[comment]: # ({46adf407-46adf407})
# 3 Grupos de usuários
[comment]: # ({/46adf407-46adf407})
[comment]: # ({c89b1f9d-f58db4c9})
#### Visão geral
Os grupos de usuários permitem agrupar usuários tanto para fins organizacionais quanto para atribuição de permissões aos dados.
As permissões para visualizar e configurar dados de grupos de hosts e grupos de templates são atribuídas a grupos de usuários, não a usuários individuais.
Muitas vezes, pode fazer sentido separar quais informações estão disponíveis para um grupo de usuários e quais para outro.
Isso pode ser feito agrupando usuários e, em seguida, atribuindo permissões variadas a grupos de hosts e templates.
Um usuário pode pertencer a qualquer número de grupos.
[comment]: # ({/c89b1f9d-f58db4c9})
[comment]: # ({bb300024-fe6bb4a1})
#### Configuração
Para configurar um grupo de usuários:
- Acesse *Users > User groups*
- Clique em *Create user group* (ou no nome do grupo para editar um grupo existente)
- Edite os atributos do grupo no formulário
A aba **User group** contém os atributos gerais do grupo:
{width=600}
Todos os campos obrigatórios são marcados com um asterisco vermelho.
|Parameter|Description|
|--|--------|
|*Group name*|Nome exclusivo do grupo.|
|*Users*|Para adicionar usuários ao grupo, comece a digitar o nome de um usuário existente. Quando a lista suspensa com nomes de usuários correspondentes aparecer, role para baixo para selecionar.
Como alternativa, você pode clicar no botão *Select* para selecionar usuários em uma janela pop-up.|
|*Frontend access*|Como os usuários do grupo são autenticados.
**System default** - usa o método de autenticação padrão (definido [globalmente](/manual/web_interface/frontend_sections/users/authentication))
**Internal** - usa a autenticação interna do Zabbix (mesmo que a autenticação LDAP seja usada globalmente).
Ignorado se a autenticação HTTP for o padrão global.
**LDAP** - usa a autenticação LDAP (mesmo que a autenticação interna seja usada globalmente).
Ignorado se a autenticação HTTP for o padrão global.
**Disabled** - o acesso ao frontend do Zabbix é proibido para este grupo|
|*LDAP server*|Selecione qual [LDAP server](/manual/web_interface/frontend_sections/users/authentication/ldap#configuration) usar para autenticar o usuário.
Este campo só fica habilitado se *Frontend access* estiver definido como LDAP ou System default.|
|*Multi-factor authentication*|Selecione qual [método](/manual/web_interface/frontend_sections/users/authentication/mfa#method-configuration) de autenticação multifator usar para autenticar o usuário:
**Default** - usa o método definido como padrão na configuração de MFA; esta opção é selecionada por padrão para novos grupos de usuários se a MFA estiver habilitada;
**\** - usa o método selecionado (por exemplo, "Zabbix TOTP");
**Disabled** - a MFA está desabilitada para este grupo; esta opção é selecionada por padrão para novos grupos de usuários se a MFA estiver desabilitada.
Observe que, se um usuário pertencer a vários grupos de usuários com MFA habilitada (ou se pelo menos um grupo tiver MFA habilitada), as seguintes regras de autenticação se aplicam: se qualquer grupo usar o método de MFA "Default", ele autenticará o usuário; caso contrário, o primeiro método (em ordem alfabética) será usado para autenticação.|
|*Enabled*|Status do grupo de usuários e dos membros do grupo.
*Marcado* - o grupo de usuários e os usuários estão habilitados
*Desmarcado* - o grupo de usuários e os usuários estão desabilitados|
|*Debug mode*|Marque esta caixa de seleção para ativar o [debug mode](/manual/web_interface/debug_mode) para os usuários.|
A aba **Template permissions** permite especificar o acesso do grupo de usuários aos dados do grupo de template (e, consequentemente, do template):
{width="600"}
A aba **Host permissions** permite especificar o acesso do grupo de usuários aos dados do grupo de host (e, consequentemente, do host):
{width="600"}
Clique em {class="nozoom"} para escolher os grupos de template/host (seja um grupo pai ou um grupo aninhado) e atribuir permissões a eles.
Comece a digitar o nome do grupo (uma lista suspensa com os grupos correspondentes aparecerá) ou clique em *Select* para abrir uma janela pop-up com a lista de todos os grupos.
Em seguida, use os botões de opção para atribuir permissões aos grupos escolhidos.
As permissões possíveis são as seguintes:
- **Read-write** - acesso de leitura e gravação a um grupo
- **Read** - acesso somente leitura a um grupo
- **Deny** - acesso a um grupo negado
Se o mesmo grupo de template/host for adicionado em várias linhas com permissões diferentes, a permissão mais restritiva será aplicada.
Observe que um usuário *Super admin* pode impor que grupos aninhados tenham o mesmo nível de permissões do grupo pai; isso pode ser feito no formulário de configuração do grupo [host](/manual/config/hosts/host_groups)/[template](/manual/config/templates/template_groups).
As abas **Template permissions** e **Host permissions** suportam o mesmo conjunto de parâmetros.
As permissões atuais para os grupos são exibidas no bloco *Permissions*, e elas podem ser modificadas ou removidas.
