[comment]: # aside: 1

[comment]: # ({c9088bab-f9e8f670})
#   用户目录对象

以下对象与`userdirectory` API直接相关。

[comment]: # ({/c9088bab-f9e8f670})

[comment]: # ({726c81ec-ad144502})
### 用户目录

用户目录对象具有以下属性。

|属性|[类型](/manual/api/reference_commentary#data-types)|描述|
|--|--|------|
|userdirectoryid|ID|用户目录的 ID。<br><br>如果某个用户目录被删除，则所有关联到该已删除用户目录的用户，其 [User object](/manual/api/reference/user/object#user) 属性 `userdirectoryid` 的值都会被设置为 "0"。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- *只读*<br>- *更新操作时* *必需*|
|idp_type|integer|用户目录的身份提供商所使用的认证协议类型。<br>请注意，只能存在一个 SAML 类型的用户目录。<br><br>可能的值：<br>1 - LDAP 类型的用户目录；<br>2 - SAML 类型的用户目录。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- *创建操作时* *必需*|
|group_name|string|LDAP/SAML 用户目录属性，包含组名称，用于在 LDAP/SAML 用户目录与 Zabbix 之间映射组。<br><br>示例：*cn*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `provision_status` 设置为“已启用”，且 [Authentication object](/manual/api/reference/authentication/object#authentication) 的 `saml_jit_status` 设置为“为已配置的 SAML IdP 启用”，则该属性 *必需*|
|user_username|string|LDAP/SAML 用户目录属性（如果 `scim_status` 设置为“已启用 SCIM 配置”，则也可为 SCIM 属性），包含用户名称；在配置用户时，该值将用作 [User object](/manual/api/reference/user/object#user) 属性 `name` 的值。<br><br>示例：*cn*、*commonName*、*displayName*、*name*|
|user_lastname|string|LDAP/SAML 用户目录属性（如果 `scim_status` 设置为“已启用 SCIM 配置”，则也可为 SCIM 属性），包含用户姓氏；在配置用户时，该值将用作 [User object](/manual/api/reference/user/object#user) 属性 `surname` 的值。<br><br>示例：*sn*、*surname*、*lastName*|
|provision_status|integer|用户目录的配置状态。<br><br>可能的值：<br>0 - *(默认)* 已禁用（禁用由该用户目录创建的用户的配置）；<br>1 - 已启用（启用由该用户目录创建的用户的配置；此外，还必须启用 LDAP 或 SAML 配置状态（即 [Authentication object](/manual/api/reference/authentication/object#authentication) 的 `ldap_jit_status` 或 `saml_jit_status`））。|
|provision_groups|array|用于将 LDAP/SAML 用户组模式映射到 Zabbix 用户组和用户角色的 [配置组映射](object#provisioning-groups-mappings) 对象数组。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `provision_status` 设置为“已启用”，则该属性 *必需*|
|provision_media|array|用于将用户的 LDAP/SAML 媒介属性（例如电子邮件）映射到 Zabbix 用户媒介以发送通知的 [媒介类型映射](object#media-type-mappings) 对象数组。|
|**[LDAP](/manual/web_interface/frontend_sections/users/authentication/ldap)-特定属性：**|<|<|
|name|string|用户目录的唯一名称。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `idp_type` 设置为“LDAP 类型的用户目录”，则该属性 *必需*|
|host|string|LDAP 服务器的主机名、IP 或 URI。<br>URI 必须包含 schema（`ldap://` 或 `ldaps://`）、主机和端口（可选）。<br><br>示例：<br>*host.example.com*<br>*127.0.0.1*<br>*ldap://ldap.example.com:389*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `idp_type` 设置为“LDAP 类型的用户目录”，则该属性 *必需*|
|port|integer|LDAP 服务器的端口。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `idp_type` 设置为“LDAP 类型的用户目录”，则该属性 *必需*|
|base_dn|string|LDAP 用户目录中用户账户的基础路径。<br><br>示例：<br>*ou=Users,dc=example,dc=org*<br>*ou=Users,ou=system*（用于 OpenLDAP）<br>*DC=company,DC=com*（用于 Microsoft Active Directory）<br>*uid=%{user},dc=example,dc=com*（用于直接用户绑定；占位符 "*%{user}*" 为必填）<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `idp_type` 设置为“LDAP 类型的用户目录”，则该属性 *必需*|
|search_attribute|string|LDAP 用户目录属性，用于根据登录请求中提供的信息识别用户账户。<br><br>示例：<br>*uid*（用于 OpenLDAP）<br>*sAMAccountName*（用于 Microsoft Active Directory）<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `idp_type` 设置为“LDAP 类型的用户目录”，则该属性 *必需*|
|bind_dn|string|用于绑定并在 LDAP 服务器上执行搜索的 LDAP 服务器账户。<br><br>对于直接用户绑定和匿名绑定，`bind_dn` 必须为空。<br><br>示例：<br>*uid=ldap_search,ou=system*（用于 OpenLDAP）<br>*CN=ldap_search,OU=user_group,DC=company,DC=com*（用于 Microsoft Active Directory）<br>*CN=Admin,OU=Users,OU=Zabbix,DC=zbx,DC=local*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“LDAP 类型的用户目录”时，该属性 *受支持*|
