Los siguientes objetos están directamente relacionados con la API userdirectory
.
El objeto del directorio de usuarios tiene las siguientes propiedades.
Propiedad | Tipo | Descripción |
---|---|---|
userdirectoryid | cadena | ID del directorio de usuarios. Si se elimina un directorio de usuarios, el valor de la propiedad objeto de usuario userdirectoryid se establece en "0" para todos los usuarios que están vinculados al directorio de usuarios eliminados.Comportamiento de la propiedad: - solo lectura - obligatorio para operaciones de actualización |
idp_type | entero | Tipo de protocolo de autenticación utilizado por el proveedor de identidad para el directorio de usuarios. Tenga en cuenta que solo puede existir un directorio de usuarios de tipo SAML . Valores posibles: 1 - Usuario directorio de tipo LDAP; 2 - Directorio de usuario de tipo SAML. Comportamiento de la propiedad: - obligatorio para operaciones de creación |
group_name | cadena | Atributo del directorio de usuarios LDAP/SAML que contiene el nombre del grupo utilizado para asignar grupos entre el directorio de usuarios LDAP/SAML y Zabbix. Ejemplo: cn Comportamiento de la propiedad: - obligatorio si provision_status está configurado en "Habilitado" y saml_jit_status de objeto de autenticación está configurado en "Habilitado para IdP SAML configurados" |
user_username | cadena | Atributo del directorio de usuarios LDAP/SAML (también atributo SCIM si scim_status está configurado en "El aprovisionamiento SCIM está habilitado") que contiene el nombre del usuario que se utiliza como valor para el objeto de usuario propiedad nombre cuando se aprovisiona el usuario.Ejemplos: cn, commonName, displayName, name |
user_lastname | cadena | Atributo del directorio de usuarios LDAP/SAML (también atributo SCIM si scim_status está configurado en "El aprovisionamiento SCIM está habilitado") que contiene el apellido del usuario que se utiliza como valor para el objeto de usuario propiedad apellido cuando se aprovisiona el usuario.Ejemplos: sn, apellido, apellido |
provision_status | entero | Estado de aprovisionamiento del directorio de usuarios. Valores posibles: 0 - (predeterminado) Deshabilitado (el aprovisionamiento de usuarios creados por este directorio de usuarios está deshabilitado); 1 - Habilitado (el aprovisionamiento de usuarios creados por este directorio de usuarios está habilitado; además, el estado del aprovisionamiento LDAP o SAML ( ldap_jit_status o saml_jit_status de objeto de autenticación) debe estar habilitado). |
provision_groups | matriz | Matriz de asignaciones de grupos de aprovisionamiento objetos para asignar el patrón de grupo de usuarios LDAP/SAML al grupo de usuarios y la función de usuario de Zabbix. Comportamiento de la propiedad: - obligatorio si provision_status está configurado en "Habilitado" |
provision_media | matriz | Matriz de asignaciones de tipos de medios objetos para asignar los atributos de medios LDAP/SAML del usuario (por ejemplo, correo electrónico) a los medios de usuario de Zabbix para enviar notificaciones. |
Propiedades específicas de LDAP: | ||
name | cadena | Nombre único del directorio de usuarios. Comportamiento de la propiedad: - obligatorio si idp_type está configurado en " Directorio de usuarios de tipo LDAP" |
host | cadena | Nombre de equipo, IP o URI del servidor LDAP. El URI debe contener el esquema ( ldap:// o ldaps:// ), host y puerto (opcional).Ejemplos: host.example.com 127.0.0.1 ldap://ldap.example.com:389 Comportamiento de la propiedad: - obligatorio si idp_type está configurado en "Directorio de usuario de tipo LDAP" |
port | entero | Puerto del servidor LDAP. Comportamiento de la propiedad: - obligatorio si idp_type está configurado en "Usuario directorio de tipo LDAP" |
base_dn | cadena | Ruta base del directorio de usuarios LDAP a las cuentas de usuario. Ejemplos: ou=Users,dc=example,dc=org ou=Users,ou=system (para OpenLDAP) DC=company,DC=com (para Microsoft Active Directory) uid=%{user},dc=example,dc=com (para enlace directo de usuario; marcador de posición "* %{user}" es obligatorio) Comportamiento de la propiedad: - obligatorio* si idp_type está configurado en "Directorio de usuario de tipo LDAP" |
