[comment]: # translation:outdated

[comment]: # ({46adf407-46adf407})
# 3 Gruppi di utenti

[comment]: # ({/46adf407-46adf407})

[comment]: # ({c89b1f9d-f58db4c9})
#### Panoramica

I gruppi di utenti consentono di raggruppare gli utenti sia per scopi organizzativi sia per l'assegnazione dei permessi ai dati.
I permessi per visualizzare e configurare i dati dei gruppi di host e dei gruppi di template vengono assegnati ai gruppi di utenti, non ai singoli utenti.

Spesso può essere opportuno separare quali informazioni siano disponibili per un gruppo di utenti e quali per un altro.
Questo può essere ottenuto raggruppando gli utenti e assegnando poi permessi differenti ai gruppi di host e di template.

Un utente può appartenere a un numero qualsiasi di gruppi.

[comment]: # ({/c89b1f9d-f58db4c9})

[comment]: # ({bb300024-fe6bb4a1})
#### Configurazione

Per configurare un gruppo utente:

-   Vai a *Users > User groups*
-   Fai clic su *Create user group* (oppure sul nome del gruppo per modificare un gruppo esistente)
-   Modifica gli attributi del gruppo nel modulo

La scheda **User group** contiene gli attributi generali del gruppo:

![](../../../../assets/en/manual/config/user_group.png){width=600}

Tutti i campi di input obbligatori sono contrassegnati da un asterisco rosso.

|Parameter|Description|
|--|--------|
|*Group name*|Nome univoco del gruppo.|
|*Users*|Per aggiungere utenti al gruppo, inizia a digitare il nome di un utente esistente. Quando appare l'elenco a discesa con i nomi utente corrispondenti, scorri verso il basso per selezionare.<br>In alternativa, puoi fare clic sul pulsante *Select* per selezionare gli utenti in una finestra popup.|
|*Frontend access*|Modalità di autenticazione degli utenti del gruppo.<br>**System default** - usa il metodo di autenticazione predefinito (impostato [globalmente](/manual/web_interface/frontend_sections/users/authentication))<br>**Internal** - usa l'autenticazione interna di Zabbix (anche se l'autenticazione LDAP è usata globalmente).<br>Ignorato se l'autenticazione HTTP è il valore predefinito globale.<br>**LDAP** - usa l'autenticazione LDAP (anche se l'autenticazione interna è usata globalmente).<br>Ignorato se l'autenticazione HTTP è il valore predefinito globale.<br>**Disabled** - l'accesso al frontend di Zabbix è vietato per questo gruppo|
|*LDAP server*|Seleziona quale [LDAP server](/manual/web_interface/frontend_sections/users/authentication/ldap#configuration) usare per autenticare l'utente.<br>Questo campo è abilitato solo se *Frontend access* è impostato su LDAP o System default.|
|*Multi-factor authentication*|Seleziona quale [metodo](/manual/web_interface/frontend_sections/users/authentication/mfa#method-configuration) di autenticazione a più fattori usare per autenticare l'utente:<br>**Default** - usa il metodo impostato come predefinito nella configurazione MFA; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utente se MFA è abilitata;<br>**\<Method name\>** - usa il metodo selezionato (ad esempio, "Zabbix TOTP");<br>**Disabled** - MFA è disabilitata per questo gruppo; questa opzione è selezionata per impostazione predefinita per i nuovi gruppi utente se MFA è disabilitata.<br>Nota che se un utente appartiene a più gruppi utente con MFA abilitata (o almeno un gruppo ha MFA abilitata), si applicano le seguenti regole di autenticazione: se un gruppo usa il metodo MFA "Default", autenticherà l'utente; altrimenti, verrà usato il primo metodo (ordinato alfabeticamente) per l'autenticazione.|
|*Enabled*|Stato del gruppo utente e dei membri del gruppo.<br>*Checked* - il gruppo utente e gli utenti sono abilitati<br>*Unchecked* - il gruppo utente e gli utenti sono disabilitati|
|*Debug mode*|Seleziona questa casella di controllo per attivare la [modalità debug](/manual/web_interface/debug_mode) per gli utenti.|

