Dasar mengawal sama ada tindakan dalam Organisasi anda diselesaikan serta-merta atau mesti diluluskan oleh Ahli lain terlebih dahulu. Setiap aliran kerja mempunyai dasarnya sendiri yang boleh dikonfigurasi secara bebas. Artikel ini menerangkan bagaimana kelulusan, dasar dan penguncian berfungsi bersama. Untuk struktur kebenaran dan aliran kerja, lihat Kebenaran dan aliran kerja. Untuk gambaran keseluruhan peringkat tinggi, lihat Mengenai Organisasi.
Setiap tindakan yang diatur dalam Organisasi mengikut kitaran hayat yang sama:
Langkah 1 — Permulaan: Ahli dengan kebenaran Mulakan atau Execute mencipta permintaan.
Langkah 2 — Semakan penyelesaian segera: Jika Ahli memegang Execute dan aliran kerja tidak memerlukan kelulusan ("Sentiasa memerlukan kelulusan" adalah MATI), permintaan akan diselesaikan serta-merta. Tiada barisan kelulusan, tiada menunggu.
Langkah 3 — Barisan kelulusan: Jika permintaan tidak dapat diselesaikan serta-merta — sama ada kerana Ahli kekurangan Execute, atau kerana "Sentiasa memerlukan kelulusan" adalah HIDUP — permintaan memasuki barisan kelulusan. Ahli dengan kebenaran Luluskan pada aliran kerja tersebut boleh menyemaknya.
Langkah 4 — Ambang kelulusan: Setelah bilangan kelulusan bebas yang diperlukan dicapai, permintaan akan diselesaikan.
Langkah 5 — Penolakan: Mana-mana pelulus tunggal boleh menolak permintaan yang sedang menunggu. Permintaan yang ditolak tidak diselesaikan.
Seseorang Ahli tidak boleh meluluskan permintaannya sendiri. Peraturan ini dikuatkuasakan oleh sistem di seluruh aliran kerja dan tidak boleh ditindas oleh mana-mana konfigurasi kebenaran atau dasar.
Satu-satunya cara seorang Ahli tunggal boleh melengkapkan tindakan sendirian adalah melalui Execute, dan hanya apabila dasar aliran kerja membenarkannya.
Kebenaran Execute berinteraksi dengan tetapan dasar "Sentiasa memerlukan kelulusan":
Kebenaran Ahli | "Sentiasa memerlukan kelulusan" | Apa yang berlaku |
|---|---|---|
Initiate + Execute | OFF | Permintaan diselesaikan serta-merta, tiada kelulusan diperlukan |
Initiate + Execute | ON | Permintaan memasuki barisan kelulusan, mesti menunggu pelulus bebas |
Penting: Execute hanya berfungsi apabila dasar aliran kerja membenarkan penyelesaian segera. Apabila "Sentiasa memerlukan kelulusan" adalah HIDUP, Execute tidak mempunyai kesan — semua permintaan mesti diluluskan oleh Ahli bebas.
Execute tidak dialih keluar daripada Ahli. Ia kekal kelihatan dalam konfigurasi kebenaran, tetapi sistem mengabaikannya sementara "Sentiasa memerlukan kelulusan" adalah HIDUP. UI menunjukkan penunjuk warna amaran pada lajur Execute. Jika anda kemudian menukar "Sentiasa memerlukan kelulusan" kembali kepada MATI, Ahli boleh menyelesaikan tindakan serta-merta lagi tanpa perlu ditugaskan semula kebenaran tersebut.
Apabila Ahli menggunakan Execute untuk menambah atau mengalih keluar alamat yang dibenarkan serta-merta (tanpa pelulus bebas), sistem menghantar pengesahan e-mel sebelum perubahan berkuat kuasa. Perubahan alamat tidak akan dimuktamadkan sehingga pengesahan selesai.
Semasa Beta, pengesahan e-mel dihantar kepada Pemilik Organisasi tanpa mengira Ahli mana yang memulakan perubahan. Penghantaran pengesahan kepada pencipta permintaan secara langsung dirancang untuk keluaran akan datang.
Status kepercayaan peranti tidak menjejaskan tingkah laku ini — pengesahan e-mel sentiasa diperlukan untuk perubahan alamat segera.
Apabila permintaan perubahan alamat melalui proses kelulusan standard dengan pelulus bebas, tiada pengesahan e-mel diperlukan. Kelulusan daripada Ahli-ahli lain berfungsi sebagai kawalan keselamatan.
