Questa guida ti accompagna nell'introduzione dei requisiti di approvazione nella tua Organization, un workflow alla volta. Non è necessario configurare tutta la governance in una sola volta: il sistema è progettato in modo da consentirti di spostare ogni workflow dalle rapide operazioni a utente singolo a un'approvazione multi-parte completamente governata, al tuo ritmo.
Per informazioni sul funzionamento delle politiche e delle impostazioni di approvazione, consulta Politiche, approvazioni e governance. Per il modello di autorizzazioni, consulta Autorizzazioni e workflow.
L'interazione tra Execute e "Always require approval" ti offre due opzioni di governance per ogni workflow:
I primi tre passaggi sono reversibili. Il quarto — il blocco — è il punto di impegno.
L'Owner inizia con tutte le autorizzazioni su tutti i workflow. In questa fase, l'Owner è l'unico Membro e può completare qualsiasi azione senza approvazione. Questo è lo stato di partenza previsto.
Costruisci la configurazione di approvazione per un workflow specifico mentre "Always require approval" rimane DISATTIVATO. L'Owner mantiene Execute e può continuare a lavorare normalmente.
Alla fine di questo passaggio, le regole di approvazione sono definite e le persone giuste hanno le autorizzazioni, ma nulla è ancora applicato. L'Owner può ancora completare le azioni tramite Execute e può ancora modificare le politiche da solo.
Attiva "Always require approval" su ON per il workflow di destinazione. Questo forza ogni azione, incluse quelle dell'Owner, ad essere approvate. Verifica che:
Poiché la politica non è ancora bloccata, puoi ancora annullare. Disattiva "Always require approval" per ripristinare il completamento immediato e modificare la configurazione prima di riprovare.
Questa è la finestra sicura per la sperimentazione. La governance è effettiva per il workflow di destinazione, ma l'Owner mantiene il controllo unilaterale sulla politica stessa e può annullare in qualsiasi momento.
Una volta soddisfatto, blocca la politica. Questo è il punto di impegno. Da qui:
Importante: prima di bloccare, assicurati che almeno un altro Membro attivo abbia Approve sul workflow Manage Policies. Il sistema richiede un approvatore indipendente prima di consentire il blocco.
Importante: Il blocco rimuove la capacità di una singola persona di indebolire la governance su questo solo flusso di lavoro. Le modifiche future, incluso lo sblocco, dipendono dalla disponibilità di un approvatore indipendente tramite il flusso di lavoro Gestisci politiche.
Tutti gli altri flussi di lavoro rimangono percorsi veloci — il proprietario può ancora utilizzare Esegui su qualsiasi flusso di lavoro la cui politica non è stata bloccata. Torna al Passaggio 2 per il flusso di lavoro successivo.
Questa progressione è una raccomandazione, non un requisito. Puoi operare indefinitamente con qualsiasi combinazione di flussi di lavoro gestiti e non gestiti.
Un CFO desidera mantenere la capacità di completare i prelievi immediatamente, richiedendo al contempo che tutti i prelievi dai Gestori di fondi siano soggetti a revisione.
Configurazione delle autorizzazioni:
Membro | Visualizza | Avvia | Approva | Esegui |
|---|---|---|---|---|
CFO | Sì | Sì | Sì | Sì |
Gestore di fondi A | Sì | Sì | — | — |
Gestore di fondi B | Sì | Sì | — | — |
Impostazioni dei criteri:
Il CFO può avviare e completare immediatamente i prelievi utilizzando Esegui. I Gestori di fondi possono avviare i prelievi, ma ogni richiesta entra nella coda di approvazione e richiede 1 approvazione dal CFO.
Passaggio alla piena governance: Quando il CFO decide successivamente che tutti i prelievi, inclusi i propri, devono passare attraverso l'approvazione, richiede una modifica dei criteri (che a sua volta richiede un'approvazione indipendente perché i criteri sono bloccati):
Dopo questa modifica, l'autorizzazione Esegui del CFO rimane assegnata ma non ha alcun effetto. I criteri ora richiedono un'approvazione indipendente per ogni richiesta, inclusa quella del CFO.
Mantenere Esegui assegnato, anche se attualmente non ha alcun effetto, preserva l'ambito di accesso del Membro nella matrice delle autorizzazioni. Ciò sarà particolarmente utile quando sarà disponibile il supporto multi-account, dove Esegui definisce anche su quali account un Membro può operare.
Questo esempio mostra un flusso di lavoro di Avvio Prelievo completamente configurato e illustra come le autorizzazioni e i criteri interagiscono nella pratica. Il layout rispecchia la matrice delle autorizzazioni visibile nell'interfaccia utente del prodotto.
Membro | Visualizza | Avvia | Approva | Esegui |
|---|---|---|---|---|
Proprietario dell'Organizzazione | Sì | Sì | Sì | Sì |
Alice | Sì | Sì | Sì | — |
Bob | Sì | — | Sì | — |
Charlie | Sì | Sì | — | — |
Criterio: Approvazioni richieste: 2 dei 3 approvatori disponibili. Richiedi sempre approvazione: ATTIVO.
Il Proprietario ha Esegui, ma poiché "Richiedi sempre approvazione" è ATTIVO, non ha alcun effetto.
Ogni richiesta di prelievo deve essere approvata da 2 Membri indipendenti. La persona che avvia la richiesta è esclusa dal gruppo di approvazione per quella richiesta.
Scenario | Chi avvia | Chi deve approvare | Perché |
|---|---|---|---|
Il Proprietario preleva | Titolare | Alice e Bob | Solo 2 Membri con Approvazione rimangono dopo aver escluso il Proprietario. Entrambi devono approvare. |
Alice preleva | Alice | Proprietario e Bob | Alice è esclusa. Gli approvatori rimanenti sono il Proprietario e Bob. |
Charlie preleva | Charlie | 2 qualsiasi tra: Proprietario, Alice, Bob | Charlie non ha Approvazione, quindi tutti e 3 gli approvatori sono idonei. 2 qualsiasi sono sufficienti. |
Bob avvia | — | — | Bob non ha Avvio. Non può creare una richiesta di prelievo. Può solo approvare. |