Esta es una traducción de la página de documentación original en español. Ayúdanos a mejorarla.

3 Grupos de usuarios

Descripción general

Los grupos de usuarios permiten agrupar usuarios tanto con fines organizativos como para asignar permisos a los datos. Los permisos para ver y configurar datos de grupos de equipos y grupos de plantillas se asignan a grupos de usuarios, no a usuarios individuales.

A menudo puede tener sentido separar la información disponible para un grupo de usuarios y qué, para otro. Esto se puede lograr mediante los grupos de usuarios y luego asignar permisos variados a grupos de equipos y plantillas.

Un usuario puede pertenecer a cualquier número de grupos.

Configuración

Para configurar un grupo de usuarios:

  • Vaya a Usuarios → Grupos de usuarios
  • Haga clic en Crear grupo de usuarios (o en el nombre del grupo para editar un grupo existente)
  • Edite los atributos del grupo en el formulario

La pestaña Grupo de usuarios contiene atributos generales del grupo:

Todos los campos de entrada obligatorios están marcados con un asterisco rojo.

Parámetro Descripción
Nombre del grupo Nombre único del grupo.
Usuarios Para agregar usuarios al grupo, comience a escribir el nombre de un usuario existente. Cuando aparezca el menú desplegable con los nombres de usuario coincidentes, desplácese hacia abajo para seleccionar.
Alternativamente, puede hacer clic en el botón Seleccionar para seleccionar usuarios en una ventana emergente.
Acceso a la interfaz Cómo se autentican los usuarios del grupo.
Valor predeterminado del sistema: utilizar el método de autenticación predeterminado (establecido globalmente)
Interno: utilizar la autenticación interna de Zabbix (incluso si se utiliza la autenticación LDAP globalmente).
Se ignora si la autenticación HTTP es el valor predeterminado global.
LDAP: utilizar la autenticación LDAP (incluso si se utiliza la autenticación interna globalmente).
Se ignora si la autenticación HTTP es el valor predeterminado global.
Deshabilitado: el acceso al frontend de Zabbix está prohibido para este grupo
Servidor LDAP Seleccione qué servidor LDAP se utilizará para autenticar al usuario.
Este campo solo está habilitado si Acceso al frontend está configurado en LDAP o Valor predeterminado del sistema.
Autenticación multifactor Seleccione qué método de autenticación multifactor se utilizará para autenticar al usuario:
Predeterminado: utilice el método establecido como predeterminado en la configuración de MFA; esta opción se selecciona de forma predeterminada para los nuevos grupos de usuarios si la MFA está habilitada;
<Nombre del método>: utilice el método seleccionado (por ejemplo, "Zabbix TOTP");
Deshabilitado: la MFA está deshabilitada para este grupo; esta opción se selecciona de forma predeterminada para los nuevos grupos de usuarios si la MFA está deshabilitada.
Tenga en cuenta que si un usuario pertenece a varios grupos de usuarios con la MFA habilitada (o al menos un grupo tiene la MFA habilitada), se aplican las siguientes reglas de autenticación: si algún grupo utiliza el método de MFA "Predeterminado", autenticará al usuario; de lo contrario, se utilizará el primer método (ordenado alfabéticamente) para la autenticación.
Habilitado Estado del grupo de usuarios y de los miembros del grupo.
Marcado: el grupo de usuarios y los usuarios están habilitados
Desmarcado: el grupo de usuarios y los usuarios están deshabilitados
Modo de depuración Marque esta casilla para activar el modo de depuración para los usuarios.

La pestaña Permisos de plantilla permite especificar el acceso del grupo de usuarios a los datos del grupo de plantillas (y, por lo tanto, de la plantilla):

La pestaña Permisos de host permite especificar el acceso del grupo de usuarios a los datos del grupo de host (y, por lo tanto, del host):

Haga clic en para elegir los grupos de plantillas/equipos (ya sea un grupo principal o un grupo anidado) y asignarles permisos. Comience a escribir el nombre del grupo (aparecerá un menú desplegable con los grupos que coinciden) o haga clic en Seleccionar para que aparezca una ventana emergente con una lista de todos los grupos que se abrirán.

Luego, use los botones de opción para asignar permisos a los grupos elegidos. Los permisos posibles son los siguientes:

  • Lectura y escritura: acceso de lectura y escritura a un grupo;
  • Lectura: acceso de solo lectura a un grupo;
  • Denegar: acceso denegado a un grupo.

Si se agrega el mismo grupo de plantillas/equipos en varias filas con diferentes permisos establecidos, se aplicará el permiso más estricto.

Tenga en cuenta que un usuario Superadministrador puede hacer que los grupos anidados tengan el mismo nivel de permisos que el grupo principal; esto se puede hacer en el formulario de configuración del grupo de equipos/plantillas.

Las pestañas Permisos de plantilla y Permisos de equipo admiten el mismo conjunto de parámetros.

Los permisos actuales para los grupos se muestran en el bloque Permisos y se pueden modificar o eliminar.

Si un grupo de usuarios tiene permisos de Lectura y escritura para un equipo y Denegar o ningún permiso para una plantilla vinculada a este host, los usuarios de dicho grupo no podrán editar métricas de plantilla en el equipo y el nombre de la plantilla se mostrará como Plantilla inaccesible.

