3 ユーザグループ
概要
ユーザーグループは、組織的な目的とデータへの権限割り当ての両方のためにユーザーをグループ化することができます。 ホストグループおよびテンプレートグループのデータの表示および設定の権限は、個々のユーザーではなくユーザーグループに割り当てられます。
あるユーザーグループにはどの情報を利用可能にし、別のグループにはどの情報を利用可能にするかを分けることは、しばしば理にかなっています。 これは、ユーザーをグループ化し、ホストグループやテンプレートグループに異なる権限を割り当てることで実現できます。
1人のユーザーは任意の数のグループに所属できます。
設定
ユーザーグループを設定するには:
- Users > User groups に移動する
- Create user group をクリックする(または、既存のグループを編集するにはグループ名をクリックする)
- フォームでグループ属性を編集する
User group タブには、一般的なグループ属性が含まれます:
必須入力フィールドには赤いアスタリスクが付いています。
| Parameter | Description |
|---|---|
| Group name | 一意のグループ名。 |
| Users | グループにユーザーを追加するには、既存ユーザーの名前を入力し始めます。一致するユーザー名のドロップダウンが表示されたら、スクロールして選択します。 または、Select ボタンをクリックしてポップアップでユーザーを選択することもできます。 |
| Frontend access | グループのユーザーがどのように認証されるか。 System default - デフォルトの認証方式を使用する(全体設定) Internal - Zabbix内部認証を使用する(全体でLDAP認証が使用されている場合でも)。 HTTP認証が全体のデフォルトの場合は無視されます。 LDAP - LDAP認証を使用する(全体で内部認証が使用されている場合でも)。 HTTP認証が全体のデフォルトの場合は無視されます。 Disabled - このグループのZabbix Webインターフェースへのアクセスは禁止されます |
| LDAP server | ユーザー認証に使用するLDAP serverを選択します。 このフィールドは、Frontend access が LDAP または System default に設定されている場合にのみ有効です。 |
| Multi-factor authentication | ユーザー認証に使用する多要素認証のmethodを選択します: Default - MFA設定でデフォルトとして設定された方式を使用する。MFAが有効な場合、新しいユーザーグループではこのオプションがデフォルトで選択されます。 <Method name> - 選択した方式を使用する(例: "Zabbix TOTP")。 Disabled - このグループではMFAを無効にする。MFAが無効な場合、新しいユーザーグループではこのオプションがデフォルトで選択されます。 ユーザーがMFA有効の複数のユーザーグループに所属している場合(または少なくとも1つのグループでMFAが有効な場合)、次の認証ルールが適用されます: いずれかのグループが "Default" MFA方式を使用している場合、その方式でユーザーを認証します。それ以外の場合は、最初の方式(アルファベット順)を認証に使用します。 |
| Enabled | ユーザーグループとグループメンバーの状態。 Checked - ユーザーグループとユーザーが有効 Unchecked - ユーザーグループとユーザーが無効 |
| Debug mode | このチェックボックスをオンにすると、ユーザーに対してdebug modeが有効になります。 |
Template permissions タブでは、ユーザーグループのテンプレートグループ(ひいてはテンプレート)データへのアクセスを指定できます:
Host permissions タブでは、ユーザーグループのホストグループ(ひいてはホスト)データへのアクセスを指定できます:
をクリックして、テンプレート/ホストグループ(親グループでもネストされたグループでも可)を選択し、それらに権限を割り当てます。
グループ名の入力を始めると、一致するグループのドロップダウンが表示されます。あるいは、Select をクリックして、すべてのグループ一覧を含むポップアップウィンドウを開くこともできます。
その後、オプションボタンを使用して選択したグループに権限を割り当てます。 指定できる権限は次のとおりです:
- Read-write - グループへの読み書きアクセス
- Read - グループへの読み取り専用アクセス
- Deny - グループへのアクセスを拒否
同じテンプレート/ホストグループが異なる権限で複数行に追加されている場合、最も厳しい権限が適用されます。
Super admin ユーザーは、ネストされたグループに親グループと同じ権限レベルを強制できます。これはhost/templateグループの設定フォームで行えます。
