3 Gruppi di utenti
Panoramica
I gruppi di utenti consentono di raggruppare gli utenti sia per scopi organizzativi sia per l'assegnazione dei permessi ai dati. I permessi per visualizzare e configurare i dati dei gruppi di host e dei gruppi di template vengono assegnati ai gruppi di utenti, non ai singoli utenti.
Spesso può essere opportuno separare quali informazioni siano disponibili per un gruppo di utenti e quali per un altro. Questo può essere ottenuto raggruppando gli utenti e assegnando poi permessi differenti ai gruppi di host e di template.
Un utente può appartenere a un numero qualsiasi di gruppi.
Configurazione
Per configurare un gruppo utente:
- Vai a Users > User groups
- Fai clic su Create user group (oppure sul nome del gruppo per modificare un gruppo esistente)
- Modifica gli attributi del gruppo nel modulo
La scheda User group contiene gli attributi generali del gruppo:
Tutti i campi di input obbligatori sono contrassegnati da un asterisco rosso.
| Parameter | Description |
|---|---|
| Group name | Nome univoco del gruppo. |
| Users | Per aggiungere utenti al gruppo, inizia a digitare il nome di un utente esistente. Quando appare l'elenco a discesa con i nomi utente corrispondenti, scorri verso il basso per selezionare. In alternativa, puoi fare clic sul pulsante Select per selezionare gli utenti in una finestra popup. |
| Frontend access | Modalità di autenticazione degli utenti del gruppo. System default - usa il metodo di autenticazione predefinito (impostato globalmente) Internal - usa l'autenticazione interna di Zabbix (anche se l'autenticazione LDAP è usata globalmente). Ignorato se l'autenticazione HTTP è il valore predefinito globale. LDAP - usa l'autenticazione LDAP (anche se l'autenticazione interna è usata globalmente). Ignorato se l'autenticazione HTTP è il valore predefinito globale. Disabled - l'accesso al frontend di Zabbix è vietato per questo gruppo |
| LDAP server | Seleziona quale LDAP server usare per autenticare l'utente. Questo campo è abilitato solo se Frontend access è impostato su LDAP o System default. |
| Multi-factor authentication | Seleziona quale metodo di autenticazione a più fattori usare per autenticare l'utente: Default - usa il metodo impostato come predefinito nella configurazione MFA; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utente se MFA è abilitata; <Method name> - usa il metodo selezionato (ad esempio, "Zabbix TOTP"); Disabled - MFA è disabilitata per questo gruppo; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utente se MFA è disabilitata. Nota che se un utente appartiene a più gruppi utente con MFA abilitata (o almeno un gruppo ha MFA abilitata), si applicano le seguenti regole di autenticazione: se un gruppo usa il metodo MFA "Default", autenticherà l'utente; altrimenti, verrà usato il primo metodo (ordinato alfabeticamente) per l'autenticazione. |
| Enabled | Stato del gruppo utente e dei membri del gruppo. Checked - il gruppo utente e gli utenti sono abilitati Unchecked - il gruppo utente e gli utenti sono disabilitati |
| Debug mode | Seleziona questa casella di controllo per attivare la modalità debug per gli utenti. |
La scheda Template permissions consente di specificare l'accesso del gruppo utente ai dati del gruppo di template (e quindi del template):
La scheda Host permissions consente di specificare l'accesso del gruppo utente ai dati del gruppo di host (e quindi dell'host):
Fai clic su 
per scegliere i gruppi di template/host (sia un gruppo padre sia un gruppo nidificato) e assegnare loro le autorizzazioni.
Inizia a digitare il nome del gruppo (apparirà un elenco a discesa dei gruppi corrispondenti) oppure fai clic su Select per aprire una finestra popup con l'elenco di tutti i gruppi.
Quindi usa i pulsanti delle opzioni per assegnare le autorizzazioni ai gruppi scelti. Le autorizzazioni possibili sono le seguenti:
- Read-write - accesso in lettura e scrittura a un gruppo
- Read - accesso in sola lettura a un gruppo
- Deny - accesso a un gruppo negato
Se lo stesso gruppo di template/host viene aggiunto in più righe con autorizzazioni diverse, verrà applicata l'autorizzazione più restrittiva.
Nota che un utente Super admin può imporre ai gruppi nidificati di avere lo stesso livello di autorizzazioni del gruppo padre; ciò può essere fatto nel modulo di configurazione del gruppo host/template.
Le schede Template permissions e Host permissions supportano lo stesso insieme di parametri.