:::noteclassic
Se um grupo de usuários tiver permissões **Read-write** para um host e **Deny** ou nenhuma permissão para um template vinculado a esse host, os usuários desse grupo não poderão editar itens baseados em template no host, e o nome do template será exibido como *Inaccessible template*.
:::
A aba **Problem tag filter** permite definir permissões baseadas em tag para grupos de usuários verem problemas filtrados por nome e valor da tag:
{width=600}
Clique em {class="nozoom"} para escolher os grupos de host.
Para selecionar um grupo de host ao qual aplicar um filtro de tag, clique em *Select* para obter a lista completa dos grupos de host existentes ou comece a digitar o nome de um grupo de host para obter uma lista suspensa com os grupos correspondentes.
Somente grupos de host serão exibidos, porque o filtro de tag de problema não pode ser aplicado a grupos de template.
Nomes de tag sem valores podem ser adicionados, mas valores sem nomes não podem.
Somente as três primeiras tags (com valores, se houver) são exibidas no bloco *Permissions*; se houver mais, elas podem ser vistas clicando ou passando o mouse sobre o ícone {class="nozoom"}.
O filtro de tag permite separar o acesso ao grupo de host da possibilidade de ver problemas.
Por exemplo, se um administrador de banco de dados precisar ver apenas problemas do banco de dados "MySQL", é necessário primeiro criar um grupo de usuários para administradores de banco de dados e, em seguida, especificar o nome da tag "target" e o valor "mysql".
{width=600}
Se o nome da tag "target" for especificado e o campo de valor for deixado em branco, o grupo de usuários verá todos os problemas com a tag "target" para o grupo de host selecionado.
Certifique-se de que o nome e o valor da tag estejam especificados corretamente; caso contrário, o grupo de usuários não verá nenhum problema.
Vamos analisar um exemplo em que um usuário é membro de vários grupos de usuários selecionados.
A filtragem, nesse caso, usará a condição OR para as tags.
| | | | | | | |
|---|---|---|---|---|---|---|
|**User group A**|<|<|**User group B**|<|<|**Visible result for a user (member) of both groups**|
|*Tag filter*|<|<|<|<|<|^|
|*Host group*|*Tag name*|*Tag value*|*Host group*|*Tag name*|*Tag value*|^|
|Databases|target|mysql|Databases|target|oracle|target:mysql or target:oracle problems visible|
|Not configured in the **Problem tag filter**|<|<|Databases|target|oracle|target:oracle problems visible|
[comment]: # ({/bb300024-fe6bb4a1})
[comment]: # ({206dd6d2-e74e2150})
#### Acesso a partir de vários grupos de usuários
Um usuário pode pertencer a qualquer número de grupos de usuários.
Esses grupos podem ter diferentes permissões de acesso a hosts ou templates.
Portanto, é importante saber a quais entidades um usuário sem privilégios poderá acessar como resultado.
No exemplo a seguir, considere como o acesso ao host **X** (no Grupo de hosts 1) será afetado em várias situações para um usuário que está nos grupos de usuários A e B.
- Se o Grupo A tiver apenas acesso *Leitura* ao Grupo de hosts 1, mas o Grupo B tiver acesso *Leitura-escrita* ao Grupo de hosts 1, o usuário terá acesso **Leitura-escrita** ao 'X'.
::: noteimportant
As permissões "Leitura-escrita" têm precedência sobre as permissões "Leitura".
:::
- No mesmo cenário acima, se 'X' estiver simultaneamente também no Grupo de hosts 2 que está **negado** ao Grupo A ou B, o acesso ao 'X' ficará **indisponível**, apesar do acesso *Leitura-escrita* ao Grupo de hosts 1.
- Se o Grupo A não tiver permissões definidas e o Grupo B tiver acesso *Leitura-escrita* ao Grupo de hosts 1, o usuário terá acesso **Leitura-escrita** ao 'X'.
- Se o Grupo A tiver acesso *Negado* ao Grupo de hosts 1 e o Grupo B tiver acesso *Leitura-escrita* ao Grupo de hosts 1, o acesso ao 'X' será **negado** ao usuário.
[comment]: # ({/206dd6d2-e74e2150})
[comment]: # ({a4f343e7-931529bc})
#### Outros detalhes
- Um usuário de nível Admin com acesso *Leitura-escrita* a um host não poderá vincular/desvincular templates, se ele não tiver acesso ao grupo de templates ao qual eles pertencem.
Com acesso *Leitura* ao grupo de templates, ele poderá vincular/desvincular templates ao host, no entanto, não verá nenhum template na lista de templates e não poderá operar com templates em outros lugares.
- Um usuário de nível Admin com acesso *Leitura* a um host não verá o host na lista de hosts da seção de configuração; no entanto, os triggers do host estarão acessíveis na configuração do serviço de TI.
- Qualquer usuário que não seja Super Admin (incluindo 'guest') pode ver mapas de rede, desde que o mapa esteja vazio ou tenha apenas imagens.
Quando hosts, grupos de hosts ou triggers são adicionados ao mapa, as permissões são respeitadas.
- O Zabbix server não enviará notificações para usuários definidos como destinatários de operações de ação se o acesso ao host em questão for explicitamente "negado".
[comment]: # ({/a4f343e7-931529bc})