Template permissions タブと Host permissions タブは、同じパラメータセットをサポートしています。
グループに対する現在の権限は Permissions ブロックに表示され、変更または削除できます。
ユーザーグループがホストに対して Read-write 権限を持ち、そのホストにリンクされたテンプレートに対して Deny または権限なしの場合、そのグループのユーザーはホスト上のテンプレート化されたアイテムを編集できず、テンプレート名は Inaccessible template と表示されます。
Problem tag filter タブでは、タグ名と値でフィルタリングされた問題を表示するための、ユーザーグループ向けタグベースの権限を設定できます:
をクリックしてホストグループを選択します。
タグフィルターを適用するホストグループを選択するには、Select をクリックして既存のホストグループの完全な一覧を表示するか、ホストグループ名の入力を始めて一致するグループのドロップダウンを表示します。
表示されるのはホストグループのみです。問題タグフィルターはテンプレートグループには適用できないためです。
値のないタグ名は追加できますが、名前のない値は追加できません。
Permissions ブロックには、最初の3つのタグ(値がある場合はその値も)が表示されます。それ以上ある場合は、
アイコンをクリックまたはホバーすると確認できます。
タグフィルターを使用すると、ホストグループへのアクセスと問題を表示できるかどうかを分離できます。
たとえば、データベース管理者が "MySQL" データベースの問題だけを表示する必要がある場合、まずデータベース管理者用のユーザーグループを作成し、次に "target" というタグ名と "mysql" という値を指定します。
"target" というタグ名を指定し、値フィールドを空欄のままにすると、ユーザーグループは選択したホストグループに対して、タグ名が "target" のすべての問題を表示できます。
タグ名とタグ値が正しく指定されていることを確認してください。正しくない場合、ユーザーグループは問題を表示できません。
ユーザーが選択された複数のユーザーグループのメンバーである場合の例を見てみましょう。 この場合、フィルタリングはタグに対して OR 条件を使用します。
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Problem tag filter で設定されていない | Databases | target | oracle | target:oracle problems visible | ||
複数のユーザーグループからのアクセス
ユーザーは任意の数のユーザーグループに所属することができます。 これらのグループは、ホストやテンプレートに対して異なるアクセス権限を持つことができます。
したがって、権限のないユーザーが最終的にどのエンティティにアクセスできるかを知ることが重要です。 次の例では、ユーザーがユーザーグループAとBに所属している場合に、ホストグループ1のホストXへのアクセスがさまざまな状況でどのように影響を受けるかを考えてみます。
- グループAがホストグループ1に対して読込アクセスのみを持ち、グループBがホストグループ1に対して読書/書込アクセスを持つ場合、ユーザーは'X'に対して読書/書込アクセスを取得します。
"読書/書込"権限は"読込"権限よりも優先されます。
- 上記と同じシナリオで、'X'が同時にグループAまたはBに拒否されているホストグループ2にも存在する場合、ホストグループ1に読書/書込アクセスがあっても、'X'へのアクセスは利用できません。
- グループAに権限が定義されておらず、グループBがホストグループ1に読書/書込アクセスを持つ場合、ユーザーは'X'に対して読書/書込アクセスを取得します。
- グループAがホストグループ1に拒否アクセスを持ち、グループBがホストグループ1に読書/書込アクセスを持つ場合、ユーザーは'X'へのアクセスが拒否されます。
その他の詳細
- Read-writeアクセス権を持つAdminレベルのユーザーが、テンプレートが属するテンプレートグループへのアクセス権を持っていない場合、ホストへのテンプレートのリンク/リンク解除を行うことはできません。 テンプレートグループへのReadアクセス権があれば、ホストへのテンプレートのリンク/リンク解除は可能ですが、テンプレートリストにはテンプレートが表示されず、他の場所でテンプレートを操作することもできません。
- Readアクセス権を持つAdminレベルのユーザーは、設定セクションのホストリストでホストを見ることはできませんが、ITサービスの設定ではホストのトリガーにアクセスできます。
- Super Admin以外のユーザー('guest'を含む)は、マップが空であるか画像のみの場合はネットワークマップを見ることができます。 マップにホスト、ホストグループ、トリガーが追加されると、権限が適用されます。
- Zabbixサーバーは、該当するホストへのアクセスが明示的に「拒否」されている場合、アクションの操作受信者として定義されたユーザーに通知を送信しません。