3 Grupos de usuários
Visão geral
Os grupos de usuários permitem agrupar usuários tanto para fins organizacionais quanto para atribuição de permissões aos dados. As permissões para visualizar e configurar dados de grupos de hosts e grupos de templates são atribuídas a grupos de usuários, não a usuários individuais.
Muitas vezes, pode fazer sentido separar quais informações estão disponíveis para um grupo de usuários e quais para outro. Isso pode ser feito agrupando usuários e, em seguida, atribuindo permissões variadas a grupos de hosts e templates.
Um usuário pode pertencer a qualquer número de grupos.
Configuração
Para configurar um grupo de usuários:
- Acesse Users > User groups
- Clique em Create user group (ou no nome do grupo para editar um grupo existente)
- Edite os atributos do grupo no formulário
A aba User group contém os atributos gerais do grupo:
Todos os campos obrigatórios são marcados com um asterisco vermelho.
| Parameter | Description |
|---|---|
| Group name | Nome exclusivo do grupo. |
| Users | Para adicionar usuários ao grupo, comece a digitar o nome de um usuário existente. Quando a lista suspensa com nomes de usuários correspondentes aparecer, role para baixo para selecionar. Como alternativa, você pode clicar no botão Select para selecionar usuários em uma janela pop-up. |
| Frontend access | Como os usuários do grupo são autenticados. System default - usa o método de autenticação padrão (definido globalmente) Internal - usa a autenticação interna do Zabbix (mesmo que a autenticação LDAP seja usada globalmente). Ignorado se a autenticação HTTP for o padrão global. LDAP - usa a autenticação LDAP (mesmo que a autenticação interna seja usada globalmente). Ignorado se a autenticação HTTP for o padrão global. Disabled - o acesso ao frontend do Zabbix é proibido para este grupo |
| LDAP server | Selecione qual LDAP server usar para autenticar o usuário. Este campo só fica habilitado se Frontend access estiver definido como LDAP ou System default. |
| Multi-factor authentication | Selecione qual método de autenticação multifator usar para autenticar o usuário: Default - usa o método definido como padrão na configuração de MFA; esta opção é selecionada por padrão para novos grupos de usuários se a MFA estiver habilitada; <Method name> - usa o método selecionado (por exemplo, "Zabbix TOTP"); Disabled - a MFA está desabilitada para este grupo; esta opção é selecionada por padrão para novos grupos de usuários se a MFA estiver desabilitada. Observe que, se um usuário pertencer a vários grupos de usuários com MFA habilitada (ou se pelo menos um grupo tiver MFA habilitada), as seguintes regras de autenticação se aplicam: se qualquer grupo usar o método de MFA "Default", ele autenticará o usuário; caso contrário, o primeiro método (em ordem alfabética) será usado para autenticação. |
| Enabled | Status do grupo de usuários e dos membros do grupo. Marcado - o grupo de usuários e os usuários estão habilitados Desmarcado - o grupo de usuários e os usuários estão desabilitados |
| Debug mode | Marque esta caixa de seleção para ativar o debug mode para os usuários. |
A aba Template permissions permite especificar o acesso do grupo de usuários aos dados do grupo de template (e, consequentemente, do template):
A aba Host permissions permite especificar o acesso do grupo de usuários aos dados do grupo de host (e, consequentemente, do host):
Clique em 
para escolher os grupos de template/host (seja um grupo pai ou um grupo aninhado) e atribuir permissões a eles.
Comece a digitar o nome do grupo (uma lista suspensa com os grupos correspondentes aparecerá) ou clique em Select para abrir uma janela pop-up com a lista de todos os grupos.
Em seguida, use os botões de opção para atribuir permissões aos grupos escolhidos. As permissões possíveis são as seguintes:
- Read-write - acesso de leitura e gravação a um grupo
- Read - acesso somente leitura a um grupo
- Deny - acesso a um grupo negado
Se o mesmo grupo de template/host for adicionado em várias linhas com permissões diferentes, a permissão mais restritiva será aplicada.
Observe que um usuário Super admin pode impor que grupos aninhados tenham o mesmo nível de permissões do grupo pai; isso pode ser feito no formulário de configuração do grupo host/template.
As abas Template permissions e Host permissions suportam o mesmo conjunto de parâmetros.
As permissões atuais para os grupos são exibidas no bloco Permissions, e elas podem ser modificadas ou removidas.