search_attribute | cadena | Atributo del directorio de usuarios LDAP mediante el cual identificar la cuenta de usuario a partir de la información proporcionada en la solicitud de inicio de sesión. Ejemplos: uid (para OpenLDAP) sAMAccountName ( para Microsoft Active Directory) Comportamiento de la propiedad: - obligatorio si idp_type está configurado en "Directorio de usuario de tipo LDAP" |
bind_dn | cadena | Cuenta del servidor LDAP para vincular y buscar a través del servidor LDAP. Para vinculación directa de usuario y vinculación anónima, bind_dn debe estar vacío.Ejemplos: * uid=ldap_search,ou=sistema* (para OpenLDAP) CN=ldap_search,OU=user_group,DC=empresa,DC=com (para Microsoft Active Directory) CN=Admin,OU=Usuarios, OU=Zabbix,DC=zbx,DC=local Comportamiento de la propiedad: - compatible si idp_type está configurado en " Directorio de usuarios de tipo LDAP" |
bind_password | cadena | Contraseña LDAP de la cuenta para vincular y buscar en el servidor LDAP. Para vinculación directa de usuario y vinculación anónima, bind_password debe estar vacío.[Comportamiento de la propiedad] (/manual/api/reference_commentary#property-behavior): - compatible si idp_type está configurado en "Directorio de usuario de tipo LDAP" |
description | cadena | Descripción del directorio de usuarios. Comportamiento de la propiedad: - compatible si idp_type está configurado en "Usuario directorio de tipo LDAP" |
group_basedn | cadena | Ruta base del directorio de usuarios LDAP a los grupos; se utiliza para configurar una verificación de membresía de usuario en el directorio de usuarios LDAP. Se ignora al aprovisionar un usuario si se establece group_membership .Ejemplo: ou=Grupos,dc=ejemplo,dc= com Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo LDAP" |
group_filter | cadena | Cadena de filtro para recuperar grupos de directorios de usuarios LDAP de los que el usuario es miembro; se utiliza para configurar una verificación de membresía de usuario en el directorio de usuarios LDAP. Se ignora al aprovisionar un usuario si se establece group_membership .Marcadores de posición group_filter admitidos:%{attr } - atributo de búsqueda (reemplazado por el valor de la propiedad search_attribute );%{groupattr} - atributo de grupo (reemplazado por el valor de la propiedad group_member );%{host} - host nombre, IP o URI del servidor LDAP (reemplazado por el valor de la propiedad host );%{user} - nombre de usuario del usuario de Zabbix. Predeterminado: (%{groupattr}=% {user}) Ejemplos: - (member=uid=%{ref},ou=Users,dc=example,dc=com) coincidirá con "User1" si es un grupo LDAP El objeto contiene el atributo "miembro" con el valor "uid=Usuario1,ou=Users,dc=example,dc=com", y devolverá el grupo del que "Usuario1" es miembro; - (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) coincidirá con "Usuario1" si un objeto de grupo LDAP contiene el atributo especificado en group_member propiedad con el valor "cn=Usuario1,ou=Usuarios,ou=Zabbix,DC=example,DC=com", y devolverá el grupo del que "Usuario1" es miembro.Propiedad comportamiento: - compatible si idp_type está configurado en "Directorio de usuario de tipo LDAP" |
group_member | cadena | Atributo del directorio de usuarios LDAP que contiene información sobre los miembros del grupo; se utiliza para configurar una verificación de membresía de usuario en el directorio de usuarios LDAP. Se ignora al aprovisionar un usuario si se establece group_membership .Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo LDAP" |
group_membership | cadena | Atributo del directorio de usuarios LDAP que contiene información sobre los grupos a los que pertenece un usuario. Ejemplo: memberOf Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo LDAP" |
