Retningslinjer, godkjenninger og styring

Retningslinjer kontrollerer om handlinger i organisasjonen din fullføres umiddelbart eller må godkjennes av andre medlemmer først. Hver arbeidsflyt har sin egen uavhengig konfigurerbare retningslinje. Denne artikkelen forklarer hvordan godkjenninger, retningslinjer og låsing fungerer sammen. For hvordan tillatelser og arbeidsflyter er strukturert, se Tillatelser og arbeidsflyter. For en overordnet oversikt, se Om organisasjoner.

Hvordan godkjenninger fungerer

Hver styrt handling i en organisasjon følger samme livssyklus:

Trinn 1 – Iverksetting: Et medlem med rettigheter for Iverksetting (Initiate) eller Utførelse (Execute) oppretter en forespørsel.

Trinn 2 – Sjekk for umiddelbar fullføring: Hvis medlemmet har rettigheter for Utførelse (Execute) og arbeidsflyten ikke krever godkjenning ("Krev alltid godkjenning" er AV), fullføres forespørselen umiddelbart. Ingen godkjenningskø, ingen venting.

Trinn 3 – Godkjenningskø: Hvis forespørselen ikke kan fullføres umiddelbart – enten fordi medlemmet mangler rettigheter for Utførelse (Execute), eller fordi "Krev alltid godkjenning" er PÅ – går forespørselen inn i godkjenningskøen. Medlemmer med rettigheter for Godkjenning (Approve) for den arbeidsflyten kan gjennomgå den.

Trinn 4 – Godkjenningsgrense: Når det nødvendige antallet uavhengige godkjenninger er nådd, fullføres forespørselen.

Trinn 5 – Avvisning: Enhver enkelt godkjenner kan avvise en ventende forespørsel. En avvist forespørsel fullføres ikke.

Arbeidsdeling

Et medlem kan ikke godkjenne sin egen forespørsel. Denne regelen håndheves av systemet på tvers av alle arbeidsflyter og kan ikke overstyres av noen tillatelses- eller retningslinjekonfigurasjon.

Den eneste måten et enkelt medlem kan fullføre en handling alene, er gjennom Utførelse (Execute), og bare når arbeidsflytens retningslinjer tillater det.

Samhandling mellom Utførelse (Execute) og retningslinjer

Rettigheter for Utførelse (Execute) samhandler med innstillingen "Krev alltid godkjenning" i retningslinjene:

Medlemmets tillatelser

"Krev alltid godkjenning"

Hva skjer

Iverksett + Execute

OFF

Forespørsel fullføres umiddelbart, ingen godkjenning nødvendig

Iverksett + Execute

ON

Forespørsel går inn i godkjenningskø, må vente på uavhengige godkjennere

Viktig: Utførelse (Execute) fungerer bare når arbeidsflytens retningslinjer tillater umiddelbar fullføring. Når "Krev alltid godkjenning" er PÅ, har Utførelse (Execute) ingen effekt – alle forespørsler må godkjennes av uavhengige medlemmer.

Hva skjer med Utførelse (Execute) når "Krev alltid godkjenning" er PÅ?

Utførelse (Execute) fjernes ikke fra medlemmet. Den forblir synlig i tillatelseskonfigurasjonen, men systemet ignorerer den mens "Krev alltid godkjenning" er PÅ. Brukergrensesnittet viser en varselindikasjon i Utførelse-kolonnen. Hvis du senere slår "Krev alltid godkjenning" tilbake til AV, kan medlemmet fullføre handlinger umiddelbart igjen uten å måtte tildeles tillatelsen på nytt.

E-postbekreftelse for adresseendringer

Når et medlem bruker Utførelse (Execute) for å legge til eller fjerne en godkjent adresse umiddelbart (uten uavhengige godkjennere), sender systemet en e-postbekreftelse før endringen trer i kraft. Adresseendringen fullføres ikke før bekreftelsen er fullført.

Under Beta-perioden sendes e-postbekreftelsen til organisasjonseieren, uavhengig av hvilket medlem som initierte endringen. Det er planlagt å sende bekreftelsen direkte til forespørselsoppretteren i en fremtidig utgivelse.