Le autorizzazioni correnti per i gruppi sono visualizzate nel blocco Permissions e possono essere modificate o rimosse.
Se un gruppo utente ha autorizzazioni Read-write per un host e Deny o nessuna autorizzazione per un template collegato a questo host, gli utenti di tale gruppo non potranno modificare gli item basati su template sull'host e il nome del template verrà visualizzato come Inaccessible template.
La scheda Problem tag filter consente di impostare autorizzazioni basate sui tag per i gruppi utente, in modo da visualizzare i problemi filtrati per nome e valore del tag:
Fai clic su per scegliere i gruppi di host.
Per selezionare un gruppo di host a cui applicare un filtro tag, fai clic su Select per ottenere l'elenco completo dei gruppi di host esistenti oppure inizia a digitare il nome di un gruppo di host per ottenere un elenco a discesa dei gruppi corrispondenti.
Verranno visualizzati solo i gruppi di host, perché il filtro tag dei problemi non può essere applicato ai gruppi di template.
I nomi dei tag senza valori possono essere aggiunti, ma i valori senza nomi no.
Solo i primi tre tag (con eventuali valori) sono visualizzati nel blocco Permissions; se ce ne sono altri, possono essere visualizzati facendo clic o passando il mouse sull'icona 
.
Il filtro tag consente di separare l'accesso al gruppo di host dalla possibilità di vedere i problemi.
Ad esempio, se un amministratore di database deve vedere solo i problemi del database "MySQL", è necessario creare prima un gruppo utente per gli amministratori di database, quindi specificare il nome del tag "target" e il valore "mysql".
Se viene specificato il nome del tag "target" e il campo del valore viene lasciato vuoto, il gruppo utente vedrà tutti i problemi con il nome del tag "target" per il gruppo di host selezionato.
Assicurati che il nome del tag e il valore del tag siano specificati correttamente, altrimenti il gruppo utente non vedrà alcun problema.
Esaminiamo un esempio in cui un utente è membro di più gruppi utente selezionati. Il filtraggio in questo caso utilizzerà una condizione OR per i tag.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Accesso da diversi gruppi di utenti
Un utente può appartenere a un numero qualsiasi di gruppi di utenti. Questi gruppi possono avere permessi di accesso diversi a host o template.
Pertanto, è importante sapere a quali entità un utente senza privilegi potrà accedere di conseguenza. Nell'esempio seguente, considera come l'accesso all'host X (nel Gruppo host 1) sarà influenzato in varie situazioni per un utente che appartiene ai gruppi di utenti A e B.
- Se il Gruppo A ha solo accesso in Lettura al Gruppo host 1, ma il Gruppo B ha accesso in Lettura-scrittura al Gruppo host 1, l'utente otterrà accesso in Lettura-scrittura a 'X'.
I permessi di "Lettura-scrittura" hanno la precedenza sui permessi di "Lettura".
- Nello stesso scenario di cui sopra, se 'X' si trova contemporaneamente anche nel Gruppo host 2 che è negato al Gruppo A o B, l'accesso a 'X' sarà non disponibile, nonostante l'accesso in Lettura-scrittura al Gruppo host 1.
- Se il Gruppo A non ha permessi definiti e il Gruppo B ha accesso in Lettura-scrittura al Gruppo host 1, l'utente otterrà accesso in Lettura-scrittura a 'X'.
- Se il Gruppo A ha accesso di Negazione al Gruppo host 1 e il Gruppo B ha accesso in Lettura-scrittura al Gruppo host 1, all'utente sarà negato l'accesso a 'X'.
Altri dettagli
- Un utente di livello Admin con accesso in lettura-scrittura a un host non potrà collegare/scollegare template, se non ha accesso al gruppo di template a cui essi appartengono. Con accesso in sola lettura al gruppo di template potrà collegare/scollegare template all'host, tuttavia non vedrà alcun template nell'elenco dei template e non potrà operare con i template in altri punti.
- Un utente di livello Admin con accesso in sola lettura a un host non vedrà l'host nell'elenco degli host nella sezione di configurazione; tuttavia, i trigger dell'host saranno accessibili nella configurazione dei servizi IT.
- Qualsiasi utente che non sia Super Admin (incluso 'guest') può vedere le mappe di rete purché la mappa sia vuota o contenga solo immagini. Quando alla mappa vengono aggiunti host, gruppi di host o trigger, i permessi vengono rispettati.
- Zabbix server non invierà notifiche agli utenti definiti come destinatari delle operazioni di un'azione se l'accesso all'host interessato è esplicitamente "negato".