La pestaña Filtro de etiquetas de problemas permite configurar permisos basados ​​en etiquetas para que los grupos de usuarios vean los problemas filtrados por nombre y valor de etiqueta:

Haga clic en para elegir los grupos de equipos. Para seleccionar un grupo de equipos para aplicar un filtro de etiquetas, haga clic en Seleccionar para obtener la lista completa de grupos de equipos existentes o comience a escribir el nombre de un grupo de equipos para obtener un menú desplegable de grupos coincidentes. Solo se mostrarán los grupos de equipos, ya que el filtro de etiquetas de problemas no se puede aplicar a los grupos de plantillas.

Luego, es posible cambiar de Todas las etiquetas a Lista de etiquetas para establecer etiquetas particulares y sus valores para filtrar. Se pueden agregar nombres de etiquetas sin valores, pero no valores sin nombres. Solo las primeras tres etiquetas (con valores, si los hay) se muestran en el bloque Permisos; si hay más, se pueden ver haciendo clic o pasando el cursor sobre el ícono .

El filtro de etiquetas permite separar el acceso al grupo de equipos de la posibilidad de ver los problemas.

Por ejemplo, si un administrador de base de datos necesita ver solo los problemas de la base de datos "MySQL", es necesario crear primero un grupo de usuarios para los administradores de base de datos y luego especificar el nombre de la etiqueta "target" y el valor "mysql".

Si se especifica el nombre de la etiqueta "target" y el campo de valor se deja en blanco, el grupo de usuarios verá todos los problemas con el nombre de etiqueta "target" para el grupo de equipos seleccionado.

Si se selecciona Todas las etiquetas, el grupo de usuarios verá todos los problemas para el grupo de equipos especificado.

Asegúrese de que el nombre y el valor de la etiqueta estén correctamente especificados; de lo contrario, el grupo de usuarios no verá ningún problema.

Revisemos un ejemplo cuando un usuario es miembro de varios grupos de usuarios seleccionados. El filtrado en este caso utilizará la condición OR para las etiquetas.

Grupo de usuarios A Grupo de usuarios B Resultado visible para un usuario (miembro) de ambos grupos
Filtro de etiquetas
Grupo de equipos Nombre de etiqueta Valor de etiqueta Grupo de equipos Nombre de etiqueta Valor de etiqueta
Bases de datos target mysql Bases de datos target oracle target:mysql o target:oracle problems visibles
Bases de datos establecido en: Todas las etiquetas Bases de datos target oracle Todos los problemas visibles
No configurado en el Filtro de etiquetas de problemas Bases de datos target oracle target:oracle problems visibles

Agregar un filtro (por ejemplo, todas las etiquetas en un cierto grupo de equipos "Bases de datos") hace que no se puedan ver los problemas de otros grupos de equipos.

Acceso desde varios grupos de usuarios

Un usuario puede pertenecer a cualquier número de grupos de usuarios. Estos grupos pueden tener diferentes permisos de acceso a equipos o plantillas.

Por lo tanto, es importante saber a qué entidades un usuario sin privilegios podrá acceder como resultado. Por ejemplo, consideremos cómo el acceso al equipo X (en el grupo de equipos 1) se verá afectado en diversas situaciones para un usuario que está en los grupos de usuarios A y B.

  • Si el Grupo A solo tiene acceso de Lectura al Grupo de equipos 1, pero al Grupo B tiene acceso de lectura-escritura al grupo de equipos 1, el usuario obtendrá acceso de lectura-escritura a 'X'.

Los permisos de “lectura y escritura” tienen prioridad sobre los permisos de “lectura”.

  • En el mismo escenario anterior, si 'X' está simultáneamente también en el grupo de equipos 2 que está denegado al grupo A o B, el acceso a 'X' será no disponible, a pesar de tener acceso de lectura y escritura al grupo de equipos 1.
  • Si el Grupo A no tiene permisos definidos y el Grupo B tiene un acceso de Lectura-Escritura al grupo de equipos 1, el usuario obtendrá acceso de lectura y escritura a 'X'.
  • Si el Grupo A tiene acceso Denegar al Grupo de equipos 1 y el Grupo B tiene un acceso de lectura-escritura al grupo de equipos 1, el usuario obtendrá acceso denegado a 'X'.

Otros detalles

  • Un usuario de nivel de administrador con acceso de lectura y escritura a un equipo no será capaz de vincular/desvincular plantillas, si no tiene acceso al grupo de plantillas al que pertenecen. Con acceso de Lectura al grupo de plantillas, podrá vincular/desvincular plantillas al equipo, sin embargo, no verá cualquier plantilla en la lista de plantillas y no podrá operar con plantillas en otros lugares.
  • Un usuario de nivel de administrador con acceso de lectura a un equipo no verá al equipo en la lista de equipos de la sección de configuración; sin embargo, los iniciadores del equipo serán accesibles en la configuración del servicio de TI.
  • Cualquier usuario que no sea superadministrador (incluido el "invitado") puede ver los mapas de red como siempre y cuando el mapa esté vacío o solo tenga imágenes. Cuando se agregan al mapa equipos, grupos de equipos o iniciadores, se respetan los permisos.
  • El servidor Zabbix no enviará notificaciones a los usuarios definidos como destinatarios de una acción de operación si el acceso al equipo en cuestión está explícitamente "denegado".