Zasady, zatwierdzenia i zarządzanie

Zasady określają, czy działania w Twojej organizacji są wykonywane natychmiast, czy muszą zostać najpierw zatwierdzone przez innych członków. Każdy przepływ pracy ma własną, niezależnie konfigurowalną zasadę. Ten artykuł wyjaśnia, jak zatwierdzenia, zasady i blokowanie współdziałają. Aby dowiedzieć się, jak skonstruowane są uprawnienia i przepływy pracy, zobacz Uprawnienia i przepływy pracy. Aby uzyskać ogólny przegląd, zobacz Informacje o organizacjach.

Jak działają zatwierdzenia

Każde zarządzane działanie w organizacji przebiega według tego samego cyklu życia:

Krok 1 — Inicjacja: Członek z uprawnieniem Inicjuj lub Wykonaj tworzy żądanie.

Krok 2 — Sprawdzenie natychmiastowego zakończenia: Jeśli członek ma uprawnienie Wykonaj, a przepływ pracy nie wymaga zatwierdzenia (opcja „Zawsze wymagaj zatwierdzenia” jest WYŁĄCZONA), żądanie jest realizowane natychmiast. Bez kolejki zatwierdzeń, bez czekania.

Krok 3 — Kolejka zatwierdzeń: Jeśli żądania nie można zrealizować natychmiast — albo z powodu braku uprawnienia Wykonaj u członka, albo z powodu włączenia opcji „Zawsze wymagaj zatwierdzenia” — żądanie trafia do kolejki zatwierdzeń. Członkowie z uprawnieniem Zatwierdź w tym przepływie pracy mogą je przeglądać.

Krok 4 — Próg zatwierdzenia: Po osiągnięciu wymaganej liczby niezależnych zatwierdzeń, żądanie zostaje zrealizowane.

Krok 5 — Odrzucenie: Każdy pojedynczy zatwierdzający może odrzucić oczekujące żądanie. Odrzucone żądanie nie jest realizowane.

Separacja obowiązków

Członek nie może zatwierdzić własnego żądania. Ta zasada jest egzekwowana przez system we wszystkich przepływach pracy i nie może zostać zastąpiona przez żadne uprawnienie ani konfigurację zasad.

Jedynym sposobem, w jaki pojedynczy członek może samodzielnie wykonać działanie, jest uprawnienie Wykonaj, i tylko wtedy, gdy pozwala na to zasada przepływu pracy.

Interakcja uprawnienia Wykonaj z zasadami

Uprawnienie Wykonaj współdziała z ustawieniem zasad „Zawsze wymagaj zatwierdzenia”:

Uprawnienia Członka

„Zawsze wymagaj zatwierdzenia”

Co się dzieje

Inicjowanie + Wykonanie

WYŁ.

Żądanie zrealizowane natychmiast, bez potrzeby zatwierdzenia

Inicjowanie + Wykonanie

NA

Żądanie trafia do kolejki zatwierdzeń, musi czekać na niezależnych zatwierdzających

Ważne: Uprawnienie Wykonaj działa tylko wtedy, gdy zasady przepływu pracy zezwalają na natychmiastowe zakończenie. Gdy opcja „Zawsze wymagaj zatwierdzenia” jest WŁĄCZONA, uprawnienie Wykonaj nie ma wpływu — wszystkie żądania muszą być zatwierdzone przez niezależnych członków.

Co dzieje się z uprawnieniem Wykonaj, gdy opcja „Zawsze wymagaj zatwierdzenia” jest WŁĄCZONA?

Uprawnienie Wykonaj nie jest usuwane z członka. Pozostaje widoczne w konfiguracji uprawnień, ale system ignoruje je, gdy opcja „Zawsze wymagaj zatwierdzenia” jest WŁĄCZONA. Interfejs użytkownika pokazuje wskaźnik koloru ostrzegawczego w kolumnie Wykonaj. Jeśli później ponownie przełączysz opcję „Zawsze wymagaj zatwierdzenia” na WYŁĄCZONE, członek będzie mógł ponownie natychmiast wykonywać działania, bez konieczności ponownego przypisywania mu uprawnienia.

Potwierdzenie e-mail dla zmian adresów

Gdy członek używa uprawnienia Wykonaj do natychmiastowego dodania lub usunięcia adresu z białej listy (bez niezależnych zatwierdzających), system wysyła potwierdzenie e-mail przed wejściem zmiany w życie. Zmiana adresu nie zostaje sfinalizowana, dopóki potwierdzenie nie zostanie zakończone.

Podczas wersji beta potwierdzenie e-mail jest wysyłane do właściciela organizacji, niezależnie od tego, który członek zainicjował zmianę. Wysyłanie potwierdzenia bezpośrednio do twórcy żądania jest planowane w przyszłej wersji.

Status zaufania urządzenia nie wpływa na to zachowanie — potwierdzenie e-mail jest zawsze wymagane w przypadku natychmiastowych zmian adresu.

