3 ユーザグループ
概要
ユーザーグループは、組織的な目的とデータへの権限割り当ての両方のためにユーザーをグループ化することができます。 ホストグループおよびテンプレートグループのデータの表示および設定の権限は、個々のユーザーではなくユーザーグループに割り当てられます。
あるユーザーグループにはどの情報を利用可能にし、別のグループにはどの情報を利用可能にするかを分けることは、しばしば理にかなっています。 これは、ユーザーをグループ化し、ホストグループやテンプレートグループに異なる権限を割り当てることで実現できます。
1人のユーザーは任意の数のグループに所属できます。
設定
ユーザーグループを設定するには:
- ユーザー > ユーザーグループ に移動します
- ユーザーグループの作成 をクリックします (または既存のグループを編集する場合はグループ名をクリックします)
- フォームでグループ属性を編集します
ユーザーグループ タブには、一般的なグループ属性が含まれています:
すべての必須入力フィールドには赤いアスタリスクが付いています。
| パラメータ | 説明 |
|---|---|
| グループ名 | 一意のグループ名です。 |
| ユーザー | グループにユーザーを追加するには、既存のユーザー名の入力を開始します。一致するユーザー名のドロップダウンが表示されたら、スクロールして選択します。 または、選択 ボタンをクリックして、ポップアップでユーザーを選択することもできます。 |
| Webインターフェースアクセス | グループのユーザーがどのように認証されるかを指定します。 システムデフォルト - デフォルトの認証方法を使用します (グローバル設定で設定) 内部 - Zabbix内部認証を使用します (グローバルでLDAP認証が使用されている場合でも)。 グローバルデフォルトがHTTP認証の場合は無視されます。 LDAP - LDAP認証を使用します (グローバルで内部認証が使用されている場合でも)。 グローバルデフォルトがHTTP認証の場合は無視されます。 無効 - このグループのZabbix Webインターフェースへのアクセスを禁止します |
| LDAPサーバー | ユーザー認証に使用するLDAPサーバーを選択します。 このフィールドは、WebインターフェースアクセスがLDAPまたはシステムデフォルトに設定されている場合のみ有効です。 |
| 多要素認証 | ユーザー認証に使用する多要素認証方式を選択します: デフォルト - MFA設定でデフォルトとして設定された方式を使用します。MFAが有効な場合、新しいユーザーグループにはこのオプションがデフォルトで選択されます。 <方式名> - 選択した方式を使用します (例: "Zabbix TOTP")。 無効 - このグループではMFAが無効です。MFAが無効な場合、新しいユーザーグループにはこのオプションがデフォルトで選択されます。 ユーザーがMFA有効な複数のユーザーグループに所属している場合 (または少なくとも1つのグループでMFAが有効な場合)、以下の認証ルールが適用されます: いずれかのグループが「デフォルト」MFA方式を使用している場合はそれが認証に使用されます。それ以外の場合は、アルファベット順で最初の方式が認証に使用されます。 |
| 有効 | ユーザーグループおよびグループメンバーのステータスです。 チェックあり - ユーザーグループおよびユーザーが有効 チェックなし - ユーザーグループおよびユーザーが無効 |
| デバッグモード | このチェックボックスをオンにすると、ユーザーに対してデバッグモードが有効になります。 |
テンプレート権限 タブでは、ユーザーグループのテンプレートグループ (およびテンプレート) データへのアクセス権を指定できます:
ホスト権限 タブでは、ユーザーグループのホストグループ (およびホスト) データへのアクセス権を指定できます:
をクリックして、テンプレート/ホストグループ (親グループまたはネストされたグループ) を選択し、それらに権限を割り当てます。
グループ名の入力を開始すると (一致するグループのドロップダウンが表示されます)、または 選択 をクリックすると、すべてのグループを一覧表示するポップアップウィンドウが開きます。
次に、オプションボタンを使用して選択したグループに権限を割り当てます。 設定可能な権限は以下の通りです:
- 読書き - グループへの読書きアクセス
- 読 - グループへの読み取り専用アクセス
- 拒否 - グループへのアクセスを拒否
同じテンプレート/ホストグループが異なる権限で複数行に追加されている場合は、最も厳しい権限が適用されます。
スーパ管理者 ユーザーは、ホスト/テンプレートグループの設定フォームで、ネストされたグループに親グループと同じレベルの権限を強制的に適用できます。
テンプレート権限 および ホスト権限 タブは、同じパラメータセットをサポートしています。
現在のグループへの権限は 権限 ブロックに表示され、変更または削除できます。
ユーザーグループがホストに対して読書き権限を持ち、このホストにリンクされたテンプレートに対して拒否または権限がない場合、そのグループのユーザーはホスト上のテンプレートアイテムを編集できず、テンプレート名はアクセス不可なテンプレートとして表示されます。