search_filter | cadena | Cadena de filtro personalizado utilizada para localizar y autenticar a un usuario en un directorio de usuarios LDAP según la información proporcionada en la solicitud de inicio de sesión. Marcadores de posición search_filter admitidos:%{attr} - nombre del atributo de búsqueda (por ejemplo, uid, sAMAccountName); %{user} - nombre de usuario del usuario de Zabbix. Predeterminado: (%{attr}=%{user} ) Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo LDAP" |
start_tls | entero | Opción de configuración del servidor LDAP que permite proteger la comunicación con el servidor LDAP utilizando Seguridad de la capa de transporte (TLS). Tenga en cuenta que start_tls debe estar configurado en "Desactivado" para los hosts que utilizan el ldaps:// protocolo.Valores posibles: 0 - (predeterminado) Deshabilitado; 1 - Habilitado. Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo LDAP" |
user_ref_attr | string | Atributo del directorio de usuarios LDAP utilizado para hacer referencia a un objeto de usuario. El valor de user_ref_attr se utiliza para obtener valores del atributo especificado en el directorio de usuarios y colocarlos en lugar del %{ref} marcador de posición en la cadena group_filter .Ejemplos: cn , uid, miembro, uniqueMember Comportamiento de la propiedad: - compatible si idp_type está configurado en " Directorio de usuarios de tipo LDAP" |
Propiedades específicas de SAML: | ||
idp_entityid | cadena | URI que identifica al proveedor de identidad y se utiliza para comunicarse con el proveedor de identidad en mensajes SAML. Ejemplo: https://idp.example.com/idp <br >Comportamiento de la propiedad: - obligatorio si idp_type está configurado en "Directorio de usuario de tipo SAML" |
sp_entityid | cadena | URL o cualquier cadena que identifique al proveedor de servicios del proveedor de identidad. Ejemplos: https://idp.example.com/sp zabbix Comportamiento de la propiedad: - obligatorio si idp_type está configurado en "Directorio de usuario de tipo SAML" |
username_attribute | cadena | Atributo del directorio de usuarios SAML (también atributo SCIM si scim_status está configurado en "El aprovisionamiento SCIM está habilitado") que contiene el nombre de usuario del usuario que se compara con el valor del objeto de usuario propiedad nombre de usuario al autenticarse.Ejemplos: uid, userprincipalname, samaccountname, username, userusername, urn:oid:0.9. 2342.19200300.100.1.1, urn:oid:1.3.6.1.4.1.5923.1.1.1.13, urn:oid:0.9.2342.19200300.100.1.44 Comportamiento de la propiedad: - obligatorio si idp_type está configurado en "Directorio de usuario de tipo SAML" |
sso_url | cadena | URL del servicio de inicio de sesión único SAML del proveedor de identidad, al que Zabbix enviará las solicitudes de autenticación SAML. Ejemplo: http://idp.example.com/idp/sso/ saml Comportamiento de la propiedad: - obligatorio si idp_type está configurado en "Directorio de usuario de tipo SAML" |
slo_url | cadena | URL del servicio de cierre de sesión único SAML del proveedor de identidad, al que Zabbix enviará las solicitudes de cierre de sesión SAML. Ejemplo: https://idp.example.com/idp/slo/ saml Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo SAML" |
encrypt_nameid | entero | Si el ID del nombre SAML debe cifrarse. Valores posibles: 0 - (predeterminado) No cifrar el ID del nombre; 1: cifrar el ID del nombre.<br > Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo SAML" |
encrypt_assertions | integer | Si las aserciones SAML deben cifrarse. Valores posibles: 0 - (predeterminado) No cifrar las aserciones; 1: cifrar las aserciones. <br >Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo SAML" |
nameid_format | cadena | Formato de ID de nombre del proveedor de servicios del proveedor de identidad SAML. Ejemplos: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent * urna:oasis:names:tc:SAML:2.0:nameid-format:transient urna:oasis:names:tc:SAML:2.0:nameid-format:kerberos urna:oasis:names: tc:SAML:2.0:nameid-format:entity Comportamiento de la propiedad: - compatible* si idp_type está configurado en " Directorio de usuarios de tipo SAML" |