Enhetens tillitsstatus påvirker ikke denne atferden – e-postbekreftelse er alltid påkrevd for umiddelbare adresseendringer.

Når en forespørsel om adresseendring går gjennom standard godkjenningsprosess med uavhengige godkjennere, er ingen e-postbekreftelse nødvendig. Godkjenningen fra andre medlemmer fungerer som sikkerhetskontroll.

Hvordan konfigurere en retningslinje

  1. Gå til seksjonen for Behandle retningslinjer i din organisasjon.
  2. Velg arbeidsflyten du vil konfigurere (for eksempel, Innled uttak).
  3. Angi antall påkrevde godkjenninger — dette er hvor mange uavhengige medlemmer med Godkjenningsrettighet som må signere før en forespørsel fullføres.
  4. Velg om du vil aktivere "Alltid krev godkjenning". Når PÅ, må hver forespørsel i denne arbeidsflyten gå gjennom godkjenningskøen, selv fra medlemmer med Utføringsrettighet. Når AV, kan medlemmer med Utføringsrettighet fullføre handlinger umiddelbart.
  5. Se gjennom konfigurasjonen og bekreft.

Hvis arbeidsflyten for Behandle retningslinjer selv har en konfigurert retningslinje, kan endringene dine komme inn i godkjenningskøen. Se Låse retningslinjer for detaljer om hvordan retningslinjestyring fungerer.

Viktig: Før du angir et påkrevd antall godkjenninger, sørg for at nok medlemmer har Godkjenningsrettighet på den aktuelle arbeidsflyten for å møte terskelen. Systemet forhindrer konfigurasjoner som ikke kan oppfylles.

Retningslinjeinnstillinger

Hver arbeidsflyt har sin egen retningslinje med to innstillinger:

Innstilling

Hva den gjør

Påkrevde godkjenninger

Antall forskjellige godkjennere som må signere før en forespørsel fullføres. Godkjennere trekkes fra gruppen av medlemmer med Godkjenningsrettighet for den arbeidsflyten. Personen som startet forespørselen, er alltid ekskludert fra godkjenningsgruppen.

Alltid krev godkjenning

Når PÅ: alle forespørsler må gå gjennom godkjenning, selv om medlemmet har Utføringsrettighet. Når AV: Medlemmer med Utføringsrettighet kan fullføre handlinger umiddelbart.

Låse retningslinjer

Retningslinjelåsing forhindrer ethvert enkelt medlem, inkludert organisasjonseieren, fra å endre en arbeidsflyts styringsinnstillinger alene.

Når en retningslinje er låst:

  • Enhver endring i den arbeidsflytens retningslinje krever godkjenning fra uavhengige medlemmer
  • Opplåsing krever også uavhengig godkjenning
  • Eieren er bundet av de samme reglene som alle andre medlemmer

Når styringen er låst, kan ingen enkeltperson svekke den alene. Fremtidige endringer er fortsatt mulige, men de avhenger av at uavhengig godkjenning og dekning av godkjennere forblir tilgjengelig.

Omfang: Retningslinjelåsing gjelder per arbeidsflyt. Låsing av én arbeidsflyts retningslinje påvirker ikke noen annen arbeidsflyt. Dette lar deg stramme inn styringen trinnvis, én arbeidsflyt om gangen.

Retningslinjelås kontra "Alltid krev godkjenning" på Behandle retningslinjer

Disse to kontrollene tjener det samme målet på forskjellige nivåer:

Kontroll

Omfang

Effekt

Retningslinjelås

Én arbeidsflyt om gangen

Endringer i den spesifikke arbeidsflytens retningslinje krever uavhengig godkjenning. Andre arbeidsflyter påvirkes ikke.

"Always require approval" på Manage Policies

Alle arbeidsflyter samtidig

Alle policyendringer på tvers av hver arbeidsflyt krever uavhengig godkjenning. Fungerer som en bryter for samlet styring.

Bruk Policy Lock for trinnvis innstramming. Bruk "Always require approval" på Manage Policies kun når du ønsker å styre alle policyendringer samtidig.