問題タグフィルター タブでは、タグ名と値でフィルタリングされた問題をユーザーグループが参照できるように、タグベースの権限を設定できます:
をクリックしてホストグループを選択します。
タグフィルターを適用するホストグループを選択するには、選択 をクリックして既存のホストグループの完全なリストを表示するか、ホストグループ名の入力を開始して一致するグループのドロップダウンを表示します。
問題タグフィルターはテンプレートグループには適用できないため、ホストグループのみが表示されます。
次に、すべてのタグ から タグリスト に切り替えて、特定のタグとその値をフィルタリング用に設定できます。
値のないタグ名は追加できますが、名前のない値は追加できません。
権限 ブロックには最初の3つのタグ (値がある場合は値も) のみが表示されます。さらに多くのタグがある場合は、
アイコンをクリックまたはホバーすることで確認できます。
タグフィルターを使用すると、ホストグループへのアクセスと問題の参照権限を分離できます。
たとえば、データベース管理者が「MySQL」データベースの問題のみを参照する必要がある場合、まずデータベース管理者用のユーザーグループを作成し、「target」タグ名と「mysql」値を指定する必要があります。
「target」タグ名を指定して値フィールドを空白のままにすると、ユーザーグループは選択したホストグループの「target」タグ名を持つすべての問題を参照できます。 すべてのタグ を選択すると、ユーザーグループは指定したホストグループのすべての問題を参照できます。
タグ名とタグ値が正しく指定されていることを確認してください。そうでない場合、ユーザーグループは問題を参照できません。
ユーザーが複数のユーザーグループに所属している場合の例を見てみましょう。 この場合、タグのフィルタリングにはOR条件が使用されます。
| ユーザーグループA | ユーザーグループB | 両グループのメンバーであるユーザーの可視結果 | ||||
| タグフィルター | ||||||
| ホストグループ | タグ名 | タグ値 | ホストグループ | タグ名 | タグ値 | |
| Databases | target | mysql | Databases | target | oracle | target:mysql または target:oracle の問題が可視 |
| Databases | すべてのタグに設定 | Databases | target | oracle | すべての問題が可視 | |
| 問題タグフィルターで未設定 | Databases | target | oracle | target:oracle の問題が可視 | ||
フィルターを追加すると (例: 特定のホストグループ「Databases」のすべてのタグ)、他のホストグループの問題が参照できなくなります。
複数のユーザーグループからのアクセス
ユーザーは任意の数のユーザーグループに所属することができます。 これらのグループは、ホストやテンプレートに対して異なるアクセス権限を持つことができます。
したがって、権限のないユーザーが最終的にどのエンティティにアクセスできるかを知ることが重要です。 次の例では、ユーザーがユーザーグループAとBに所属している場合に、ホストグループ1のホストXへのアクセスがさまざまな状況でどのように影響を受けるかを考えてみます。
- グループAがホストグループ1に対して読込アクセスのみを持ち、グループBがホストグループ1に対して読書/書込アクセスを持つ場合、ユーザーは'X'に対して読書/書込アクセスを取得します。
"読書/書込"権限は"読込"権限よりも優先されます。
- 上記と同じシナリオで、'X'が同時にグループAまたはBに拒否されているホストグループ2にも存在する場合、ホストグループ1に読書/書込アクセスがあっても、'X'へのアクセスは利用できません。
- グループAに権限が定義されておらず、グループBがホストグループ1に読書/書込アクセスを持つ場合、ユーザーは'X'に対して読書/書込アクセスを取得します。
- グループAがホストグループ1に拒否アクセスを持ち、グループBがホストグループ1に読書/書込アクセスを持つ場合、ユーザーは'X'へのアクセスが拒否されます。
その他の詳細
- Read-writeアクセス権を持つAdminレベルのユーザーが、テンプレートが属するテンプレートグループへのアクセス権を持っていない場合、ホストへのテンプレートのリンク/リンク解除を行うことはできません。 テンプレートグループへのReadアクセス権があれば、ホストへのテンプレートのリンク/リンク解除は可能ですが、テンプレートリストにはテンプレートが表示されず、他の場所でテンプレートを操作することもできません。
- Readアクセス権を持つAdminレベルのユーザーは、設定セクションのホストリストでホストを見ることはできませんが、ITサービスの設定ではホストのトリガーにアクセスできます。
- Super Admin以外のユーザー('guest'を含む)は、マップが空であるか画像のみの場合はネットワークマップを見ることができます。 マップにホスト、ホストグループ、トリガーが追加されると、権限が適用されます。
- Zabbixサーバーは、該当するホストへのアクセスが明示的に「拒否」されている場合、アクションの操作受信者として定義されたユーザーに通知を送信しません。