scim_status | entero | Si el aprovisionamiento SCIM para SAML está habilitado o deshabilitado. Valores posibles: 0 - (predeterminado) El aprovisionamiento SCIM está deshabilitado; 1 - El aprovisionamiento SCIM está habilitado.< br> Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo SAML" |
sign_assertions | entero | Si las aserciones SAML deben firmarse con una firma SAML. Valores posibles: 0 - (predeterminado) No firmar aserciones; 1 - Firmar aserciones.< br> Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo SAML" |
sign_authn_requests | entero | Si las solicitudes de AuthN SAML deben firmarse con una firma SAML. Valores posibles: 0 - (predeterminado) No firmar solicitudes de AuthN; 1 - Firmar AuthN solicitudes. Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo SAML" |
sign_messages | entero | Si los mensajes SAML deben firmarse con una firma SAML. Valores posibles: 0 - (predeterminado) No firmar mensajes; 1 - Firmar mensajes.< br> Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo SAML" |
sign_logout_requests | entero | Si las solicitudes de cierre de sesión de SAML deben firmarse con una firma SAML. Valores posibles: 0 - (predeterminado) No firmar solicitudes de cierre de sesión; 1 - Firmar cierre de sesión solicitudes. Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo SAML" |
sign_logout_responses | entero | Si las respuestas de cierre de sesión de SAML deben firmarse con una firma SAML. Valores posibles: 0 - (predeterminado) No firmar las respuestas de cierre de sesión; 1 - Firmar cierre de sesión respuestas. Comportamiento de la propiedad: - compatible si idp_type está configurado en "Directorio de usuario de tipo SAML" |
El objeto de asignaciones de tipos de medios tiene las siguientes propiedades.
Propiedad | Tipo | Descripción |
---|---|---|
name | cadena | Nombre visible en la lista de asignaciones de tipos de medios. Comportamiento de la propiedad: - requerido |
mediatypeid | cadena | ID del tipo de medio que se creará; utilizado como valor para la propiedad Objeto multimedia mediatypeid .Comportamiento de la propiedad: - obligatorio |
attribute | cadena | Atributo del directorio de usuarios LDAP/SAML (también atributo SCIM si scim_status está configurado en "El aprovisionamiento SCIM está habilitado") que contiene los medios del usuario (por ejemplo, [email protected]) que se utiliza como valor para la propiedad objeto multimedia sendto .Si está presente en los datos recibidos del proveedor de identidad LDAP/SAML y el valor no está vacío, esto activará la creación de medios para el usuario aprovisionado. Comportamiento de la propiedad: - requerido |
Las asignaciones de grupos de aprovisionamiento tienen las siguientes propiedades.
Propiedad | Tipo | Descripción |
---|---|---|
name | cadena | Nombre completo de un grupo (p. ej., administradores de Zabbix) en el directorio de usuarios LDAP/SAML (también SCIM si scim_status está configurado en "El aprovisionamiento SCIM está habilitado").Admite el carácter comodín " *". Único en todas las asignaciones de grupos de aprovisionamiento. Comportamiento de la propiedad: - obligatorio |
roleid | cadena | ID de la función de usuario que se asignará al usuario. Si coinciden varias asignaciones de grupos de aprovisionamiento, la función del tipo de usuario más alto (Usuario, Administrador o Superadministrador ) se asigna al usuario. Si hay varios roles con el mismo tipo de usuario, el primer rol (ordenado alfabéticamente) se asigna al usuario. Comportamiento de la propiedad:< br>- obligatorio |
user_groups | matriz | Matriz de objetos de ID de grupo de usuarios de Zabbix. Cada objeto tiene las siguientes propiedades:usrgrpid - (entero) ID del grupo de usuarios de Zabbix para asignar al usuario.Si coinciden varias asignaciones de grupos de aprovisionamiento, los grupos de usuarios de Zabbix de todos coinciden las asignaciones se asignan al usuario. Comportamiento de la propiedad: - obligatorio |