|bind_password|string|用于绑定并在 LDAP 服务器上执行搜索的账户的 LDAP 密码。<br><br>对于直接用户绑定和匿名绑定，`bind_password` 必须为空。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“LDAP 类型的用户目录”时，该属性 *受支持*|
|description|string|用户目录的描述。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“LDAP 类型的用户目录”时，该属性 *受支持*|
|group_basedn|string|LDAP 用户目录中组的基础路径；用于在 LDAP 用户目录中配置用户成员资格检查。<br><br>如果设置了 `group_membership`，则在配置用户时会忽略该属性。<br><br>示例：*ou=Groups,dc=example,dc=com*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“LDAP 类型的用户目录”时，该属性 *受支持*|
|group_filter|string|用于检索用户所属 LDAP 用户目录组的过滤字符串；用于在 LDAP 用户目录中配置用户成员资格检查。<br><br>如果设置了 `group_membership`，则在配置用户时会忽略该属性。<br><br>支持的 `group_filter` 占位符：<br>*%{attr}* - 搜索属性（替换为 `search_attribute` 属性值）；<br>*%{groupattr}* - 组属性（替换为 `group_member` 属性值）；<br>*%{host}* - LDAP 服务器的主机名、IP 或 URI（替换为 `host` 属性值）；<br>*%{user}* - Zabbix 用户名。<br><br>默认值：*(%{groupattr}=%{user})*<br><br>示例：<br>- *(member=uid=%{ref},ou=Users,dc=example,dc=com)*：如果某个 LDAP 组对象包含值为 "*uid=User1,ou=Users,dc=example,dc=com*" 的 "*member*" 属性，则将匹配 "User1"，并返回 "User1" 所属的组；<br>- *(%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com)*：如果某个 LDAP 组对象包含由 `group_member` 属性指定、值为 "*cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com*" 的属性，则将匹配 "User1"，并返回 "User1" 所属的组。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“LDAP 类型的用户目录”时，该属性 *受支持*|
|group_member|string|LDAP 用户目录属性，包含有关组成员的信息；用于在 LDAP 用户目录中配置用户成员资格检查。<br><br>如果设置了 `group_membership`，则在配置用户时会忽略该属性。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“LDAP 类型的用户目录”时，该属性 *受支持*|
|group_membership|string|LDAP 用户目录属性，包含用户所属组的信息。<br><br>示例：*memberOf*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“LDAP 类型的用户目录”时，该属性 *受支持*|
|search_filter|string|自定义过滤字符串，用于根据登录请求中提供的信息在 LDAP 用户目录中定位并认证用户。<br><br>支持的 `search_filter` 占位符：<br>*%{attr}* - 搜索属性名称（例如 *uid*、*sAMAccountName*）；<br>*%{user}* - Zabbix 用户名。<br><br>默认值：*(%{attr}=%{user})*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“LDAP 类型的用户目录”时，该属性 *受支持*|
|start_tls|integer|LDAP 服务器配置选项，允许使用传输层安全性（TLS）来保护与 LDAP 服务器的通信。<br><br>请注意，对于使用 `ldaps://` 协议的主机，`start_tls` 必须设置为“已禁用”。<br><br>可能的值：<br>0 - *(默认)* 已禁用；<br>1 - 已启用。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“LDAP 类型的用户目录”时，该属性 *受支持*|
|user_ref_attr|string|用于引用用户对象的 LDAP 用户目录属性。`user_ref_attr` 的值用于从用户目录中的指定属性获取值，并将其替换到 `group_filter` 字符串中的 *%{ref}* 占位符位置。<br><br>示例：*cn*、*uid*、*member*、*uniqueMember*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“LDAP 类型的用户目录”时，该属性 *受支持*|
|**[SAML](/manual/web_interface/frontend_sections/users/authentication/saml)-特定属性：**|<|<|
|idp_entityid|string|用于标识身份提供商并在 SAML 消息中与身份提供商通信的 URI。<br><br>示例：*https://idp.example.com/idp*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `idp_type` 设置为“SAML 类型的用户目录”，则该属性 *必需*|
|sp_entityid|string|用于标识身份提供商服务提供者的 URL 或任意字符串。<br><br>示例：<br>*https://idp.example.com/sp*<br>*zabbix*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `idp_type` 设置为“SAML 类型的用户目录”，则该属性 *必需*|
|username_attribute|string|SAML 用户目录属性（如果 `scim_status` 设置为“已启用 SCIM 配置”，则也可为 SCIM 属性），包含用户的用户名；认证时会将其与 [User object](/manual/api/reference/user/object#user) 属性 `username` 的值进行比较。<br><br>示例：*uid*、*userprincipalname*、*samaccountname*、*username*、*userusername*、*urn:oid:0.9.2342.19200300.100.1.1*、*urn:oid:1.3.6.1.4.1.5923.1.1.1.13*、*urn:oid:0.9.2342.19200300.100.1.44*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `idp_type` 设置为“SAML 类型的用户目录”，则该属性 *必需*|
|sso_url|string|身份提供商的 SAML 单点登录服务 URL，Zabbix 会将 SAML 认证请求发送到该地址。<br><br>示例：*http://idp.example.com/idp/sso/saml*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 如果 `idp_type` 设置为“SAML 类型的用户目录”，则该属性 *必需*|