Sikkerhetstiltak

Systemet håndhever sikkerhetstiltak for å forhindre ugyldige eller ugjennomførbare konfigurasjoner:

Tilgjengelighet for godkjenner: En policy kan ikke låses med mindre minst ett annet medlem (i tillegg til personen som låser) har Approve på arbeidsflyten for Manage Policies. Uten dette kan en låst policy skape en dødlås der ingen kan godkjenne fremtidige endringer.

Forhindring av utelåsing: Systemet blokkerer lagring av en policy når det eneste medlemmet med Approve på en arbeidsflyt også har Initiate og det nødvendige antallet godkjenninger er 1. Siden medlemmer ikke kan godkjenne sine egne forespørsler, ville dette medlemmets forespørsler ikke ha en kvalifisert godkjenner.

Deaktivering sjekker ikke godkjennerdekning: Deaktivering eller fjerning av et medlem fortsetter for øyeblikket selv om det reduserer antallet tilgjengelige godkjennere under den påkrevde terskelen for en arbeidsflyt. Automatiske dekningskontroller for deaktivering er planlagt for en fremtidig utgivelse. Inntil da, verifiser at nok andre medlemmer med Approve forblir aktive for å møte det påkrevde antallet godkjenninger på berørte arbeidsflyter før du deaktiverer et medlem, eller kontakt support hvis du trenger hjelp.

Feilsøking

Systemet krever at minst ett annet medlem (i tillegg til deg) har Approve-tillatelse på arbeidsflyten for Manage Policies før en policy kan låses. Uten en uavhengig godkjenner ville låsing skape en dødlås der ingen kunne godkjenne fremtidige policyendringer. Tildel Approve på Manage Policies til et annet medlem og prøv igjen.

Sjekk om nok medlemmer med Approve-tillatelse på den arbeidsflyten fortsatt er aktive. Hvis et medlem med Approve har blitt deaktivert eller fjernet siden forespørselen ble opprettet, er de gjenværende godkjennerne kanskje ikke lenger nok til å oppnå det nødvendige antallet. En ventende forespørsel er bundet av godkjenningsterskelen som gjaldt da den ble opprettet – å endre policyen nå senker ikke kravet for en forespørsel som allerede står i kø. For å frigjøre den, reaktiver det deaktiverte medlemmet eller tildel Approve til et annet aktivt medlem slik at den opprinnelige terskelen kan møtes. Hvis Manage Access også krever godkjenning og de samme godkjennerne er utilgjengelige, kontakt support for assistanse.

"Always require approval" er PÅ for den arbeidsflyten. Når denne innstillingen er aktivert, er Execute passiv – tillatelsen er fortsatt tildelt, men hver forespørsel må gå gjennom uavhengig godkjenning. For å gjenopprette umiddelbar fullføring for medlemmer med Execute, slå "Always require approval" AV. Merk at dette er en Manage Policies-handling – hvis Manage Policies selv krever godkjenning, må endringen godkjennes av uavhengige medlemmer før den trer i kraft. Se Execute og policyinteraksjon ovenfor.

Denne arbeidsflyten har kun ett medlem med Approve, og det medlemmet har også Initiate. Siden medlemmer ikke kan godkjenne sine egne forespørsler, ville deres forespørsler ikke ha en kvalifisert godkjenner. Tildel Approve til minst ett annet medlem, eller gi dette medlemmet Execute slik at de kan fullføre handlinger uten godkjenning når policyen tillater det.

Deaktivering blokkeres ikke av mangel på godkjennere. Hvis du deaktiverte et medlem som hadde godkjenning på én eller flere arbeidsflyter, må du verifisere at nok aktive medlemmer med godkjenning gjenstår for å oppfylle hver arbeidsflyts nødvendige antall godkjenninger. Hvis en arbeidsflyt mangler godkjennere, må du enten reaktivere medlemmet eller tildele godkjenning til et annet aktivt medlem på de berørte arbeidsflytene. Ventende forespørsler på disse arbeidsflytene vil forbli i køen til det nødvendige antall godkjenninger er oppnådd.

Hva kommer deretter

Når du forstår hvordan retningslinjer og godkjenninger fungerer, kan du se Innføring av styring for en trinnvis veiledning i hvordan du introduserer godkjenningskrav én arbeidsflyt om gangen, inkludert utarbeidede eksempler som viser selektive og fullstendige styringskonfigurasjoner.

Trenger du mer hjelp?