Les politiques contrôlent si les actions au sein de votre Organisation sont effectuées immédiatement ou si elles doivent d'abord être approuvées par d'autres Membres. Chaque flux de travail dispose de sa propre politique configurable de manière indépendante. Cet article explique comment les approbations, les politiques et le verrouillage fonctionnent ensemble. Pour la structure des autorisations et des flux de travail, consultez Autorisations et flux de travail. Pour un aperçu général, consultez À propos des Organisations.
Chaque action régie au sein d'une Organisation suit le même cycle de vie :
Étape 1 — Initiation : un Membre disposant de l'autorisation d'Initiation ou d'Exécution crée une demande.
Étape 2 — Vérification d'achèvement immédiat : si le Membre détient l'autorisation d'Exécution et que le flux de travail ne nécessite pas d'approbation (« Always require approval » est DÉSACTIVÉ), la demande est exécutée immédiatement. Pas de file d'attente d'approbation, pas d'attente.
Étape 3 — File d'attente d'approbation : si la demande ne peut pas être exécutée immédiatement — soit parce que le Membre ne dispose pas de l'autorisation d'Exécution, soit parce que « Always require approval » est ACTIVÉ — la demande entre dans la file d'attente d'approbation. Les Membres disposant de l'autorisation d'Approbation pour ce flux de travail peuvent l'examiner.
Étape 4 — Seuil d'approbation : une fois que le nombre requis d'approbations indépendantes est atteint, la demande est exécutée.
Étape 5 — Rejet : tout approbateur peut rejeter une demande en attente. Une demande rejetée n'est pas exécutée.
Un Membre ne peut pas approuver sa propre demande. Cette règle est appliquée par le système à tous les flux de travail et ne peut être outrepassée par aucune autorisation ou configuration de politique.
La seule façon pour un Membre d'effectuer une action seul est via l'exécution, et uniquement lorsque la politique du flux de travail le permet.
L'autorisation d'exécution interagit avec le paramètre de politique « Always require approval » :
Permissions du membre | "Toujours exiger une approbation" | Ce qu'il se passe |
|---|---|---|
Initier + Exécuter | DÉSACTIVÉ | Demande exécutée immédiatement, aucune approbation requise |
Initier + Exécuter | ON | La demande entre dans la file d'attente d'approbation, doit attendre les approbateurs indépendants |
Important : l'exécution ne fonctionne que lorsque la politique du flux de travail permet l'achèvement immédiat. Lorsque « Always require approval » est ACTIVÉ, l'exécution n'a aucun effet — toutes les demandes doivent être approuvées par des Membres indépendants.
L'exécution n'est pas retirée du Membre. Elle reste visible dans la configuration des autorisations, mais le système l'ignore lorsque « Always require approval » est ACTIVÉ. L'interface utilisateur affiche un indicateur de couleur d'avertissement sur la colonne d'exécution. Si vous désactivez à nouveau « Always require approval » ultérieurement, le Membre peut effectuer des actions immédiatement sans avoir besoin de se voir réattribuer l'autorisation.
Lorsqu'un Membre utilise l'exécution pour ajouter ou supprimer une adresse sur liste blanche immédiatement (sans approbateurs indépendants), le système envoie une confirmation par e-mail avant que la modification ne prenne effet. La modification d'adresse n'est finalisée qu'une fois la confirmation effectuée.
Pendant la version bêta, la confirmation par e-mail est envoyée au Propriétaire de l'Organisation quel que soit le Membre qui a initié la modification. L'envoi de la confirmation directement au créateur de la demande est prévu pour une version future.
Le statut de confiance de l'appareil n'affecte pas ce comportement — une confirmation par e-mail est toujours requise pour les changements d'adresse immédiats.
Lorsqu'une demande de modification d'adresse passe par le processus d'approbation standard avec des approbateurs indépendants, aucune confirmation par e-mail n'est nécessaire. L'approbation des autres membres sert de contrôle de sécurité.
Si le flux de travail Gérer les politiques lui-même a une politique configurée, vos modifications peuvent entrer dans la file d'attente d'approbation. Consultez Verrouillage des politiques pour plus de détails sur le fonctionnement de la gouvernance des politiques.
