Genehmigungsrichtlinien stellen eine Kontrollebene dar, die Sie zum Ausüben von Kontrolle über Bereitstellungs- und Tag-2-Aktionen vor deren Ausführung hinzufügen. Sie definieren Genehmigungsrichtlinien in Service Broker, damit Sie oder andere von Ihnen festgelegte Personen Anforderungen überprüfen können, bevor Ressourcen verbraucht oder gelöscht werden. Die Anwendungsfälle für Genehmigungsrichtlinien in diesem Verfahren stellen eine Einführung dar, die Sie beim Erkunden der Kontrolloptionen verwenden können.

Wenn nur ein kleines Team für das Hinzufügen und Bereitstellen von Katalogelementen zuständig ist, sind Genehmigungsrichtlinien möglicherweise weniger nützlich. Wenn Sie den Katalog jedoch einer größeren Gruppe aus Entwicklern und allgemeinen Verbrauchern zur Verfügung stellen, können Sie die Genehmigungsrichtlinien verwenden, um sicherzustellen, dass eine Anforderung überprüft wird, bevor die Ressourcen verbraucht oder Änderungen an den bereitgestellten Elementen vorgenommen werden.

Sie verfügen beispielsweise über ein wichtiges Katalogelement, das jedoch eine beträchtliche Menge an Ressourcen verbraucht. Sie bitten einen der IT-Administratoren um Überprüfung aller Bereitstellungsanforderungen, um sicherzustellen, dass die Anforderung notwendig ist. Ein weiteres Beispiel trifft auf Tag-2-Aktionen zu. Wenn Sie Änderungen an einer von zahlreichen Benutzern verwendeten Bereitstellung vornehmen, kann dies schwerwiegende Folgen haben. Sie bitten den Projektadministrator, der die Bereitstellung für dieses Team verwaltet, alle Änderungen am bereitgestellten Katalogelement zu überprüfen.

Wer arbeitet mit oder ist von Genehmigungsrichtlinien betroffen?

  • Service Broker-Administrator. Konfiguriert die Richtlinien.
  • Katalogverbraucher. Benutzer, die Katalogelemente oder Tag-2-Aktionen anfordern, für die eine oder mehrere Richtlinien gelten.
  • Benutzer, die Cloud-Vorlagen in Cloud Assembly bereitstellen. Benutzer, die Vorlagen oder Tag-2-Aktionen in Cloud Assembly anfordern, für die eine oder mehrere Richtlinien gelten.
  • Bestimmte Genehmiger. Benutzer, die eine Anforderung überprüfen und anschließend genehmigen oder ablehnen müssen. Sie können ausgewählten Benutzern und Benutzergruppen Genehmigerberechtigungen erteilen oder eine Auswahl aus den folgenden Genehmigerrollen treffen.
    • AD-Manager. Active Directory Benutzer mit Managerattributen. Weitere Informationen hierzu finden Sie unter Konfigurieren von Active Directory-Attributen für die Genehmigerrolle „AD-Manager“
    • Projektadministratoren. Administratoren von Projekten innerhalb des Geltungsbereichs der Richtlinie werden automatisch als Genehmiger zugewiesen. Wenn ein Projekt nicht über einen dedizierten Administrator verfügt, wird die Genehmigungsrichtlinie nicht auf dieses Projekt angewendet.
    • Projektsupervisoren. Mitglieder von Projekten innerhalb des Geltungsbereichs der Richtlinie, denen die Rolle „Supervisor“ zugewiesen ist. Supervisor-Zugriffsrechte sind auf das Genehmigen und Ablehnen von Bereitstellungsanforderungen für ein Projekt beschränkt. Wenn ein Projekt nicht über einen dedizierten Supervisor verfügt, wird die Genehmigungsrichtlinie nicht auf dieses Projekt angewendet.

Was passiert, wenn Genehmigungsrichtlinien erzwungen werden?

Zahlreiche Genehmigungsrichtlinien können erzwungen werden. Die Genehmigungsrichtlinien werden evaluiert, und eine erzwungene Richtlinie wird auf die Anforderung angewendet. Wenn mehrere gültige Richtlinien vorhanden und die Genehmiger unterschiedliche Personen sind, werden alle Genehmiger hinzugefügt. Bei mehreren Richtlinien ist es wichtig, dass Sie diesen Prozess verstehen. Weitere Informationen finden Sie unter Ziele und Durchsetzung von Genehmigungsrichtlinien – Beispiele.

  1. Genehmigungsrichtlinien sind festgelegt.
  2. Ein Benutzer fordert ein Katalogelement oder eine Tag-2-Aktion an. Zur Anforderungszeit wertet Service Broker das Katalogelement aus, um festzustellen, ob Richtlinien zutreffen.
  3. Eine Genehmigungsrichtlinie wird erzwungen.
    1. Der Status wird auf der Bereitstellungskarte angezeigt. Beispiel: Erstellen – Genehmigung ausstehend.
    2. Eine E-Mail-Benachrichtigung wird an den Anforderer gesendet. Weitere Informationen hierzu finden Sie unter Vorgehensweise zum Verfolgen von Anforderungen, die in Service Broker genehmigt werden müssen.
    3. Eine E-Mail-Benachrichtigung wird an die Genehmiger gesendet. Weitere Informationen hierzu finden Sie unter Vorgehensweise zum Antworten auf eine Genehmigungsanforderung in Service Broker.

