1 - Directorio de usuarios de tipo LDAP; 2 - Directorio de usuarios de tipo SAML. Comportamiento de la propiedad: - requerido para operaciones de creación |
group_name | string | Atributo del directorio de usuarios LDAP/SAML que contiene el nombre del grupo utilizado para mapear grupos entre el directorio de usuarios LDAP/SAML y Zabbix. Ejemplo: cn Comportamiento de la propiedad: - requerido si provision_status está establecido en "Habilitado" y saml_jit_status del objeto Autenticación está establecido en "Habilitado para IdPs SAML configurados" |
user_username | string | Atributo del directorio de usuarios LDAP/SAML (también atributo SCIM si scim_status está establecido en "El aprovisionamiento SCIM está habilitado") que contiene el nombre del usuario que se utiliza como valor para la propiedad name del objeto Usuario cuando se aprovisiona el usuario.Ejemplos: cn, commonName, displayName, name |
user_lastname | string | Atributo del directorio de usuarios LDAP/SAML (también atributo SCIM si scim_status está establecido en "El aprovisionamiento SCIM está habilitado") que contiene el apellido del usuario que se utiliza como valor para la propiedad surname del objeto Usuario cuando se aprovisiona el usuario.Ejemplos: sn, surname, lastName |
provision_status | integer | Estado de aprovisionamiento del directorio de usuarios. Valores posibles: 0 - (por defecto) Deshabilitado (el aprovisionamiento de usuarios creados por este directorio de usuarios está deshabilitado); 1 - Habilitado (el aprovisionamiento de usuarios creados por este directorio de usuarios está habilitado; además, el estado del aprovisionamiento LDAP o SAML ( ldap_jit_status o saml_jit_status del objeto Autenticación) debe estar habilitado). |
provision_groups | array | Array de objetos mapeos de grupos de aprovisionamiento para mapear el patrón de grupo del directorio de usuarios LDAP/SAML al grupo de usuarios y rol de usuario de Zabbix. Comportamiento de la propiedad: - requerido si provision_status está establecido en "Habilitado" |
provision_media | array | Array de objetos mapeos de tipo de medio para mapear los atributos de medios LDAP/SAML del usuario (por ejemplo, correo electrónico) a los medios de usuario de Zabbix para el envío de notificaciones. |
Propiedades específicas de LDAP: | ||
name | string | Nombre único del directorio de usuarios. Comportamiento de la propiedad: - requerido si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
host | string | Nombre de equipo, IP o URI del servidor LDAP. La URI debe contener el esquema ( ldap:// o ldaps:// ), el equipo y el puerto (opcional).Ejemplos: host.example.com 127.0.0.1 ldap://ldap.example.com:389 Comportamiento de la propiedad: - requerido si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
port | integer | Puerto del servidor LDAP. Comportamiento de la propiedad: - requerido si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
base_dn | string | Ruta base del directorio de usuarios LDAP a las cuentas de usuario. Ejemplos: ou=Users,dc=example,dc=org ou=Users,ou=system (para OpenLDAP) DC=company,DC=com (para Microsoft Active Directory) uid=%{user},dc=example,dc=com (para enlace directo de usuario; el marcador de posición "%{user}" es obligatorio) Comportamiento de la propiedad: - requerido si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
search_attribute | string | Atributo del directorio de usuarios LDAP por el cual identificar la cuenta de usuario a partir de la información proporcionada en la solicitud de inicio de sesión. Ejemplos: uid (para OpenLDAP) sAMAccountName (para Microsoft Active Directory) Comportamiento de la propiedad: - requerido si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
bind_dn | string | Cuenta del servidor LDAP para enlazar y buscar en el servidor LDAP. Para enlace directo de usuario y enlace anónimo, bind_dn debe estar vacío.Ejemplos: uid=ldap_search,ou=system (para OpenLDAP) CN=ldap_search,OU=user_group,DC=company,DC=com (para Microsoft Active Directory) CN=Admin,OU=Users,OU=Zabbix,DC=zbx,DC=local Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
bind_password | string | Contraseña LDAP de la cuenta para enlazar y buscar en el servidor LDAP. Para enlace directo de usuario y enlace anónimo, bind_password debe estar vacío.Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
description | string | Descripción del directorio de usuarios. Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
group_basedn | string | Ruta base del directorio de usuarios LDAP a los grupos; se utiliza para configurar una comprobación de pertenencia a grupo en el directorio de usuarios LDAP. Se ignora al aprovisionar un usuario si group_membership está establecido.Ejemplo: ou=Groups,dc=example,dc=com Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
