Политики, утверждения и управление

Политики определяют, выполняются ли действия в вашей Организации немедленно или должны быть сначала одобрены другими Участниками. Каждый рабочий процесс имеет собственную независимо настраиваемую политику. Эта статья объясняет, как согласования, политики и блокировки работают вместе. О структуре разрешений и рабочих процессов см. Разрешения и рабочие процессы. Общий обзор см. в разделе Об Организациях.

Как работают согласования

Каждое управляемое действие в Организации проходит один и тот же жизненный цикл:

Шаг 1 — Инициирование: Участник с разрешением Initiate или Execute создает запрос.

Шаг 2 — Проверка на немедленное выполнение: Если у Участника есть Execute и рабочий процесс не требует согласования («Всегда требовать согласование» выключено), запрос выполняется немедленно. Без очереди согласований, без ожидания.

Шаг 3 — Очередь согласований: Если запрос не может быть выполнен немедленно — либо потому, что у Участника нет Execute, либо потому, что «Всегда требовать согласование» включено — запрос попадает в очередь согласований. Участники с разрешением Approve для этого рабочего процесса могут его рассмотреть.

Шаг 4 — Порог согласования: Как только достигается необходимое количество независимых согласований, запрос выполняется.

Шаг 5 — Отклонение: Любой один утверждающий может отклонить ожидающий запрос. Отклоненный запрос не выполняется.

Разделение обязанностей

Участник не может согласовать свой собственный запрос. Это правило применяется системой ко всем рабочим процессам и не может быть отменено какой-либо конфигурацией разрешений или политики.

Единственный способ, которым один Участник может выполнить действие самостоятельно, — это с помощью Execute, и только тогда, когда это разрешено политикой рабочего процесса.

Execute и взаимодействие с политикой

Разрешение Execute взаимодействует с настройкой политики «Всегда требовать согласование»:

Разрешения участника

"Всегда требовать утверждения"

Что происходит

Инициировать + Выполнить

Выкл.

Запрос выполняется немедленно, согласование не требуется

Инициировать + Выполнить

ON

Запрос попадает в очередь согласований, необходимо дождаться независимых утверждающих

Важно: Execute работает только тогда, когда политика рабочего процесса разрешает немедленное выполнение. Когда «Всегда требовать согласование» включено, Execute не имеет никакого эффекта — все запросы должны быть согласованы независимыми Участниками.

Что происходит с Execute, когда «Всегда требовать согласование» включено?

Execute не удаляется у Участника. Оно остается видимым в конфигурации разрешений, но система игнорирует его, пока «Всегда требовать согласование» включено. Пользовательский интерфейс (UI) отображает индикатор предупреждающего цвета в столбце Execute. Если вы позже переключите «Всегда требовать согласование» обратно в положение ВЫКЛ, Участник снова сможет немедленно выполнять действия без необходимости повторного назначения разрешения.

Подтверждение по электронной почте для изменения адресов

Когда Участник использует Execute для немедленного добавления или удаления адреса из белого списка (без независимых утверждающих), система отправляет подтверждение по электронной почте до вступления изменения в силу. Изменение адреса не завершается до тех пор, пока не будет выполнено подтверждение.

В период бета-тестирования подтверждение по электронной почте отправляется Владельцу Организации независимо от того, какой Участник инициировал изменение. Отправка подтверждения непосредственно создателю запроса планируется в одном из будущих релизов.

Статус доверия устройства не влияет на это поведение — для немедленного изменения адреса всегда требуется подтверждение по электронной почте.

Когда запрос на изменение адреса проходит стандартный процесс одобрения с участием независимых утверждающих, подтверждение по электронной почте не требуется. Одобрение от других участников служит мерой безопасности.

Как настроить политику

  1. Перейдите в раздел «Управление политиками» в вашей организации.
  2. Выберите рабочий процесс, который хотите настроить (например, «Инициировать вывод средств»).
  3. Установите требуемое количество одобрений — это количество независимых участников с разрешением на одобрение (Approve), которые должны подтвердить запрос до его завершения.
  4. Выберите, следует ли включить опцию «Всегда требовать одобрения» (Always require approval). Когда опция включена (ON), каждый запрос по этому рабочему процессу должен пройти очередь одобрения, даже если участники имеют право на выполнение (Execute). Когда опция отключена (OFF), участники с правом на выполнение (Execute) могут немедленно завершать действия.
  5. Просмотрите конфигурацию и подтвердите.

Если для самого рабочего процесса «Управление политиками» настроена политика, ваши изменения могут попасть в очередь одобрения. См. раздел «Блокировка политик» для получения подробной информации о том, как работает управление политиками.

Важно: Прежде чем устанавливать требуемое количество одобрений, убедитесь, что достаточное количество участников имеет разрешение на одобрение (Approve) для целевого рабочего процесса, чтобы достичь порогового значения. Система предотвращает конфигурации, которые не могут быть выполнены.

Настройки политики

Каждый рабочий процесс имеет собственную политику с двумя настройками:

Настройка

Что это делает

Требуются утверждения

Количество отдельных утверждающих, которые должны подтвердить запрос до его завершения. Утверждающие выбираются из числа участников, имеющих разрешение на одобрение (Approve) для данного рабочего процесса. Лицо, инициировавшее запрос, всегда исключается из пула утверждающих.

Всегда требовать утверждение

Когда ON: все запросы должны пройти одобрение, даже если участник имеет право на выполнение (Execute). Когда OFF: участники с правом на выполнение (Execute) могут немедленно завершать действия.

Блокировка политик

Блокировка политик предотвращает изменение настроек управления рабочим процессом одним участником, включая владельца организации (Organization Owner).