|slo_url|string|身份提供商的 SAML 单点注销服务 URL，Zabbix 会将 SAML 注销请求发送到该地址。<br><br>示例：*https://idp.example.com/idp/slo/saml*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”时，该属性 *受支持*|
|encrypt_nameid|integer|是否应加密 SAML name ID。<br><br>可能的值：<br>0 - *(默认)* 不加密 name ID；<br>1 - 加密 name ID。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”时，该属性 *受支持*|
|encrypt_assertions|integer|是否应加密 SAML 断言。<br><br>可能的值：<br>0 - *(默认)* 不加密断言；<br>1 - 加密断言。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”时，该属性 *受支持*|
|nameid_format|string|SAML 身份提供商服务提供者的 Name ID 格式。<br><br>示例：<br>*urn:oasis:names:tc:SAML:2.0:nameid-format:persistent*<br>*urn:oasis:names:tc:SAML:2.0:nameid-format:transient*<br>*urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos*<br>*urn:oasis:names:tc:SAML:2.0:nameid-format:entity*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”时，该属性 *受支持*|
|scim_status|integer|是否启用或禁用 SAML 的 SCIM 配置。<br><br>可能的值：<br>0 - *(默认)* SCIM 配置已禁用；<br>1 - 已启用 SCIM 配置。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”时，该属性 *受支持*|
|sign_assertions|integer|是否应使用 SAML 签名对 SAML 断言进行签名。<br><br>可能的值：<br>0 - *(默认)* 不对断言签名；<br>1 - 对断言签名。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”时，该属性 *受支持*|
|sign_authn_requests|integer|是否应使用 SAML 签名对 SAML AuthN 请求进行签名。<br><br>可能的值：<br>0 - *(默认)* 不对 AuthN 请求签名；<br>1 - 对 AuthN 请求签名。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”时，该属性 *受支持*|
|sign_messages|integer|是否应使用 SAML 签名对 SAML 消息进行签名。<br><br>可能的值：<br>0 - *(默认)* 不对消息签名；<br>1 - 对消息签名。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”时，该属性 *受支持*|
|sign_logout_requests|integer|是否应使用 SAML 签名对 SAML 注销请求进行签名。<br><br>可能的值：<br>0 - *(默认)* 不对注销请求签名；<br>1 - 对注销请求签名。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”时，该属性 *受支持*|
|sign_logout_responses|integer|是否应使用 SAML 签名对 SAML 注销响应进行签名。<br><br>可能的值：<br>0 - *(默认)* 不对注销响应签名；<br>1 - 对注销响应签名。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”时，该属性 *受支持*|
|idp_certificate|string|用于设置 SAML 单点登录（SSO）服务的服务提供者（SP）证书内容。<br><br>示例：<br>*-----BEGIN CERTIFICATE-----<br>MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7...<br>...more encoded data...<br>-----END CERTIFICATE-----*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”且在 zabbix.conf.php 中将 `$SSO['CERT_STORAGE']` 设置为 `database` 时，该属性 *受支持*<br>- *只写*|
|sp_private_key|string|用于设置 SAML 单点登录（SSO）服务的服务提供者（SP）私钥内容。<br>用于与身份提供商（IdP）进行安全认证和数据交换。<br><br>示例：<br>*-----BEGIN CERTIFICATE-----<br>MIIEvQIBADANBgkqhkiG9w0BA...<br>...more encoded data...<br>-----END CERTIFICATE-----*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”且在 zabbix.conf.php 中将 `$SSO['CERT_STORAGE']` 设置为 `database` 时，该属性 *受支持*<br>- *只写*|
|sp_certificate|string|用于设置 SAML 单点登录（SSO）服务的服务提供者（SP）证书内容。<br><br>示例：<br>*-----BEGIN CERTIFICATE-----<br>MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7...<br>...more encoded data...<br>-----END CERTIFICATE-----*<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”且在 zabbix.conf.php 中将 `$SSO['CERT_STORAGE']` 设置为 `database` 时，该属性 *受支持*<br>- *只写*|
|idp_certificate_hash|string|idp_certificate 值的 md5 哈希。对于空的 idp_certificate，将返回空字符串。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”且在 zabbix.conf.php 中将 `$SSO['CERT_STORAGE']` 设置为 `database` 时，该属性 *受支持*<br>- *只读*|
|sp_private_key_hash|string|sp_private_key 值的 md5 哈希。对于空的 sp_private_key，将返回空字符串。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”且在 zabbix.conf.php 中将 `$SSO['CERT_STORAGE']` 设置为 `database` 时，该属性 *受支持*<br>- *只读*|
|sp_certificate_hash|string|sp_certificate 值的 md5 哈希。对于空的 sp_certificate，将返回空字符串。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- 当 `idp_type` 设置为“SAML 类型的用户目录”且在 zabbix.conf.php 中将 `$SSO['CERT_STORAGE']` 设置为 `database` 时，该属性 *受支持*<br>- *只读*|