group_filter | string | Cadena de filtro para recuperar los grupos del directorio de usuarios LDAP de los que el usuario es miembro; se utiliza para configurar una comprobación de pertenencia a grupo en el directorio de usuarios LDAP. Se ignora al aprovisionar un usuario si group_membership está establecido.Marcadores de posición soportados en group_filter :%{attr} - atributo de búsqueda (reemplazado por el valor de la propiedad search_attribute );%{groupattr} - atributo de grupo (reemplazado por el valor de la propiedad group_member );%{host} - nombre de equipo, IP o URI del servidor LDAP (reemplazado por el valor de la propiedad host );%{user} - nombre de usuario de Zabbix. Por defecto: (%{groupattr}=%{user}) Ejemplos: - (member=uid=%{ref},ou=Users,dc=example,dc=com) coincidirá con "User1" si un objeto de grupo LDAP contiene el atributo "member" con el valor "uid=User1,ou=Users,dc=example,dc=com", y devolverá el grupo al que pertenece "User1"; - (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) coincidirá con "User1" si un objeto de grupo LDAP contiene el atributo especificado en la propiedad group_member con el valor "cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com", y devolverá el grupo al que pertenece "User1".Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
group_member | string | Atributo del directorio de usuarios LDAP que contiene información sobre los miembros del grupo; se utiliza para configurar una comprobación de pertenencia a grupo en el directorio de usuarios LDAP. Se ignora al aprovisionar un usuario si group_membership está establecido.Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
group_membership | string | Atributo del directorio de usuarios LDAP que contiene información sobre los grupos a los que pertenece un usuario. Ejemplo: memberOf Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
search_filter | string | Cadena de filtro personalizada utilizada para localizar y autenticar a un usuario en un directorio de usuarios LDAP en función de la información proporcionada en la solicitud de inicio de sesión. Marcadores de posición soportados en search_filter :%{attr} - nombre del atributo de búsqueda (por ejemplo, uid, sAMAccountName); %{user} - nombre de usuario de Zabbix. Por defecto: (%{attr}=%{user}) Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
start_tls | integer | Opción de configuración del servidor LDAP que permite asegurar la comunicación con el servidor LDAP utilizando Transport Layer Security (TLS). Tenga en cuenta que start_tls debe establecerse en "Deshabilitado" para equipos que utilicen el protocolo ldaps:// .Valores posibles: 0 - (por defecto) Deshabilitado; 1 - Habilitado. Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
user_ref_attr | string | Atributo del directorio de usuarios LDAP utilizado para referenciar un objeto de usuario. El valor de user_ref_attr se utiliza para obtener valores del atributo especificado en el directorio de usuarios y colocarlos en lugar del marcador de posición %{ref} en la cadena group_filter .Ejemplos: cn, uid, member, uniqueMember Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo LDAP" |
Propiedades específicas de SAML: | ||
idp_entityid | string | URI que identifica al proveedor de identidad y se utiliza para comunicarse con el proveedor de identidad en mensajes SAML. Ejemplo: https://idp.example.com/idp Comportamiento de la propiedad: - requerido si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
sp_entityid | string | URL o cualquier cadena que identifica al proveedor de servicios del proveedor de identidad. Ejemplos: https://idp.example.com/sp zabbix Comportamiento de la propiedad: - requerido si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
username_attribute | string | Atributo del directorio de usuarios SAML (también atributo SCIM si scim_status está establecido en "El aprovisionamiento SCIM está habilitado") que contiene el nombre de usuario que se compara con el valor de la propiedad username del objeto Usuario al autenticar.Ejemplos: uid, userprincipalname, samaccountname, username, userusername, urn:oid:0.9.2342.19200300.100.1.1, urn:oid:1.3.6.1.4.1.5923.1.1.1.13, urn:oid:0.9.2342.19200300.100.1.44 Comportamiento de la propiedad: - requerido si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
sso_url | string | URL del servicio de inicio de sesión único SAML del proveedor de identidad, al que Zabbix enviará las solicitudes de autenticación SAML. Ejemplo: http://idp.example.com/idp/sso/saml Comportamiento de la propiedad: - requerido si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
slo_url | string | URL del servicio de cierre de sesión único SAML del proveedor de identidad, al que Zabbix enviará las solicitudes de cierre de sesión SAML. Ejemplo: https://idp.example.com/idp/slo/saml Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
encrypt_nameid | integer | Indica si el identificador de nombre SAML debe cifrarse. Valores posibles: 0 - (por defecto) No cifrar el identificador de nombre; 1 - Cifrar el identificador de nombre. Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