Gdy wniosek o zmianę adresu przechodzi standardowy proces zatwierdzania z niezależnymi osobami zatwierdzającymi, potwierdzenie e-mail nie jest wymagane. Zatwierdzenie od innych członków służy jako kontrola bezpieczeństwa.

Jak skonfigurować zasadę

  1. Przejdź do sekcji Zarządzaj zasadami w Twojej organizacji.
  2. Wybierz proces, który chcesz skonfigurować (na przykład Inicjuj wypłatę).
  3. Ustaw wymaganą liczbę zatwierdzeń — oznacza to, ilu niezależnych członków z uprawnieniami Zatwierdź musi zatwierdzić żądanie, zanim zostanie ono zrealizowane.
  4. Wybierz, czy chcesz włączyć „Zawsze wymagaj zatwierdzenia”. Gdy jest WŁĄCZONE, każde żądanie w tym procesie musi przejść przez kolejkę zatwierdzeń, nawet od członków z uprawnieniami Wykonaj. Gdy jest WYŁĄCZONE, członkowie z uprawnieniami Wykonaj mogą natychmiast realizować działania.
  5. Przejrzyj konfigurację i potwierdź.

Jeśli sam proces Zarządzaj zasadami ma skonfigurowaną politykę, Twoje zmiany mogą trafić do kolejki zatwierdzeń. Zobacz Blokowanie zasad, aby dowiedzieć się, jak działa zarządzanie zasadami.

Ważne: Przed ustawieniem wymaganej liczby zatwierdzeń upewnij się, że wystarczająca liczba członków posiada uprawnienia Zatwierdź dla danego procesu, aby spełnić próg. System uniemożliwia konfiguracje, które nie mogą zostać spełnione.

Ustawienia zasad

Każdy proces ma swoją własną zasadę z dwoma ustawieniami:

Ustawienie

Co to robi

Wymagane zatwierdzenia

Liczba różnych osób zatwierdzających, które muszą podpisać żądanie, zanim zostanie ono zrealizowane. Osoby zatwierdzające są wybierane z puli członków z uprawnieniami Zatwierdź dla tego procesu. Osoba, która zainicjowała żądanie, jest zawsze wykluczona z puli osób zatwierdzających.

Zawsze wymagaj zatwierdzenia

Gdy WŁĄCZONE: wszystkie żądania muszą przejść przez zatwierdzenie, nawet jeśli członek posiada uprawnienia Wykonaj. Gdy WYŁĄCZONE: członkowie z uprawnieniami Wykonaj mogą natychmiast realizować działania.

Blokowanie zasad

Blokowanie zasad uniemożliwia pojedynczemu członkowi, w tym Właścicielowi organizacji, samodzielną zmianę ustawień zarządzania procesem.

Gdy zasada jest zablokowana:

  • Każda zmiana w zasadzie tego procesu wymaga zatwierdzenia przez niezależnych członków
  • Odblokowanie również wymaga niezależnego zatwierdzenia
  • Właściciel jest związany tymi samymi zasadami co każdy inny członek

Po zablokowaniu zarządzania, żadna osoba nie może go samodzielnie osłabić. Przyszłe zmiany nadal są możliwe, ale zależą od dostępności niezależnych zatwierdzeń i wystarczającej liczby osób zatwierdzających.

Zakres: Blokowanie zasad dotyczy poszczególnych procesów. Zablokowanie zasad jednego procesu nie wpływa na żaden inny proces. Pozwala to na stopniowe zaostrzanie zarządzania, jeden proces naraz.

Blokada zasad a „Zawsze wymagaj zatwierdzenia” w Zarządzaniu zasadami

Te dwie kontrole służą temu samemu celowi na różnych poziomach:

Kontrola

Zakres

Efekt

Blokada zasad

Jeden proces na raz

Zmiany w zasadach tego konkretnego procesu wymagają niezależnego zatwierdzenia. Inne procesy pozostają bez zmian.

\"Always require approval\" w Manage Policies

Wszystkie przepływy pracy jednocześnie

Wszystkie zmiany zasad we wszystkich przepływach pracy wymagają niezależnego zatwierdzenia. Działa to jako zbiorczy przełącznik zarządzania.

Użyj Policy Lock do stopniowego zaostrzania. Użyj \"Always require approval\" w Manage Policies tylko wtedy, gdy chcesz zarządzać wszystkimi zmianami zasad jednocześnie.

Zabezpieczenia

System wymusza zabezpieczenia, aby zapobiec nieprawidłowym lub niemożliwym do wyegzekwowania konfiguracjom:

Dostępność zatwierdzającego: Zasady nie mogą zostać zablokowane, chyba że co najmniej jeden inny Członek (oprócz osoby blokującej) posiada uprawnienie Approve w przepływie pracy Manage Policies. Bez tego zablokowane zasady mogłyby stworzyć impas, w którym nikt nie mógłby zatwierdzać przyszłych zmian.