La scheda **Template permissions** consente di specificare l'accesso del gruppo utente ai dati del gruppo di template (e quindi del template):

![](../../../../assets/en/manual/config/user_group_templates.png){width="600"}

La scheda **Host permissions** consente di specificare l'accesso del gruppo utente ai dati del gruppo di host (e quindi dell'host):

![](../../../../assets/en/manual/config/user_group_hosts.png){width="600"}

Fai clic su ![](../../../../assets/en/manual/config/add_link.png){class="nozoom"} per scegliere i gruppi di template/host (sia un gruppo padre sia un gruppo nidificato) e assegnare loro le autorizzazioni.
Inizia a digitare il nome del gruppo (apparirà un elenco a discesa dei gruppi corrispondenti) oppure fai clic su *Select* per aprire una finestra popup con l'elenco di tutti i gruppi.

Quindi usa i pulsanti delle opzioni per assegnare le autorizzazioni ai gruppi scelti.
Le autorizzazioni possibili sono le seguenti:

-   **Read-write** - accesso in lettura e scrittura a un gruppo
-   **Read** - accesso in sola lettura a un gruppo
-   **Deny** - accesso a un gruppo negato

Se lo stesso gruppo di template/host viene aggiunto in più righe con autorizzazioni diverse, verrà applicata l'autorizzazione più restrittiva.

Nota che un utente *Super admin* può imporre ai gruppi nidificati di avere lo stesso livello di autorizzazioni del gruppo padre; ciò può essere fatto nel modulo di configurazione del gruppo [host](/manual/config/hosts/host_groups)/[template](/manual/config/templates/template_groups).

Le schede **Template permissions** e **Host permissions** supportano lo stesso insieme di parametri.

Le autorizzazioni correnti per i gruppi sono visualizzate nel blocco *Permissions* e possono essere modificate o rimosse.

:::noteclassic
Se un gruppo utente ha autorizzazioni **Read-write** per un host e **Deny** o nessuna autorizzazione per un template collegato a questo host, gli utenti di tale gruppo non potranno modificare gli item basati su template sull'host e il nome del template verrà visualizzato come *Inaccessible template*.
:::

La scheda **Problem tag filter** consente di impostare autorizzazioni basate sui tag per i gruppi utente, in modo da visualizzare i problemi filtrati per nome e valore del tag:

![](../../../../assets/en/manual/config/user_group_tags.png){width=600}

Fai clic su ![](../../../../assets/en/manual/config/add_link.png){class="nozoom"} per scegliere i gruppi di host.
Per selezionare un gruppo di host a cui applicare un filtro tag, fai clic su *Select* per ottenere l'elenco completo dei gruppi di host esistenti oppure inizia a digitare il nome di un gruppo di host per ottenere un elenco a discesa dei gruppi corrispondenti.
Verranno visualizzati solo i gruppi di host, perché il filtro tag dei problemi non può essere applicato ai gruppi di template.

I nomi dei tag senza valori possono essere aggiunti, ma i valori senza nomi no.
Solo i primi tre tag (con eventuali valori) sono visualizzati nel blocco *Permissions*; se ce ne sono altri, possono essere visualizzati facendo clic o passando il mouse sull'icona ![](../../../../assets/en/manual/config/items/itemtypes/dependent_item_button.png){class="nozoom"}.

Il filtro tag consente di separare l'accesso al gruppo di host dalla possibilità di vedere i problemi.

Ad esempio, se un amministratore di database deve vedere solo i problemi del database "MySQL", è necessario creare prima un gruppo utente per gli amministratori di database, quindi specificare il nome del tag "target" e il valore "mysql".