encrypt_assertions | integer | Indica si las aserciones SAML deben cifrarse. Valores posibles: 0 - (por defecto) No cifrar las aserciones; 1 - Cifrar las aserciones. Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
nameid_format | string | Formato del identificador de nombre del proveedor de servicios SAML del proveedor de identidad. Ejemplos: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:entity Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
scim_status | integer | Indica si el aprovisionamiento SCIM para SAML está habilitado o deshabilitado. Valores posibles: 0 - (por defecto) El aprovisionamiento SCIM está deshabilitado; 1 - El aprovisionamiento SCIM está habilitado. Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
sign_assertions | integer | Indica si las aserciones SAML deben firmarse con una firma SAML. Valores posibles: 0 - (por defecto) No firmar las aserciones; 1 - Firmar las aserciones. Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
sign_authn_requests | integer | Indica si las solicitudes SAML AuthN deben firmarse con una firma SAML. Valores posibles: 0 - (por defecto) No firmar las solicitudes AuthN; 1 - Firmar las solicitudes AuthN. Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
sign_messages | integer | Indica si los mensajes SAML deben firmarse con una firma SAML. Valores posibles: 0 - (por defecto) No firmar los mensajes; 1 - Firmar los mensajes. Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
sign_logout_requests | integer | Indica si las solicitudes de cierre de sesión SAML deben firmarse con una firma SAML. Valores posibles: 0 - (por defecto) No firmar las solicitudes de cierre de sesión; 1 - Firmar las solicitudes de cierre de sesión. Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
sign_logout_responses | integer | Indica si las respuestas de cierre de sesión SAML deben firmarse con una firma SAML. Valores posibles: 0 - (por defecto) No firmar las respuestas de cierre de sesión; 1 - Firmar las respuestas de cierre de sesión. Comportamiento de la propiedad: - soportado si idp_type está establecido en "Directorio de usuarios de tipo SAML" |
El objeto de asignaciones de tipo de medio tiene las siguientes propiedades.
Propiedad | Tipo | Descripción |
---|---|---|
userdirectory_mediaid | ID | ID de la asignación de tipo de medio. Comportamiento de la propiedad: - solo lectura |
name | string | Nombre visible en la lista de asignaciones de tipo de medio. Comportamiento de la propiedad: - requerido |
mediatypeid | ID | ID del tipo de medio que se va a crear; se utiliza como valor para la propiedad mediatypeid del objeto Media.Comportamiento de la propiedad: - requerido |
attribute | string | Atributo del directorio de usuarios LDAP/SAML (también atributo SCIM si scim_status está establecido en "El aprovisionamiento SCIM está habilitado") que contiene el medio del usuario (por ejemplo, [email protected]) que se utiliza como valor para la propiedad sendto del objeto Media.Si está presente en los datos recibidos del proveedor de identidad LDAP/SAML, y el valor no está vacío, esto activará la creación del medio para el usuario aprovisionado. Comportamiento de la propiedad: - requerido |
active | integer | Valor de la propiedad active del medio de usuario cuando se crea el medio para el usuario aprovisionado.Valores posibles: 0 - (por defecto) habilitado; 1 - deshabilitado. |
severity | integer | Valor de la propiedad severity del medio de usuario cuando se crea el medio para el usuario aprovisionado.Por defecto: 63. |
period | string | Valor de la propiedad period del medio de usuario cuando se crea el medio para el usuario aprovisionado.Por defecto: 1-7,00:00-24:00. |
Las asignaciones de grupos de aprovisionamiento tienen las siguientes propiedades.
Propiedad | Tipo | Descripción |
---|---|---|
name | string | Nombre completo de un grupo (por ejemplo, Zabbix administrators) en el directorio de usuarios LDAP/SAML (también SCIM si scim_status está configurado como "El aprovisionamiento SCIM está habilitado").Admite el carácter comodín "*". Único en todas las asignaciones de grupos de aprovisionamiento. Comportamiento de la propiedad: - obligatorio |
roleid | ID | ID del rol de usuario que se asignará al usuario. Si se corresponden varias asignaciones de grupos de aprovisionamiento, se asigna al usuario el rol del tipo de usuario más alto (Usuario, Administrador o Superadministrador). Si hay varios roles con el mismo tipo de usuario, se asigna al usuario el primer rol (ordenado alfabéticamente). Comportamiento de la propiedad: - obligatorio |
user_groups | array | Array de objetos de ID de grupo de usuarios de Zabbix. Cada objeto tiene las siguientes propiedades:usrgrpid - (ID) ID del grupo de usuarios de Zabbix que se asignará al usuario.Si se corresponden varias asignaciones de grupos de aprovisionamiento, se asignan al usuario los grupos de usuarios de Zabbix de todas las asignaciones coincidentes. Comportamiento de la propiedad: - obligatorio |