Zapobieganie blokadom: System blokuje zapisywanie zasad, gdy jedyny Członek z uprawnieniem Approve w przepływie pracy posiada również uprawnienie Initiate, a wymagana liczba zatwierdzeń wynosi 1. Ponieważ Członkowie nie mogą zatwierdzać własnych wniosków, wnioski tego Członka nie miałyby uprawnionego zatwierdzającego.

Dezaktywacja nie sprawdza zasięgu zatwierdzających: Dezaktywacja lub usunięcie Członka jest obecnie kontynuowane, nawet jeśli zmniejsza liczbę dostępnych zatwierdzających poniżej wymaganego progu dla przepływu pracy. Automatyczne kontrole zasięgu dla dezaktywacji są planowane w przyszłym wydaniu. Do tego czasu, przed dezaktywacją Członka, upewnij się, że wystarczająca liczba innych Członków z uprawnieniem Approve pozostaje aktywna, aby spełnić wymaganą liczbę zatwierdzeń w dotkniętych przepływach pracy, lub skontaktuj się z obsługą klienta, jeśli potrzebujesz pomocy.

Rozwiązywanie problemów

System wymaga, aby co najmniej jeden inny Członek (oprócz Ciebie) posiadał uprawnienie Approve w przepływie pracy Manage Policies, zanim zasady zostaną zablokowane. Bez niezależnego zatwierdzającego blokowanie stworzyłoby impas, w którym nikt nie mógłby zatwierdzać przyszłych zmian zasad. Przypisz uprawnienie Approve w Manage Policies innemu Członkowi i spróbuj ponownie.

Sprawdź, czy wystarczająca liczba Członków z uprawnieniem Approve w tym przepływie pracy jest nadal aktywna. Jeśli Członek z uprawnieniem Approve został dezaktywowany lub usunięty od czasu utworzenia wniosku, pozostali zatwierdzający mogą nie być już wystarczający do osiągnięcia wymaganej liczby. Oczekujący wniosek jest utrzymywany na poziomie progu zatwierdzeń, który obowiązywał w momencie jego utworzenia — zmiana zasad teraz nie obniża wymogu dla wniosku już znajdującego się w kolejce. Aby go odblokować, reaktywuj dezaktywowanego Członka lub przypisz uprawnienie Approve innemu aktywnemu Członkowi, aby można było spełnić pierwotny próg. Jeśli Manage Access również wymaga zatwierdzenia, a ci sami zatwierdzający są niedostępni, skontaktuj się z obsługą klienta w celu uzyskania pomocy.

\"Always require approval\" jest WŁĄCZONE dla tego przepływu pracy. Gdy to ustawienie jest włączone, Execute jest nieaktywne — uprawnienie jest nadal przypisane, ale każdy wniosek musi przejść przez niezależne zatwierdzenie. Aby przywrócić natychmiastowe wykonanie dla Członków z uprawnieniem Execute, przełącz \"Always require approval\" na WYŁĄCZONE. Zauważ, że jest to działanie Manage Policies — jeśli Manage Policies samo wymaga zatwierdzenia, zmiana musi zostać zatwierdzona przez niezależnych Członków, zanim wejdzie w życie. Zobacz interakcję Execute i zasad powyżej.

Ten przepływ pracy ma tylko jednego Członka z uprawnieniem Approve, a ten Członek posiada również uprawnienie Initiate. Ponieważ Członkowie nie mogą zatwierdzać własnych wniosków, ich wnioski nie miałyby uprawnionego zatwierdzającego. Przypisz uprawnienie Approve co najmniej jednemu innemu Członkowi lub przyznaj temu Członkowi uprawnienie Execute, aby mógł wykonywać działania bez zatwierdzenia, gdy zasady na to pozwalają.

Dezaktywacja nie jest blokowana przez niedobór zatwierdzających. Jeśli dezaktywowałeś członka, który posiadał uprawnienie do zatwierdzania w jednym lub większej liczbie przepływów pracy, sprawdź, czy pozostaje wystarczająca liczba aktywnych członków z uprawnieniem do zatwierdzania, aby spełnić wymaganą liczbę zatwierdzeń dla każdego przepływu pracy. Jeśli w przepływie pracy brakuje zatwierdzających, albo ponownie aktywuj członka, albo przypisz uprawnienie do zatwierdzania innemu aktywnemu członkowi w dotkniętych przepływach pracy. Oczekujące żądania w tych przepływach pracy pozostaną w kolejce, dopóki nie zostanie osiągnięta wymagana liczba zatwierdzeń.

Co dalej?

Gdy zrozumiesz, jak działają zasady i zatwierdzenia, zapoznaj się z Wdrażaniem zarządzania, aby uzyskać przewodnik krok po kroku, jak wprowadzać wymagania dotyczące zatwierdzania po jednym przepływie pracy, włączając w to przykłady przedstawiające konfiguracje wybiórczego i pełnego zarządzania.

Potrzebujesz więcej pomocy?