As Políticas controlam se as ações na sua Organization são concluídas imediatamente ou se devem ser aprovadas primeiro por outros Members. Cada workflow tem a sua própria política configurável de forma independente. Este artigo explica como as aprovações, políticas e bloqueios funcionam em conjunto. Para saber como as permissões e os workflows são estruturados, consulte Permissões e workflows. Para uma visão geral de alto nível, consulte Sobre Organizations.
Toda a ação gerida numa Organization segue o mesmo ciclo de vida:
Passo 1 — Initiation: Um Member com permissão Initiate ou Execute cria um pedido.
Passo 2 — Verificação de conclusão imediata: Se o Member detiver Execute e o workflow não exigir aprovação ("Always require approval" estiver DESLIGADO), o pedido é concluído imediatamente. Sem fila de aprovação, sem espera.
Passo 3 — Fila de aprovação: Se o pedido não puder ser concluído imediatamente — seja porque o Member não tem Execute, seja porque "Always require approval" está LIGADO — o pedido entra na fila de aprovação. Members com permissão Approve para esse workflow podem analisá-lo.
Passo 4 — Limite de aprovação: Assim que o número exigido de aprovações independentes for atingido, o pedido é concluído.
Passo 5 — Rejeição: Qualquer único aprovador pode rejeitar um pedido pendente. Um pedido rejeitado não é concluído.
Um Member não pode aprovar o seu próprio pedido. Esta regra é imposta pelo sistema em todos os workflows e não pode ser ignorada por nenhuma configuração de permissão ou política.
A única forma de um único Member concluir uma ação sozinho é através de Execute, e apenas quando a política do workflow o permite.
A permissão Execute interage com a definição de política "Always require approval":
Permissões do Membro | "Sempre exigir aprovação" | O que acontece |
|---|---|---|
Iniciar + Execute | DESATIVADO | Pedido concluído imediatamente, sem necessidade de aprovação |
Iniciar + Execute | ATIVADO | O pedido entra na fila de aprovação, deve aguardar por aprovadores independentes |
Importante: Execute só funciona quando a política do workflow permite a conclusão imediata. Quando "Always require approval" está LIGADO, Execute não tem efeito — todos os pedidos devem ser aprovados por Members independentes.
Execute não é removido do Member. Permanece visível na configuração de permissões, mas o sistema ignora-o enquanto "Always require approval" estiver LIGADO. A UI mostra um indicador de cor de aviso na coluna Execute. Se mais tarde DESLIGAR "Always require approval", o Member pode concluir ações imediatamente novamente sem precisar que a permissão seja reatribuída.
Quando um Member usa Execute para adicionar ou remover um endereço da lista branca imediatamente (sem aprovadores independentes), o sistema envia uma confirmação por e-mail antes que a alteração entre em vigor. A alteração de endereço não é finalizada até que a confirmação seja concluída.
Durante a Beta, a confirmação por e-mail é enviada para o Organization Owner, independentemente de qual Member iniciou a alteração. O envio da confirmação diretamente para o criador do pedido está planeado para uma versão futura.
O estado de confiança do dispositivo não afeta este comportamento — a confirmação por e-mail é sempre necessária para alterações imediatas de endereço.
Quando um pedido de alteração de endereço passa pelo processo de aprovação padrão com aprovadores independentes, não é necessária a confirmação por e-mail. A aprovação de outros Membros serve como controlo de segurança.
Se o próprio fluxo de trabalho Gerir Políticas tiver uma política configurada, as suas alterações podem entrar na fila de aprovação. Consulte Políticas de bloqueio para obter detalhes sobre como funciona a governação de políticas.
Importante: Antes de definir uma contagem de aprovações necessárias, certifique-se de que há Membros suficientes com permissão de Aprovar no fluxo de trabalho de destino para satisfazer o limite. O sistema impede configurações que não podem ser satisfeitas.
Cada fluxo de trabalho tem a sua própria política com duas definições:
Definição | O que faz |
|---|---|
Aprovações necessárias | O número de aprovadores distintos que devem aprovar antes que um pedido seja concluído. Os aprovadores são selecionados do conjunto de Membros com permissão de Aprovar nesse fluxo de trabalho. A pessoa que iniciou o pedido é sempre excluída do conjunto de aprovadores. |
Aprovação sempre necessária | Quando ATIVADO: todos os pedidos devem passar por aprovação, mesmo que o Membro tenha Executar. Quando DESATIVADO: os Membros com Executar podem concluir ações imediatamente. |
O bloqueio de políticas impede que qualquer Membro, incluindo o Proprietário da Organização, altere as definições de governação de um fluxo de trabalho sozinho.
Quando uma política está bloqueada:
Uma vez que a governação é bloqueada, nenhuma pessoa pode enfraquecê-la sozinha. Alterações futuras ainda são possíveis, mas dependem da aprovação independente e da disponibilidade da cobertura de aprovadores.
Âmbito: O bloqueio de políticas aplica-se por fluxo de trabalho. O bloqueio da política de um fluxo de trabalho não afeta nenhum outro fluxo de trabalho. Isto permite-lhe reforçar a governação incrementalmente, um fluxo de trabalho de cada vez.
Estes dois controlos servem o mesmo objetivo em diferentes níveis:
Controlo | Âmbito | Efeito |
|---|---|---|
Bloqueio de Política | Um fluxo de trabalho de cada vez | As alterações à política desse fluxo de trabalho específico requerem aprovação independente. Outros fluxos de trabalho não são afetados. |
"Always require approval" em Manage Policies | Todos os fluxos de trabalho de uma só vez | Todas as alterações de política em cada fluxo de trabalho exigem aprovação independente. Atua como um interruptor de governação em massa. |
Utilize Policy Lock para um aperto incremental. Utilize "Always require approval" em Manage Policies apenas quando quiser gerir todas as alterações de política de uma só vez.
O sistema aplica salvaguardas para evitar configurações inválidas ou inexequíveis:
Disponibilidade do aprovador: Uma política não pode ser bloqueada, a menos que pelo menos um outro Membro (além da pessoa que a bloqueia) tenha a permissão Approve no fluxo de trabalho Manage Policies. Sem isso, uma política bloqueada poderia criar um impasse onde ninguém poderia aprovar futuras alterações.
Prevenção de bloqueios: O sistema bloqueia o guardar de uma política quando o único Membro com a permissão Approve num fluxo de trabalho também tem a permissão Initiate e a contagem de aprovações necessária é 1. Uma vez que os Membros não podem aprovar os seus próprios pedidos, os pedidos deste Membro não teriam nenhum aprovador elegível.
A desativação não verifica a cobertura do aprovador: A desativação ou remoção de um Membro prossegue atualmente, mesmo que reduza o número de aprovadores disponíveis abaixo do limite necessário para um fluxo de trabalho. Estão planeadas verificações automáticas de cobertura para desativação numa versão futura. Até então, verifique se outros Membros com a permissão Approve permanecem ativos em número suficiente para atingir a contagem de aprovações necessária nos fluxos de trabalho afetados antes de desativar um Membro, ou entre em contacto com o suporte se precisar de assistência.
Assim que compreender como funcionam as políticas e aprovações, consulte Implementar a governação para um guia passo a passo sobre como introduzir requisitos de aprovação, um fluxo de trabalho de cada vez, incluindo exemplos práticos que mostram configurações de governação seletiva e completa.