Important : Avant de définir un nombre d'approbations requis, assurez-vous qu'un nombre suffisant de membres disposent de l'autorisation d'Approuver sur le flux de travail cible pour atteindre le seuil. Le système empêche les configurations qui ne peuvent pas être satisfaites.
Chaque flux de travail possède sa propre politique avec deux paramètres :
Paramètre | Fonctionnement |
|---|---|
Approbations requises | Le nombre d'approbateurs distincts qui doivent donner leur accord avant qu'une demande ne soit finalisée. Les approbateurs sont sélectionnés parmi les membres disposant de l'autorisation d'Approuver sur ce flux de travail. La personne qui a initié la demande est toujours exclue du groupe d'approbateurs. |
Toujours demander l’approbation | Lorsque ACTIF : toutes les demandes doivent passer par le processus d'approbation, même si le membre dispose de l'autorisation d'Exécuter. Lorsque DÉSACTIVÉ : les membres disposant de l'autorisation d'Exécuter peuvent effectuer les actions immédiatement. |
Le verrouillage des politiques empêche tout membre, y compris le propriétaire de l'organisation, de modifier seul les paramètres de gouvernance d'un flux de travail.
Lorsqu'une politique est verrouillée :
Une fois la gouvernance verrouillée, personne ne peut l'affaiblir seul. Les changements futurs restent possibles, mais ils dépendent d'une approbation indépendante et d'une couverture d'approbateurs toujours disponible.
Portée : Le verrouillage des politiques s'applique par flux de travail. Le verrouillage de la politique d'un flux de travail n'affecte aucun autre flux de travail. Cela vous permet de renforcer la gouvernance de manière incrémentielle, un flux de travail à la fois.
Ces deux contrôles servent le même objectif à différents niveaux :
Contrôle | Portée | Effet |
|---|---|---|
Verrouillage de la politique | Un flux de travail à la fois | Les modifications de la politique de ce flux de travail spécifique nécessitent une approbation indépendante. Les autres flux de travail ne sont pas affectés. |
"Always require approval" sur Manage Policies | Tous les workflows en une seule fois | Toutes les modifications de politique pour chaque workflow nécessitent une approbation indépendante. Agit comme un interrupteur de gouvernance en bloc. |
Utilisez Policy Lock pour un renforcement progressif. Utilisez "Always require approval" sur Manage Policies uniquement lorsque vous souhaitez gérer toutes les modifications de politique en une seule fois.
Le système applique des mesures de protection pour prévenir les configurations invalides ou inapplicables :
Disponibilité de l'approbateur : Une politique ne peut pas être verrouillée à moins qu'au moins un autre Member (en plus de la personne qui verrouille) détienne l'autorisation Approve sur le workflow Manage Policies. Sans cela, une politique verrouillée pourrait créer une impasse où personne ne peut approuver les modifications futures.
Prévention des blocages : Le système empêche de sauvegarder une politique lorsque le seul Member disposant de l'autorisation Approve sur un workflow détient également l'autorisation Initiate et que le nombre d'approbations requis est de 1. Étant donné que les Members ne peuvent pas approuver leurs propres requêtes, les requêtes de ce Member n'auraient aucun approbateur éligible.
La désactivation ne vérifie pas la couverture des approbateurs : La désactivation ou la suppression d'un Member se poursuit actuellement même si cela réduit le nombre d'approbateurs disponibles en dessous du seuil requis pour un workflow. Des vérifications automatiques de la couverture pour la désactivation sont prévues pour une prochaine version. En attendant, vérifiez qu'un nombre suffisant d'autres Members avec l'autorisation Approve restent actifs pour atteindre le nombre d'approbations requis sur les workflows affectés avant de désactiver un Member, ou contactez le support si vous avez besoin d'aide.
Une fois que vous avez compris comment fonctionnent les politiques et les approbations, consultez Déploiement de la gouvernance pour un guide étape par étape sur l'introduction des exigences d'approbation un workflow à la fois, y compris des exemples concrets montrant des configurations de gouvernance sélectives et complètes.