Ahoj,
Mám dotaz jak optimalizovat notifikace když jsou uživatelé a user group (UG) řízeny SAML(Entra).
Před zavedením jsem pracoval způsobem, že jsem měl uživatele přiřadil je do UG a té přiřadil notifikace. Přiřazovaní notifikací na uživatele jsem opustil už dávno.
Se SAML se situace zkomplikovala.
- Vše si řídí automat SAML(Entra).
- Mám 10 SAML G ke každé ZBX UG a k té zase specifickou roli vycházející ze základních 3 rolí.
Problém nastává s notifikacemi:
Mám 30 notifikací a každá na jinou UG. Uživatele generovaného SAML JIT nelze ručně přidávat do ZBX UG. Pak tedy v Entra založit dalších 30 skupin a skutečně celý RBAC hodit na kluky z o365/Azure?
Z celého mi vychází, že RBAC model musí být postaven na těchto pravidlech:
- Při souběhu více SAML mapování Zabbix nejdřív vyhodnocuje základní typ role. Vyšší základní typ vyhrává. Pokud jsou role stejného základního typu, vybere se restriktivnější/slabší role.
- Všichni základní uživatelé bez notifikací budou mít roli ZBX ReadOnly
- Všechny NOTIFY skupiny mapovat na stejnou neutrální roli, ideálně tu nejnižší použitelnou, ZBX ReadOnly.
- SAML řídí rozdělení, jak do základních ZBX skupin/rolí tak do NOTIFY skupin/rolí. Tímto je zajištěno bezkonfliktní řízení přístupových Oprávnění
A tady mám dvě varianty:
Varianta A všichni vidí všechno:
- měřené veličiny nejsou v rámci firmy tajné a všichni vidí vše. Problém je co externisti. Na to jsem odpověď od vedení nedostal.
- pak notify skupiny s přiřazenými uživateli v Entra fungují jako čistě distribuční skupiny Exchange.
Varianta B NOTIFY skupiny jsou i skupinami pohledu na monitorované objekty a metriky:
- Informace o tom jaké hosty uvidí je součástí ZBX UG mapované na SAML G př: SAML IIS -> ZBX IIS
Je tu však poté nárůst skupin z pohledu oprávnění v samotné aplikaci. Pak pro IIS musím mít SAML skuipnu: SAML IIS Admin, SAML IIS Operátor L2, SAML IIS Operátor L1, SAML IIS ReadOnly obdobně MS SQL, Rabbit, LAN/WAN atp.
Jak tuhle problematiku řešíte vy ve vašich prostředích?
Mám dotaz jak optimalizovat notifikace když jsou uživatelé a user group (UG) řízeny SAML(Entra).
Před zavedením jsem pracoval způsobem, že jsem měl uživatele přiřadil je do UG a té přiřadil notifikace. Přiřazovaní notifikací na uživatele jsem opustil už dávno.
Se SAML se situace zkomplikovala.
- Vše si řídí automat SAML(Entra).
- Mám 10 SAML G ke každé ZBX UG a k té zase specifickou roli vycházející ze základních 3 rolí.
Problém nastává s notifikacemi:
Mám 30 notifikací a každá na jinou UG. Uživatele generovaného SAML JIT nelze ručně přidávat do ZBX UG. Pak tedy v Entra založit dalších 30 skupin a skutečně celý RBAC hodit na kluky z o365/Azure?
Z celého mi vychází, že RBAC model musí být postaven na těchto pravidlech:
- Při souběhu více SAML mapování Zabbix nejdřív vyhodnocuje základní typ role. Vyšší základní typ vyhrává. Pokud jsou role stejného základního typu, vybere se restriktivnější/slabší role.
- Všichni základní uživatelé bez notifikací budou mít roli ZBX ReadOnly
- Všechny NOTIFY skupiny mapovat na stejnou neutrální roli, ideálně tu nejnižší použitelnou, ZBX ReadOnly.
- SAML řídí rozdělení, jak do základních ZBX skupin/rolí tak do NOTIFY skupin/rolí. Tímto je zajištěno bezkonfliktní řízení přístupových Oprávnění
A tady mám dvě varianty:
Varianta A všichni vidí všechno:
- měřené veličiny nejsou v rámci firmy tajné a všichni vidí vše. Problém je co externisti. Na to jsem odpověď od vedení nedostal.
- pak notify skupiny s přiřazenými uživateli v Entra fungují jako čistě distribuční skupiny Exchange.
Varianta B NOTIFY skupiny jsou i skupinami pohledu na monitorované objekty a metriky:
- Informace o tom jaké hosty uvidí je součástí ZBX UG mapované na SAML G př: SAML IIS -> ZBX IIS
Je tu však poté nárůst skupin z pohledu oprávnění v samotné aplikaci. Pak pro IIS musím mít SAML skuipnu: SAML IIS Admin, SAML IIS Operátor L2, SAML IIS Operátor L1, SAML IIS ReadOnly obdobně MS SQL, Rabbit, LAN/WAN atp.
Jak tuhle problematiku řešíte vy ve vašich prostředích?
Comment