Ad Widget

Collapse

Notifikace, uživatelské skupiny, role v prostředí s nasezeným SAML(Entra)

Collapse
X
 
  • Time
  • Show
Clear All
new posts
  • Rudlafik
    Senior Member
    • Nov 2018
    • 153

    #1

    Notifikace, uživatelské skupiny, role v prostředí s nasezeným SAML(Entra)

    Ahoj,
    Mám dotaz jak optimalizovat notifikace když jsou uživatelé a user group (UG) řízeny SAML(Entra).
    Před zavedením jsem pracoval způsobem, že jsem měl uživatele přiřadil je do UG a té přiřadil notifikace. Přiřazovaní notifikací na uživatele jsem opustil už dávno.
    Se SAML se situace zkomplikovala.
    - Vše si řídí automat SAML(Entra).
    - Mám 10 SAML G ke každé ZBX UG a k té zase specifickou roli vycházející ze základních 3 rolí.

    Problém nastává s notifikacemi:
    Mám 30 notifikací a každá na jinou UG. Uživatele generovaného SAML JIT nelze ručně přidávat do ZBX UG. Pak tedy v Entra založit dalších 30 skupin a skutečně celý RBAC hodit na kluky z o365/Azure?

    Z celého mi vychází, že RBAC model musí být postaven na těchto pravidlech:
    - Při souběhu více SAML mapování Zabbix nejdřív vyhodnocuje základní typ role. Vyšší základní typ vyhrává. Pokud jsou role stejného základního typu, vybere se restriktivnější/slabší role.
    - Všichni základní uživatelé bez notifikací budou mít roli ZBX ReadOnly
    - Všechny NOTIFY skupiny mapovat na stejnou neutrální roli, ideálně tu nejnižší použitelnou, ZBX ReadOnly.
    - SAML řídí rozdělení, jak do základních ZBX skupin/rolí tak do NOTIFY skupin/rolí. Tímto je zajištěno bezkonfliktní řízení přístupových Oprávnění

    A tady mám dvě varianty:
    Varianta A všichni vidí všechno:
    - měřené veličiny nejsou v rámci firmy tajné a všichni vidí vše. Problém je co externisti. Na to jsem odpověď od vedení nedostal.
    - pak notify skupiny s přiřazenými uživateli v Entra fungují jako čistě distribuční skupiny Exchange.

    Varianta B NOTIFY skupiny jsou i skupinami pohledu na monitorované objekty a metriky:
    - Informace o tom jaké hosty uvidí je součástí ZBX UG mapované na SAML G př: SAML IIS -> ZBX IIS
    Je tu však poté nárůst skupin z pohledu oprávnění v samotné aplikaci. Pak pro IIS musím mít SAML skuipnu: SAML IIS Admin, SAML IIS Operátor L2, SAML IIS Operátor L1, SAML IIS ReadOnly obdobně MS SQL, Rabbit, LAN/WAN atp.

    Jak tuhle problematiku řešíte vy ve vašich prostředích?​
  • hermanekt
    Member
    Zabbix Certified Trainer
    Zabbix Certified SpecialistZabbix Certified Professional
    • Aug 2019
    • 65

    #2
    Ahoj,

    me tak rychle a stale flexibilne na tvoji strane napadaji tagy.

    Tom

    Comment

    Working...