Se um grupo de usuários tiver permissões Read-write para um host e Deny ou nenhuma permissão para um template vinculado a esse host, os usuários desse grupo não poderão editar itens baseados em template no host, e o nome do template será exibido como Inaccessible template.
A aba Problem tag filter permite definir permissões baseadas em tag para grupos de usuários verem problemas filtrados por nome e valor da tag:
Clique em para escolher os grupos de host.
Para selecionar um grupo de host ao qual aplicar um filtro de tag, clique em Select para obter a lista completa dos grupos de host existentes ou comece a digitar o nome de um grupo de host para obter uma lista suspensa com os grupos correspondentes.
Somente grupos de host serão exibidos, porque o filtro de tag de problema não pode ser aplicado a grupos de template.
Nomes de tag sem valores podem ser adicionados, mas valores sem nomes não podem.
Somente as três primeiras tags (com valores, se houver) são exibidas no bloco Permissions; se houver mais, elas podem ser vistas clicando ou passando o mouse sobre o ícone 
.
O filtro de tag permite separar o acesso ao grupo de host da possibilidade de ver problemas.
Por exemplo, se um administrador de banco de dados precisar ver apenas problemas do banco de dados "MySQL", é necessário primeiro criar um grupo de usuários para administradores de banco de dados e, em seguida, especificar o nome da tag "target" e o valor "mysql".
Se o nome da tag "target" for especificado e o campo de valor for deixado em branco, o grupo de usuários verá todos os problemas com a tag "target" para o grupo de host selecionado.
Certifique-se de que o nome e o valor da tag estejam especificados corretamente; caso contrário, o grupo de usuários não verá nenhum problema.
Vamos analisar um exemplo em que um usuário é membro de vários grupos de usuários selecionados. A filtragem, nesse caso, usará a condição OR para as tags.
| User group A | User group B | Visible result for a user (member) of both groups | ||||
| Tag filter | ||||||
| Host group | Tag name | Tag value | Host group | Tag name | Tag value | |
| Databases | target | mysql | Databases | target | oracle | target:mysql or target:oracle problems visible |
| Not configured in the Problem tag filter | Databases | target | oracle | target:oracle problems visible | ||
Acesso a partir de vários grupos de usuários
Um usuário pode pertencer a qualquer número de grupos de usuários. Esses grupos podem ter diferentes permissões de acesso a hosts ou templates.
Portanto, é importante saber a quais entidades um usuário sem privilégios poderá acessar como resultado. No exemplo a seguir, considere como o acesso ao host X (no Grupo de hosts 1) será afetado em várias situações para um usuário que está nos grupos de usuários A e B.
- Se o Grupo A tiver apenas acesso Leitura ao Grupo de hosts 1, mas o Grupo B tiver acesso Leitura-escrita ao Grupo de hosts 1, o usuário terá acesso Leitura-escrita ao 'X'.
As permissões "Leitura-escrita" têm precedência sobre as permissões "Leitura".
- No mesmo cenário acima, se 'X' estiver simultaneamente também no Grupo de hosts 2 que está negado ao Grupo A ou B, o acesso ao 'X' ficará indisponível, apesar do acesso Leitura-escrita ao Grupo de hosts 1.
- Se o Grupo A não tiver permissões definidas e o Grupo B tiver acesso Leitura-escrita ao Grupo de hosts 1, o usuário terá acesso Leitura-escrita ao 'X'.
- Se o Grupo A tiver acesso Negado ao Grupo de hosts 1 e o Grupo B tiver acesso Leitura-escrita ao Grupo de hosts 1, o acesso ao 'X' será negado ao usuário.
Outros detalhes
- Um usuário de nível Admin com acesso Leitura-escrita a um host não poderá vincular/desvincular templates, se ele não tiver acesso ao grupo de templates ao qual eles pertencem. Com acesso Leitura ao grupo de templates, ele poderá vincular/desvincular templates ao host, no entanto, não verá nenhum template na lista de templates e não poderá operar com templates em outros lugares.
- Um usuário de nível Admin com acesso Leitura a um host não verá o host na lista de hosts da seção de configuração; no entanto, os triggers do host estarão acessíveis na configuração do serviço de TI.
- Qualquer usuário que não seja Super Admin (incluindo 'guest') pode ver mapas de rede, desde que o mapa esteja vazio ou tenha apenas imagens. Quando hosts, grupos de hosts ou triggers são adicionados ao mapa, as permissões são respeitadas.
- O Zabbix server não enviará notificações para usuários definidos como destinatários de operações de ação se o acesso ao host em questão for explicitamente "negado".