[comment]: # ({/726c81ec-ad144502})

[comment]: # ({07d3d820-c2b51996})
#### 媒介类型映射

媒介类型映射对象具有以下属性。

|属性|[类型](/manual/api/reference_commentary#data-types)|描述|
|--|--|----------------|
|userdirectory_mediaid|ID|媒介类型映射 ID。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior):<br>- *只读*|
|name|string|在媒介类型映射列表中显示的名称。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior):<br>- *必填*|
|mediatypeid|ID|要创建的媒介类型 ID；用作 [Media object](/manual/api/reference/user/object#media) 属性 `mediatypeid` 的值。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior):<br>- *必填*|
|attribute|string|包含用户媒介的 LDAP/SAML 用户目录属性（如果 `scim_status` 设置为“已启用 SCIM 配置”，也可以是 SCIM 属性，例如 *user@example.com*），该值将用作 [Media object](/manual/api/reference/user/object#media) 属性 `sendto` 的值。<br><br>如果该属性存在于从 LDAP/SAML 身份提供方接收的数据中，且其值非空，则会为已配置的用户触发媒介创建。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior):<br>- *必填*|
|active|integer|为已配置的用户创建媒介时，用户媒介 `active` 属性的值。<br><br>可能的值：<br>0 - *(默认)* 已启用；<br>1 - 已禁用。|
|severity|integer|为已配置的用户创建媒介时，用户媒介 `severity` 属性的值。<br><br>默认值：63。|
|period|string|为已配置的用户创建媒介时，用户媒介 `period` 属性的值。<br><br>默认值：1-7,00:00-24:00。|

[comment]: # ({/07d3d820-c2b51996})

[comment]: # ({fe544518-67bd0ce1})
#### Provisioning 组映射

Provisioning 组映射具有以下属性。

|属性|[类型](/manual/api/reference_commentary#data-types)|描述|
|--|--|----------------|
|name|string|LDAP/SAML 用户目录中的组全名（例如 *Zabbix administrators*）（如果 `scim_status` 设置为“已启用 SCIM provisioning”，也包括 SCIM）。<br>支持通配符字符“\*”。<br>在所有 provisioning 组映射中必须唯一。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- *必填*|
|roleid|ID|要分配给用户的用户角色 ID。<br><br>如果匹配到多个 provisioning 组映射，则将最高用户类型（*User*、*Admin* 或 *Super admin*）的角色分配给该用户。如果存在多个具有相同用户类型的角色，则将第一个角色（按字母顺序排序）分配给该用户。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- *必填*|
|user_groups|array|Zabbix 用户组 ID 对象数组。每个对象具有以下属性：<br>`usrgrpid` - `(ID)` 要分配给用户的 Zabbix 用户组 ID。<br><br>如果匹配到多个 provisioning 组映射，则会将所有匹配映射中的 Zabbix 用户组分配给该用户。<br><br>[属性行为](/manual/api/reference_commentary#property-behavior)：<br>- *必填*|

[comment]: # ({/fe544518-67bd0ce1})