[comment]: # ({46adf407-46adf407})
# 3 Gruppi di utenti

[comment]: # ({/46adf407-46adf407})

[comment]: # ({a3ed6ca5-f58db4c9})
#### Panoramica

I gruppi di utenti consentono di raggruppare gli utenti sia per scopi organizzativi sia per assegnare permessi ai dati. I permessi per la visualizzazione e la configurazione dei dati dei gruppi di host e dei gruppi di template vengono assegnati ai gruppi di utenti, non ai singoli utenti.

Spesso può avere senso separare quali informazioni sono disponibili per un gruppo di utenti e quali per un altro. Questo può essere ottenuto raggruppando gli utenti e assegnando poi permessi diversi ai gruppi di host e ai gruppi di template.

Un utente può appartenere a qualsiasi numero di gruppi.

[comment]: # ({/a3ed6ca5-f58db4c9})

[comment]: # ({67897140-fe6bb4a1})
#### Configurazione

Per configurare un gruppo utente:

-   Vai a *Users → User groups*
-   Fai clic su *Create user group* (oppure sul nome del gruppo per modificare un gruppo esistente)
-   Modifica gli attributi del gruppo nel modulo

La scheda **User group** contiene gli attributi generali del gruppo:

![](../../../../assets/en/manual/config/user_group.png){width=600}

Tutti i campi obbligatori sono contrassegnati da un asterisco rosso.

|Parameter|Description|
|--|--------|
|*Group name*|Nome univoco del gruppo.|
|*Users*|Per aggiungere utenti al gruppo, inizia a digitare il nome di un utente esistente. Quando appare il menu a discesa con i nomi corrispondenti, scorri verso il basso per selezionare.<br>In alternativa, puoi fare clic sul pulsante *Select* per selezionare gli utenti in una finestra popup.|
|*Frontend access*|Modalità di autenticazione degli utenti del gruppo.<br>**System default** - usa il metodo di autenticazione predefinito (impostato [globalmente](/manual/web_interface/frontend_sections/users/authentication))<br>**Internal** - usa l'autenticazione interna di Zabbix (anche se l'autenticazione LDAP è usata globalmente).<br>Ignorato se l'autenticazione HTTP è il valore predefinito globale.<br>**LDAP** - usa l'autenticazione LDAP (anche se l'autenticazione interna è usata globalmente).<br>Ignorato se l'autenticazione HTTP è il valore predefinito globale.<br>**Disabled** - l'accesso al frontend di Zabbix è vietato per questo gruppo|
|*LDAP server*|Seleziona quale [LDAP server](/manual/web_interface/frontend_sections/users/authentication/ldap#configuration) usare per autenticare l'utente.<br>Questo campo è abilitato solo se *Frontend access* è impostato su LDAP o System default.|
|*Multi-factor authentication*|Seleziona quale [metodo](/manual/web_interface/frontend_sections/users/authentication/mfa#method-configuration) di autenticazione a più fattori usare per autenticare l'utente:<br>**Default** - usa il metodo impostato come predefinito nella configurazione MFA; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utente se MFA è abilitata;<br>**\<Method name\>** - usa il metodo selezionato (ad esempio, "Zabbix TOTP");<br>**Disabled** - MFA è disabilitata per questo gruppo; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utente se MFA è disabilitata.<br>Nota che se un utente appartiene a più gruppi utente con MFA abilitata (o almeno un gruppo ha MFA abilitata), si applicano le seguenti regole di autenticazione: se un gruppo usa il metodo MFA "Default", autenticherà l'utente; in caso contrario, verrà usato per l'autenticazione il primo metodo (ordinato alfabeticamente).|
|*Enabled*|Stato del gruppo utente e dei membri del gruppo.<br>*Checked* - il gruppo utente e gli utenti sono abilitati<br>*Unchecked* - il gruppo utente e gli utenti sono disabilitati|
|*Debug mode*|Seleziona questa casella di controllo per attivare la [modalità debug](/manual/web_interface/debug_mode) per gli utenti.|

