Genehmigungsrichtlinien stellen eine Kontrollebene dar, die Sie zum Ausüben von Kontrolle über Bereitstellungs- und Tag-2-Aktionen vor deren Ausführung hinzufügen. Sie definieren Genehmigungsrichtlinien in Service Broker, damit Sie oder andere von Ihnen festgelegte Personen Anforderungen überprüfen können, bevor Ressourcen verbraucht oder gelöscht werden. Die Anwendungsfälle für Genehmigungsrichtlinien in diesem Verfahren stellen eine Einführung dar, die Sie beim Erkunden der Kontrolloptionen verwenden können.
Wenn nur ein kleines Team für das Hinzufügen und Bereitstellen von Katalogelementen zuständig ist, sind Genehmigungsrichtlinien möglicherweise weniger nützlich. Wenn Sie den Katalog jedoch einer größeren Gruppe aus Entwicklern und allgemeinen Verbrauchern zur Verfügung stellen, können Sie die Genehmigungsrichtlinien verwenden, um sicherzustellen, dass eine Anforderung überprüft wird, bevor die Ressourcen verbraucht oder Änderungen an den bereitgestellten Elementen vorgenommen werden.
Sie verfügen beispielsweise über ein wichtiges Katalogelement, das jedoch eine beträchtliche Menge an Ressourcen verbraucht. Sie bitten einen der IT-Administratoren um Überprüfung aller Bereitstellungsanforderungen, um sicherzustellen, dass die Anforderung notwendig ist. Ein weiteres Beispiel trifft auf Tag-2-Aktionen zu. Wenn Sie Änderungen an einer von zahlreichen Benutzern verwendeten Bereitstellung vornehmen, kann dies schwerwiegende Folgen haben. Sie bitten den Projektadministrator, der die Bereitstellung für dieses Team verwaltet, alle Änderungen am bereitgestellten Katalogelement zu überprüfen.
Wer arbeitet mit oder ist von Genehmigungsrichtlinien betroffen?
- Service Broker-Administrator. Konfiguriert die Richtlinien.
- Katalogverbraucher. Benutzer, die Katalogelemente oder Tag-2-Aktionen anfordern, für die eine oder mehrere Richtlinien gelten.
- Benutzer, die Cloud-Vorlagen in Cloud Assembly bereitstellen. Benutzer, die Vorlagen oder Tag-2-Aktionen in Cloud Assembly anfordern, für die eine oder mehrere Richtlinien gelten.
- Bestimmte Genehmiger. Benutzer, die eine Anforderung überprüfen und anschließend genehmigen oder ablehnen müssen. Sie können ausgewählten Benutzern und Benutzergruppen Genehmigerberechtigungen erteilen oder eine Auswahl aus den folgenden Genehmigerrollen treffen.
- AD-Manager. Active Directory Benutzer mit Managerattributen. Weitere Informationen hierzu finden Sie unter Konfigurieren von Active Directory-Attributen für die Genehmigerrolle „AD-Manager“
- Projektadministratoren. Administratoren von Projekten innerhalb des Geltungsbereichs der Richtlinie werden automatisch als Genehmiger zugewiesen. Wenn ein Projekt nicht über einen dedizierten Administrator verfügt, wird die Genehmigungsrichtlinie nicht auf dieses Projekt angewendet.
- Projektsupervisoren. Mitglieder von Projekten innerhalb des Geltungsbereichs der Richtlinie, denen die Rolle „Supervisor“ zugewiesen ist. Supervisor-Zugriffsrechte sind auf das Genehmigen und Ablehnen von Bereitstellungsanforderungen für ein Projekt beschränkt. Wenn ein Projekt nicht über einen dedizierten Supervisor verfügt, wird die Genehmigungsrichtlinie nicht auf dieses Projekt angewendet.
Was passiert, wenn Genehmigungsrichtlinien erzwungen werden?
Zahlreiche Genehmigungsrichtlinien können erzwungen werden. Die Genehmigungsrichtlinien werden evaluiert, und eine erzwungene Richtlinie wird auf die Anforderung angewendet. Wenn mehrere gültige Richtlinien vorhanden und die Genehmiger unterschiedliche Personen sind, werden alle Genehmiger hinzugefügt. Bei mehreren Richtlinien ist es wichtig, dass Sie diesen Prozess verstehen. Weitere Informationen finden Sie unter Ziele und Durchsetzung von Genehmigungsrichtlinien – Beispiele.
- Genehmigungsrichtlinien sind festgelegt.
- Ein Benutzer fordert ein Katalogelement oder eine Tag-2-Aktion an. Zur Anforderungszeit wertet Service Broker das Katalogelement aus, um festzustellen, ob Richtlinien zutreffen.