![](../../../../assets/en/manual/config/user_group_tag_filter_2.png){width=600}

Se viene specificato il nome del tag "target" e il campo del valore viene lasciato vuoto, il gruppo utente vedrà tutti i problemi con il nome del tag "target" per il gruppo di host selezionato.

Assicurati che il nome del tag e il valore del tag siano specificati correttamente, altrimenti il gruppo utente non vedrà alcun problema.

Esaminiamo un esempio in cui un utente è membro di più gruppi utente selezionati.
Il filtraggio in questo caso utilizzerà una condizione OR per i tag.

|   |   |   |   |   |   |   |
|---|---|---|---|---|---|---|
|**User group A**|<|<|**User group B**|<|<|**Visible result for a user (member) of both groups**|
|*Tag filter*|<|<|<|<|<|^|
|*Host group*|*Tag name*|*Tag value*|*Host group*|*Tag name*|*Tag value*|^|
|Databases|target|mysql|Databases|target|oracle|target:mysql or target:oracle problems visible|
|Not configured in the **Problem tag filter**|<|<|Databases|target|oracle|target:oracle problems visible|

[comment]: # ({/bb300024-fe6bb4a1})

[comment]: # ({206dd6d2-e74e2150})
#### Accesso da diversi gruppi di utenti

Un utente può appartenere a un numero qualsiasi di gruppi di utenti.
Questi gruppi possono avere permessi di accesso diversi a host o template.

Pertanto, è importante sapere a quali entità un utente senza privilegi potrà accedere di conseguenza.
Nell'esempio seguente, considera come l'accesso all'host **X** (nel Gruppo host 1) sarà influenzato in varie situazioni per un utente che appartiene ai gruppi di utenti A e B.

-   Se il Gruppo A ha solo accesso in *Lettura* al Gruppo host 1, ma il Gruppo B ha accesso in *Lettura-scrittura* al Gruppo host 1, l'utente otterrà accesso in **Lettura-scrittura** a 'X'.

::: noteimportant
I permessi di "Lettura-scrittura" hanno la precedenza sui permessi di "Lettura".
:::

-   Nello stesso scenario di cui sopra, se 'X' si trova contemporaneamente anche nel Gruppo host 2 che è **negato** al Gruppo A o B, l'accesso a 'X' sarà **non disponibile**, nonostante l'accesso in *Lettura-scrittura* al Gruppo host 1.
-   Se il Gruppo A non ha permessi definiti e il Gruppo B ha accesso in *Lettura-scrittura* al Gruppo host 1, l'utente otterrà accesso in **Lettura-scrittura** a 'X'.
-   Se il Gruppo A ha accesso di *Negazione* al Gruppo host 1 e il Gruppo B ha accesso in *Lettura-scrittura* al Gruppo host 1, all'utente sarà **negato** l'accesso a 'X'.

[comment]: # ({/206dd6d2-e74e2150})

[comment]: # ({a4f343e7-931529bc})
#### Altri dettagli

-   Un utente di livello Admin con accesso in *lettura-scrittura* a un host non potrà collegare/scollegare template, se non ha accesso al gruppo di template a cui essi appartengono.
Con accesso in *sola lettura* al gruppo di template potrà collegare/scollegare template all'host, tuttavia non vedrà alcun template nell'elenco dei template e non potrà operare con i template in altri punti.
-   Un utente di livello Admin con accesso in *sola lettura* a un host non vedrà l'host nell'elenco degli host nella sezione di configurazione; tuttavia, i trigger dell'host saranno accessibili nella configurazione dei servizi IT.
-   Qualsiasi utente che non sia Super Admin (incluso 'guest') può vedere le mappe di rete purché la mappa sia vuota o contenga solo immagini.
Quando alla mappa vengono aggiunti host, gruppi di host o trigger, i permessi vengono rispettati.
-   Zabbix server non invierà notifiche agli utenti definiti come destinatari delle operazioni di un'azione se l'accesso all'host interessato è esplicitamente "negato".

[comment]: # ({/a4f343e7-931529bc})