La scheda **Template permissions** consente di specificare l'accesso del gruppo utente ai dati del gruppo di template (e quindi dei template):

![](../../../../assets/en/manual/config/user_group_templates.png){width="600"}

La scheda **Host permissions** consente di specificare l'accesso del gruppo utente ai dati del gruppo di host (e quindi degli host):

![](../../../../assets/en/manual/config/user_group_hosts.png){width="600"}

Fai clic su ![](../../../../assets/en/manual/config/add_link.png){class="nozoom"} per scegliere i gruppi di template/host
(sia un gruppo padre sia un gruppo annidato) e assegnare loro i permessi. Inizia a digitare il nome del gruppo
(comparirà un menu a discesa con i gruppi corrispondenti) oppure fai clic su *Select* per aprire una finestra popup con l'elenco di tutti i gruppi.

Quindi usa i pulsanti delle opzioni per assegnare i permessi ai gruppi scelti. I permessi possibili sono i seguenti:

-   **Read-write** - accesso in lettura e scrittura a un gruppo;
-   **Read** - accesso in sola lettura a un gruppo;
-   **Deny** - accesso a un gruppo negato.

Se lo stesso gruppo di template/host viene aggiunto in più righe con permessi diversi, verrà applicato il permesso più restrittivo.

Nota che un utente *Super admin* può imporre ai gruppi annidati di avere lo stesso livello di permessi del gruppo padre; ciò può essere fatto nel modulo di configurazione del gruppo [host](/manual/config/hosts/host_groups)/[template](/manual/config/templates/template_groups).

Le schede **Template permissions** e **Host permissions** supportano lo stesso insieme di parametri.

I permessi correnti sui gruppi sono visualizzati nel blocco *Permissions* e possono essere modificati o rimossi.

:::noteclassic
Se un gruppo utente ha permessi **Read-write** su un host e **Deny** o nessun permesso su un template collegato a questo host,
gli utenti di tale gruppo non potranno modificare gli item basati su template sull'host e il nome del template verrà visualizzato
come *Inaccessible template*.
:::

La scheda **Problem tag filter** consente di impostare permessi basati sui tag per i gruppi utente, in modo che possano vedere i problemi filtrati per nome e valore del tag:

![](../../../../assets/en/manual/config/user_group_tags.png){width=600}

Fai clic su ![](../../../../assets/en/manual/config/add_link.png){class="nozoom"} per scegliere i gruppi di host.
Per selezionare un gruppo di host a cui applicare un filtro tag, fai clic su *Select* per ottenere
l'elenco completo dei gruppi di host esistenti oppure inizia a digitare il nome di un gruppo di host per ottenere
un menu a discesa con i gruppi corrispondenti. Verranno visualizzati solo i gruppi di host, perché il filtro tag dei problemi non può essere applicato ai gruppi di template.

Quindi è possibile passare da *All tags* a *Tag list* per impostare tag specifici e i relativi valori per il filtro.
È possibile aggiungere nomi di tag senza valori, ma non valori senza nomi. Solo i primi tre tag (con eventuali valori)
sono visualizzati nel blocco *Permissions*; se ce ne sono altri, possono essere visti facendo clic o passando il mouse sull'icona ![](../../../../assets/en/manual/config/items/itemtypes/dependent_item_button.png){class="nozoom"}.

Il filtro tag consente di separare l'accesso al gruppo di host dalla
possibilità di vedere i problemi.

Ad esempio, se un amministratore di database deve vedere solo i problemi del database "MySQL",
è necessario creare prima un gruppo utente per gli amministratori di database, quindi specificare il nome del tag "target" e il valore "mysql".

![](../../../../assets/en/manual/config/user_group_tag_filter_2.png){width=600}

Se viene specificato il nome del tag "target" e il campo del valore viene lasciato vuoto,
il gruppo utente vedrà tutti i problemi con il nome del tag "target" per il gruppo di host selezionato. 
Se è selezionato *All tags*, il gruppo utente vedrà tutti i
problemi per il gruppo di host specificato. 