Jika aliran kerja Urus Dasar itu sendiri mempunyai dasar yang dikonfigurasi, perubahan anda mungkin memasuki barisan kelulusan. Lihat dasar Mengunci untuk butiran mengenai cara tadbir urus dasar berfungsi.
Penting: Sebelum menetapkan kiraan kelulusan yang diperlukan, pastikan Ahli yang mencukupi memegang kebenaran Approve pada aliran kerja sasaran untuk mencapai ambang. Sistem menghalang konfigurasi yang tidak dapat dipenuhi.
Setiap aliran kerja mempunyai dasarnya sendiri dengan dua tetapan:
Tetapan | Fungsinya |
|---|---|
Kelulusan diperlukan | Bilangan pelulus berbeza yang mesti meluluskan sebelum permintaan selesai. Pelulus dipilih daripada kumpulan Ahli dengan kebenaran Approve pada aliran kerja tersebut. Individu yang memulakan permintaan sentiasa dikecualikan daripada kumpulan pelulus. |
Sentiasa memerlukan kelulusan | Apabila HIDUP: semua permintaan mesti melalui kelulusan, walaupun Ahli memegang Execute. Apabila MATI: Ahli dengan Execute boleh menyelesaikan tindakan dengan segera. |
Penguncian dasar menghalang mana-mana satu Ahli, termasuk Pemilik Organisasi, daripada mengubah tetapan tadbir urus aliran kerja seorang diri.
Apabila dasar dikunci:
Setelah tadbir urus dikunci, tiada seorang pun boleh melemahkannya seorang diri. Perubahan masa hadapan masih mungkin, tetapi ia bergantung pada kelulusan bebas dan liputan pelulus yang kekal tersedia.
Skop: Penguncian dasar digunakan untuk setiap aliran kerja. Mengunci dasar satu aliran kerja tidak menjejaskan aliran kerja lain. Ini membolehkan anda mengetatkan tadbir urus secara berperingkat, satu aliran kerja pada satu masa.
Kedua-dua kawalan ini mempunyai matlamat yang sama pada tahap yang berbeza:
Kawalan | Skop | Kesan |
|---|---|---|
Kunci Dasar | Satu aliran kerja pada satu masa | Perubahan pada dasar aliran kerja tertentu itu memerlukan kelulusan bebas. Aliran kerja lain tidak terjejas. |
"Always require approval" pada Manage Policies | Semua aliran kerja sekaligus | Semua perubahan dasar merentasi setiap aliran kerja memerlukan kelulusan bebas. Berfungsi sebagai suis tadbir urus pukal. |
Gunakan Policy Lock untuk pengetatan secara berperingkat. Gunakan "Always require approval" pada Manage Policies hanya apabila anda ingin mengawal selia semua perubahan dasar sekaligus.
Sistem ini menguatkuasakan perlindungan untuk mencegah konfigurasi yang tidak sah atau tidak boleh dikuatkuasakan:
Ketersediaan Pelulus: Sesuatu dasar tidak boleh dikunci melainkan sekurang-kurangnya seorang Ahli lain (selain daripada orang yang mengunci) memegang Approve pada aliran kerja Manage Policies. Tanpa ini, dasar yang dikunci boleh mewujudkan kebuntuan di mana tiada siapa yang boleh meluluskan perubahan masa depan.
Pencegahan penguncian: Sistem ini menyekat penyimpanan dasar apabila satu-satunya Ahli yang memegang Approve pada aliran kerja juga memegang Initiate dan kiraan kelulusan yang diperlukan ialah 1. Memandangkan Ahli tidak boleh meluluskan permintaan mereka sendiri, permintaan Ahli ini tidak akan mempunyai pelulus yang layak.
Penyahaktifan tidak menyemak liputan pelulus: Menyahaktifkan atau membuang Ahli pada masa ini diteruskan walaupun ia mengurangkan bilangan pelulus yang tersedia di bawah ambang yang diperlukan untuk sesuatu aliran kerja. Pemeriksaan liputan automatik untuk penyahaktifan dirancang untuk keluaran akan datang. Sehingga itu, sahkan bahawa Ahli lain yang memegang Approve yang mencukupi kekal aktif untuk memenuhi kiraan kelulusan yang diperlukan pada aliran kerja yang terjejas sebelum menyahaktifkan Ahli, atau hubungi sokongan jika anda memerlukan bantuan.
Setelah anda memahami cara dasar dan kelulusan berfungsi, lihat Melaksanakan tadbir urus untuk panduan langkah demi langkah tentang memperkenalkan keperluan kelulusan satu aliran kerja pada satu masa, termasuk contoh yang telah dilaksanakan yang menunjukkan konfigurasi tadbir urus terpilih dan penuh.