      Erst wenn die Anforderung genehmigt ist, wird mit der Bereitstellung und dem Verbrauch von Infrastrukturressourcen oder der Durchführung von Änderungen an einem bereitgestellten System begonnen. Der anfordernde Benutzer wird per E-Mail benachrichtigt, dass die Anforderung auf Genehmigung wartet.

    4. Die Genehmiger antworten über die Seite „Genehmigungen“ in Service Broker auf die Anforderung.
  4. Der Genehmigungsprozess ist abgeschlossen.
    1. Bei einer Ablehnung der Anforderung wird der anfordernde Benutzer benachrichtigt, und die Bereitstellungsanforderung wird abgebrochen.
    2. Im Fall einer genehmigten Anforderung wird die Bereitstellung fortgesetzt.
    3. Die erzwungene Richtlinie kann so konfiguriert sein, dass eine Anforderung automatisch genehmigt oder abgelehnt wird, wenn vom Genehmiger keine Aktion durchgeführt wird.

Wie kann ich die Bereitstellungskriterien verwenden?

Um festzulegen, auf welche Elemente oder Aktivitäten die Richtlinie angewendet werden soll, können Sie die Bereitstellungskriterien definieren. Weitere Informationen zu den Kriterien finden Sie unter Vorgehensweise zum Konfigurieren von Bereitstellungskriterien in Service Broker-Richtlinien.

Einschränkungen bei Genehmigungsrichtlinien

  • Die Aktion „Lease ändern“ kann nicht in eine Genehmigungsrichtlinie aufgenommen werden.
  • Die Verwendung benutzerdefinierter Ressourcen als Ressourcentyp in den Richtlinienkriterien wird nicht unterstützt.

Wenn Sie sich mit dem Anwendungsfall für Genehmigungsrichtlinien beschäftigen und Ihre eigene Richtlinie erstellen, erhalten Sie weitere Informationen in den Schlüsseltextfeldern der Wegweiser-Hilfe.

Voraussetzungen

  • Ein Genehmiger, der unter Umständen kein regulärer Service Broker- oder Cloud Assembly-Benutzer ist, muss über eine der folgenden Rollenkombinationen verfügen:
    • Organisationsmitglied und Service Broker-Benutzer
    • Organisationsmitglied und die benutzerdefinierte Rolle „Genehmigungen verwalten“

    Diese Rollen stellen die niedrigste Berechtigungsstufe bereit, ermöglichen aber dennoch die Genehmigung und Ablehnung einer Anforderung.

  • Stellen Sie sicher, dass der E-Mail-Benachrichtigungsserver festgelegt ist. Weitere Informationen hierzu finden Sie unter Hinzufügen eines E-Mail-Servers in Service Broker zum Senden von Benachrichtigungen.
  • Wenn Sie den Active Directory-Manager als rollenbasierten Genehmigungstyp nutzen möchten, müssen Sie die für vRealize Automation konfigurierte Workspace ONE Access VMware Identity Manager-Integration verwenden. Sie müssen auch die Active Directory-Manager-Attribute in die Benutzerattribute hinzufügen. Weitere Informationen hierzu finden Sie unter Konfigurieren von Active Directory-Attributen für die Genehmigerrolle „AD-Manager“

Prozedur

  1. Wählen Sie Inhalt und Richtlinien > Richtlinien > Definitionen > Neue Richtlinie > Genehmigungsrichtlinie aus.
  2. Genehmigungsrichtlinie 1 konfigurieren.
    Als Administrator verfügen Sie über ein wichtiges Katalogelement, das auch einen erheblichen Teil Ihrer Cloud-Ressourcen verbraucht. Sie möchten, dass mehrere Manager alle Bereitstellungsanforderungen überprüfen, um sicherzustellen, dass die Anforderung wirklich notwendig ist und die zur Unterstützung der Anforderung benötigten Ressourcen vorhanden sind.
    1. Legen Sie fest, wann die Richtlinie gültig ist.
      Einstellung Beispielwert
      Geltungsbereich Organisation

      Diese Richtlinie wird auf alle Projekte in Ihrer Organisation angewendet.

      Kriterien 
      Catalog Item equals CompanyApplication
    2. Definieren Sie das Verhalten bei Genehmigungen.
      Einstellung Beispielwert
      Genehmigungsebene 1

      Sie priorisieren Ebenen basierend auf der Reihenfolge, in der sie verarbeitet werden sollen.
      Genehmigungstyp Wählen Sie Benutzerbasiert aus.