Assicurati che il nome del tag e il valore del tag siano
specificati correttamente, altrimenti il gruppo utente non vedrà
alcun problema.

Esaminiamo un esempio in cui un utente è membro di più gruppi utente
selezionati. In questo caso, il filtro userà una condizione OR per i tag.

|   |   |   |   |   |   |   |
|---|---|---|---|---|---|---|
|**User group A**|<|<|**User group B**|<|<|**Visible result for a user (member) of both groups**|
|*Tag filter*|<|<|<|<|<|^|
|*Host group*|*Tag name*|*Tag value*|*Host group*|*Tag name*|*Tag value*|^|
|Databases|target|mysql|Databases|target|oracle|target:mysql or target:oracle problems visible|
|Databases|set to: *All tags*|<|Databases|target|oracle|All problems visible|
|Not configured in the **Problem tag filter**|<|<|Databases|target|oracle|target:oracle problems visible|

::: noteimportant
 L'aggiunta di un filtro (ad esempio, tutti i tag in un
determinato gruppo di host "Databases") comporta l'impossibilità di
vedere i problemi degli altri gruppi di host.
:::

[comment]: # ({/67897140-fe6bb4a1})

[comment]: # ({87142f2a-e74e2150})
#### Accesso da più gruppi di utenti

Un utente può appartenere a qualsiasi numero di gruppi di utenti. Questi gruppi possono avere
diversi permessi di accesso agli host o ai template.

Pertanto, è importante sapere a quali entità un utente senza privilegi potrà accedere come risultato. Nell'esempio seguente, considera come l'accesso
all'host **X** (nel gruppo host 1) sarà influenzato in varie situazioni
per un utente che appartiene ai gruppi di utenti A e B.

-   Se il gruppo A ha solo accesso *Read* al gruppo host 1, ma il gruppo B
    ha accesso *Read-write* al gruppo host 1, l'utente otterrà accesso **Read-write**
    a 'X'.

::: noteimportant
I permessi "Read-write" hanno precedenza sui
permessi "Read".
:::

-   Nello stesso scenario di cui sopra, se 'X' si trova contemporaneamente anche nel
    gruppo host 2 che è **negato** al gruppo A o B, l'accesso a 'X' sarà
    **non disponibile**, nonostante l'accesso *Read-write* al gruppo host 1.
-   Se il gruppo A non ha permessi definiti e il gruppo B ha accesso *Read-write* al gruppo host 1, l'utente otterrà accesso **Read-write** a
    'X'.
-   Se il gruppo A ha accesso *Deny* al gruppo host 1 e il gruppo B ha
    accesso *Read-write* al gruppo host 1, l'utente avrà accesso a 'X'
    **negato**.

[comment]: # ({/87142f2a-e74e2150})

[comment]: # ({59189b5a-931529bc})
#### Altri dettagli

-   Un utente di livello Admin con accesso *Read-write* a un host non potrà
    collegare/scollegare template se non ha accesso al gruppo di template a cui appartengono. Con accesso *Read* al gruppo di template potrà
    collegare/scollegare template all'host, tuttavia non vedrà
    alcun template nell'elenco dei template e non potrà operare
    con i template in altri punti.
-   Un utente di livello Admin con accesso *Read* a un host non vedrà l'host nell'elenco host della sezione di configurazione; tuttavia, i trigger dell'host saranno accessibili nella configurazione del servizio IT.
-   Qualsiasi utente non Super Admin (incluso 'guest') può vedere le mappe di rete purché la mappa sia vuota o contenga solo immagini. Quando host, gruppi di host o trigger vengono aggiunti alla mappa, i permessi vengono rispettati.
-   Zabbix server non invierà notifiche agli utenti definiti come destinatari delle operazioni dell'azione se l'accesso all'host interessato è esplicitamente "denied".

[comment]: # ({/59189b5a-931529bc})