批准策略是您添加的一种管治级别,用于在运行部署和实施后操作请求之前对它们实施控制。您可以在 Service Broker 中定义批准策略,以便您或您指定的其他用户可在使用或销毁资源之前审核请求。此过程中使用的批准策略用例是为了进行说明,供您在探索管治选项时参考。
如果您只有一支小型团队负责添加和部署目录项,则批准策略可能不太有用。但是,如果您将目录提供给由开发人员和一般使用者构成的群体,则可以使用批准策略来确保有人在资源被使用或已置备项目被更改之前审查请求。
例如,您有一个目录项很重要,但它会占用大量资源。您希望由一个 IT 管理员检查所有部署请求,以确保请求是必要的。另一个示例与实施后操作相关。如果对许多人正在使用的部署进行更改,可能会产生灾难性的破坏。您需要管理该团队部署的项目管理员审核对已部署目录项进行的所有更改。
谁使用批准策略,或者谁会受到此策略的影响?
- Service Broker 管理员。配置策略。
- 目录使用者。请求应用了一个或多个策略的目录项或实施后操作的用户。
- 在 Cloud Assembly 中部署云模板的用户。请求 Cloud Assembly 中应用了一个或多个策略的模板或实施后操作的用户。
- 指定的审批者。必须审核并批准或拒绝请求的用户。您可以向选定用户和用户组授予审批者权限,也可以从以下审批者角色中进行选择。
- AD 管理员。具有管理员属性的 Active Directory 用户。请参见为 AD 主管审批者角色配置 Active Directory 属性
- 项目管理员。策略范围内项目的管理员会自动分配为审批者。如果项目没有专用管理员,则批准策略不会应用于该项目。
- 项目主管。策略范围内分配了主管角色的项目成员。主管访问权限仅限于批准和拒绝项目的部署请求。如果项目没有专用主管,则批准策略不会应用于该项目。
实施批准策略时会发生什么?
可以实施多个批准策略。将评估批准策略,并将实施的策略应用于请求。如果存在多个有效策略且审批者是不同人员,则会添加所有审批者。如果您有多个策略,请务必了解此过程。有关详细信息,请参见批准策略目标和实施示例。
- 定义批准策略。
- 用户请求目录项或实施后操作。在请求时,Service Broker 评估目录项以查看是否应用了任何策略。
- 实施批准策略。
- 部署卡视图将显示状态。例如,创建 - 批准挂起。
- 向请求者发送电子邮件通知。请参见如何跟踪需要批准的请求。
- 向审批者发送电子邮件通知。请参见如何响应批准请求。
在请求获得批准之前,部署不会开始部署和使用基础架构资源,也不会对已部署的系统进行更改。向请求用户发送电子邮件通知,说明请求正等待批准。
- 审批者使用 Service Broker 中的“批准”页面响应请求。
- 批准过程完成。
- 如果请求被拒绝,将通知请求用户并取消部署请求。
- 如果请求获得批准,则继续部署。
- 可以将实施的策略配置为在审批者未采取操作时自动批准或拒绝请求。
如何使用部署条件?
要限制策略应用到的项目或活动,可以定义部署条件。有关条件的详细信息,请参见如何在 Service Broker 策略中配置部署条件。
批准策略限制
- 批准策略中不能包含“更改租约”操作。
- 不支持在策略条件中使用自定义资源作为资源类型。
审核批准策略用例并创建您自己的策略时,请查阅有关关键文本框的标志帮助,以了解更多信息。
前提条件
- 审批者(可能不是普通的 Service Broker 或 Cloud Assembly 用户)必须具有以下角色组合之一:
- 组织成员和 Service Broker 用户
- 组织成员和“管理批准”自定义角色
虽然这些角色提供的是最低级别的权限,但仍能够批准或拒绝请求。
- 确认已定义电子邮件通知服务器。请参见在 Service Broker 中添加电子邮件服务器以发送通知。
- 如果您计划使用 Active Directory 主管作为基于角色的批准类型,则必须使用为 vRealize Automation 配置的 Workspace One Access VMware Identity Manager 集成。您还必须在用户属性中包括 Active Directory 管理器属性。请参见为 AD 主管审批者角色配置 Active Directory 属性
过程
下一步做什么
- 有关如何处理批准策略的详细信息,请参见 批准策略目标和实施示例。
- 有关如何处理多级别批准的详细信息,请参见在 Service Broker 中配置多级别批准策略。
- 有关使用者和审批者体验的详细信息,请参见如何跟踪需要批准的请求和如何响应批准请求。