      Sie wählen die Benutzer und Benutzergruppen aus, die als Genehmiger von Anforderungen fungieren.
      Genehmigermodus Alle

      Alle IT-Manager sollen bestätigen, dass die Bereitstellungsanforderung keine Ressourcen verschwendet.
      Genehmiger {GroupName1}@YourCompany, {ApproverName1}@YourCompany, {ApproverName2}@YourCompany

      Die Genehmigungsanforderung wird an alle Mitglieder der Benutzergruppe gesendet. Nur ein Mitglied der Gruppe muss die Anforderung genehmigen.
      Entscheidung bezüglich des automatischen Ablaufs Ablehnen

      Die mögliche Auslastung Ihrer Cloud-Ressourcen bedeutet, dass Sie das Element nicht versehentlich ohne Genehmigung bereitstellen möchten.
      Auslöser des automatischen Ablaufs 3

      Dieser Wert sollte so ausgelegt sein, dass ein längerer Zeitraum (beispielsweise ein verlängertes Wochenende) überbrückt werden kann, wenn keine Manager verfügbar sind.
      Aktionen Deployment.Create
    Wenn ein Katalogverbraucher in diesem Szenario dieses Katalogelement anfordert, müssen Genehmiger 1, Genehmiger 2 und ein beliebiges Mitglied von Benutzergruppe 1 die Anforderung innerhalb von drei Tagen genehmigen. Sonst wird die Anforderung abgelehnt.
  3. Genehmigungsrichtlinie 2 konfigurieren.
    Als Administrator verfügen Sie über verschiedene Projekte, bei denen die Projektadministratoren alle Änderungen an Bereitstellungen mit möglicherweise schwerwiegenden Folgen genehmigen sollen. Beispiel: Löschen der Bereitstellung.
    1. Legen Sie fest, wann die Genehmigungsrichtlinie gültig ist.
      Einstellung Beispielwert
      Geltungsbereich
      Mehrere Projekte 
      Project name contains Prod

      Die Richtlinie wird auf Bereitstellungen angewendet, die mit allen Projekten verknüpft sind, die den Geltungsbereichskriterien entsprechen.
      Kriterien Keine
    2. Definieren Sie das Verhalten bei Genehmigungen.
      Einstellung Beispielwert
      Genehmigungsebene 1
      Genehmigungstyp Wählen Sie Rollenbasiert aus.
      Genehmigerrolle Projektadministratoren

      Weist ein Projekt keinen dedizierten Administrator auf, wird die Genehmigungsrichtlinie nicht auf Anforderungen angewendet, die mit diesem Projekt verknüpft sind.

      Genehmigermodus Alle
      Entscheidung bezüglich des automatischen Ablaufs Ablehnen
      Auslöser des automatischen Ablaufs 7
      Aktionen Deployment.Delete, Deployment.PowerOff, Deployment.Update und alle komponentenspezifischen Einschalt-, Neustart- und Löschaktionen.
    Wenn in diesem Szenario ein Mitglied eines der bereichsbezogenen Projekte eine Anforderung zur Ausführung der aufgelisteten Aktionen für eine Bereitstellung übermittelt, wird die Anforderung nach sieben Tagen abgelehnt, wenn der Projektadministrator nicht antwortet.
  4. Genehmigungsrichtlinie 3 konfigurieren.
    Als Administrator möchten Sie ein wenig die Kontrolle über den Ressourcenverbrauch behalten. Wenn beispielsweise ein Benutzer ein großes Katalogelement anfordert, möchten Sie die Anforderung evaluieren und genehmigen. Die Größe wird durch die Typzuordnungen definiert.
    1. Legen Sie fest, wann die Genehmigungsrichtlinie gültig ist.
      Einstellung Beispielwert
      Geltungsbereich Organisation
      Kriterien 
      Resources has any 
     Flavor equals large
    2. Definieren Sie das Verhalten bei Genehmigungen.
      Einstellung Beispielwert
      Genehmigungsebene 1
      Genehmigungstyp Wählen Sie Benutzerbasiert aus.
      Genehmigermodus Alle
      Genehmiger {AdminName}@YourCompany
      Entscheidung bezüglich des automatischen Ablaufs Ablehnen

      Der mögliche Verbrauch Ihrer Cloud-Ressourcen bedeutet, dass Sie das Element nicht versehentlich ohne Genehmigung bereitstellen möchten.
      Auslöser des automatischen Ablaufs 5
      Aktionen Deployment.Create und alle anwendbaren *.Machine.Resize-Aktionen. Beispiel: Cloud.vSphere.Machine.Resize.
      In diesem Szenario wird die Anforderung nach 5 Tagen abgelehnt, wenn ein Benutzer eine Anforderung für eine große Bereitstellung oder die Änderung der Größe einer Bereitstellung auf „Groß“ übermittelt und der Cloud-Administrator nicht antwortet.

Nächste Maßnahme