- Eine Genehmigungsrichtlinie wird erzwungen.
- Der Status wird auf der Bereitstellungskarte angezeigt. Beispiel: Erstellen – Genehmigung ausstehend.
- Eine E-Mail-Benachrichtigung wird an den Anforderer gesendet. Weitere Informationen hierzu finden Sie unter Vorgehensweise zum Verfolgen von Anforderungen, die in Service Broker genehmigt werden müssen.
- Eine E-Mail-Benachrichtigung wird an die Genehmiger gesendet. Weitere Informationen hierzu finden Sie unter Vorgehensweise zum Antworten auf eine Genehmigungsanforderung in Service Broker.
Erst wenn die Anforderung genehmigt ist, wird mit der Bereitstellung und dem Verbrauch von Infrastrukturressourcen oder der Durchführung von Änderungen an einem bereitgestellten System begonnen. Der anfordernde Benutzer wird per E-Mail benachrichtigt, dass die Anforderung auf Genehmigung wartet.
- Die Genehmiger antworten über die Seite „Genehmigungen“ in Service Broker auf die Anforderung.
- Der Genehmigungsprozess ist abgeschlossen.
- Bei einer Ablehnung der Anforderung wird der anfordernde Benutzer benachrichtigt, und die Bereitstellungsanforderung wird abgebrochen.
- Im Fall einer genehmigten Anforderung wird die Bereitstellung fortgesetzt.
- Die erzwungene Richtlinie kann so konfiguriert sein, dass eine Anforderung automatisch genehmigt oder abgelehnt wird, wenn vom Genehmiger keine Aktion durchgeführt wird.
Wie kann ich die Bereitstellungskriterien verwenden?
Um festzulegen, auf welche Elemente oder Aktivitäten die Richtlinie angewendet werden soll, können Sie die Bereitstellungskriterien definieren. Weitere Informationen zu den Kriterien finden Sie unter Vorgehensweise zum Konfigurieren von Bereitstellungskriterien in Service Broker-Richtlinien.
Einschränkungen bei Genehmigungsrichtlinien
- Die Aktion „Lease ändern“ kann nicht in eine Genehmigungsrichtlinie aufgenommen werden.
- Die Verwendung benutzerdefinierter Ressourcen als Ressourcentyp in den Richtlinienkriterien wird nicht unterstützt.
Wenn Sie sich mit dem Anwendungsfall für Genehmigungsrichtlinien beschäftigen und Ihre eigene Richtlinie erstellen, erhalten Sie weitere Informationen in den Schlüsseltextfeldern der Wegweiser-Hilfe.
Voraussetzungen
- Ein Genehmiger, der unter Umständen kein regulärer Service Broker- oder Cloud Assembly-Benutzer ist, muss über eine der folgenden Rollenkombinationen verfügen:
- Organisationsmitglied und Service Broker-Benutzer
- Organisationsmitglied und die benutzerdefinierte Rolle „Genehmigungen verwalten“
Diese Rollen stellen die niedrigste Berechtigungsstufe bereit, ermöglichen aber dennoch die Genehmigung und Ablehnung einer Anforderung.
- Stellen Sie sicher, dass der E-Mail-Benachrichtigungsserver festgelegt ist. Weitere Informationen hierzu finden Sie unter Hinzufügen eines E-Mail-Servers in Service Broker zum Senden von Benachrichtigungen.
- Wenn Sie den Active Directory-Manager als rollenbasierten Genehmigungstyp nutzen möchten, müssen Sie die für vRealize Automation konfigurierte Workspace ONE Access VMware Identity Manager-Integration verwenden. Sie müssen auch die Active Directory-Manager-Attribute in die Benutzerattribute hinzufügen. Weitere Informationen hierzu finden Sie unter Konfigurieren von Active Directory-Attributen für die Genehmigerrolle „AD-Manager“
Prozedur
Nächste Maßnahme
- Weitere Informationen zur Verarbeitung von Genehmigungsrichtlinien finden Sie unter Ziele und Durchsetzung von Genehmigungsrichtlinien – Beispiele.
- Weitere Informationen zur Verarbeitung von mehrstufigen Genehmigungen finden Sie unter Konfigurieren von mehrstufigen Genehmigungsrichtlinien in Service Broker.
- Weitere Informationen zur Verbraucher- und Genehmigererfahrung finden Sie unter Vorgehensweise zum Verfolgen von Anforderungen, die in Service Broker genehmigt werden müssen und Vorgehensweise zum Antworten auf eine Genehmigungsanforderung in Service Broker.