Когда политика заблокирована:

  • Любое изменение политики этого рабочего процесса требует одобрения независимых участников.
  • Разблокировка также требует независимого одобрения.
  • Владелец подчиняется тем же правилам, что и любой другой участник.

После блокировки управления никто не может ослабить его в одиночку. Будущие изменения по-прежнему возможны, но они зависят от независимого одобрения и наличия достаточного количества утверждающих.

Область действия: Блокировка политик применяется к каждому рабочему процессу отдельно. Блокировка политики одного рабочего процесса не влияет на другие рабочие процессы. Это позволяет постепенно ужесточать управление, по одному рабочему процессу за раз.

Блокировка политики vs «Всегда требовать одобрения» (Always require approval) в разделе «Управление политиками»

Эти два элемента управления служат одной и той же цели на разных уровнях:

Элемент управления

Область действия

Эффект

Блокировка политики

По одному рабочему процессу за раз

Изменения политики конкретного рабочего процесса требуют независимого одобрения. Другие рабочие процессы остаются без изменений.

«Всегда требовать одобрение» в разделе «Управление политиками»

Все рабочие процессы сразу

Все изменения политики во всех рабочих процессах требуют независимого одобрения. Действует как общий переключатель управления.

Используйте «Блокировку политики» для постепенного ужесточения. Используйте «Всегда требовать одобрение» в разделе «Управление политиками» только тогда, когда вы хотите управлять всеми изменениями политики одновременно.

Меры безопасности

Система применяет меры безопасности для предотвращения недействительных или невыполнимых конфигураций:

Доступность утверждающего: Политика не может быть заблокирована, если хотя бы один другой Участник (помимо того, кто блокирует) не имеет разрешения «Утвердить» в рабочем процессе «Управление политиками». Без этого заблокированная политика может создать тупиковую ситуацию, когда никто не сможет утверждать будущие изменения.

Предотвращение блокировки: Система блокирует сохранение политики, когда единственный Участник с разрешением «Утвердить» в рабочем процессе также имеет разрешение «Инициировать», и требуемое количество утверждений равно 1. Поскольку Участники не могут утверждать свои собственные запросы, запросы этого Участника не имели бы подходящего утверждающего.

Деактивация не проверяет достаточность утверждающих: Деактивация или удаление Участника в настоящее время продолжается, даже если это уменьшает количество доступных утверждающих ниже требуемого порога для рабочего процесса. Автоматические проверки достаточности утверждающих для деактивации планируются в будущем выпуске. До тех пор, убедитесь, что достаточно других активных Участников с разрешением «Утвердить» остается для выполнения требуемого количества утверждений в затронутых рабочих процессах перед деактивацией Участника, или обратитесь в службу поддержки, если вам нужна помощь.

Устранение неполадок

Система требует, чтобы хотя бы один другой Участник (помимо вас) имел разрешение «Утвердить» в рабочем процессе «Управление политиками», прежде чем политика может быть заблокирована. Без независимого утверждающего блокировка создаст тупиковую ситуацию, когда никто не сможет утверждать будущие изменения политики. Назначьте разрешение «Утвердить» в разделе «Управление политиками» другому Участнику и повторите попытку.

Проверьте, достаточно ли Участников с разрешением «Утвердить» в этом рабочем процессе остаются активными. Если Участник с разрешением «Утвердить» был деактивирован или удален с момента создания запроса, оставшихся утверждающих может быть недостаточно для достижения требуемого количества. Ожидающий запрос привязан к порогу утверждения, который действовал на момент его создания — изменение политики сейчас не снижает требование для уже поставленного в очередь запроса. Чтобы разблокировать его, повторно активируйте деактивированного Участника или назначьте разрешение «Утвердить» другому активному Участнику, чтобы можно было достичь исходного порога. Если «Управление доступом» также требует утверждения и те же утверждающие недоступны, обратитесь в службу поддержки за помощью.

Для этого рабочего процесса включена функция «Всегда требовать одобрение». Если этот параметр включен, «Выполнить» находится в спящем режиме — разрешение по-прежнему назначено, но каждый запрос должен пройти независимое утверждение. Чтобы восстановить немедленное выполнение для Участников с разрешением «Выполнить», переключите «Всегда требовать одобрение» в положение «ВЫКЛ». Обратите внимание, что это действие «Управление политиками» — если само «Управление политиками» требует утверждения, изменение должно быть одобрено независимыми Участниками, прежде чем оно вступит в силу. См. раздел «Выполнение и взаимодействие с политикой» выше.

В этом рабочем процессе есть только один Участник с разрешением «Утвердить», и этот Участник также имеет разрешение «Инициировать». Поскольку Участники не могут утверждать свои собственные запросы, их запросы не имели бы подходящего утверждающего. Назначьте разрешение «Утвердить» хотя бы одному другому Участнику или предоставьте этому Участнику разрешение «Выполнить», чтобы они могли выполнять действия без утверждения, когда это позволяет политика.

Деактивация не блокируется недостатком утверждающих. Если вы деактивировали участника, который имел право утверждать в одном или нескольких рабочих процессах, убедитесь, что достаточно активных участников с правом утверждать осталось, чтобы соответствовать требуемому количеству утверждений для каждого рабочего процесса. Если в рабочем процессе не хватает утверждающих, либо повторно активируйте участника, либо назначьте право утверждать другому активному участнику в затронутых рабочих процессах. Ожидающие запросы в этих рабочих процессах останутся в очереди, пока не будет достигнуто требуемое количество утверждений.

Что дальше?

Как только вы поймете, как работают политики и утверждения, ознакомьтесь с Внедрение управления, где представлено пошаговое руководство по введению требований утверждения для каждого рабочего процесса по отдельности, включая примеры выборочных и полных конфигураций управления.

Нужна дополнительная помощь?