Les stratégies d'approbation sont un niveau de gouvernance que vous ajoutez pour exercer le contrôle sur le déploiement et les demandes d'action de jour 2 avant leur exécution. Vous pouvez définir des stratégies d'approbation dans Service Broker de sorte que vous, ou d'autres personnes que vous désignez, vérifiez les demandes avant que les ressources soient consommées ou détruites. Les cas d'utilisation d'une stratégie d'approbation dans cette procédure constituent une introduction que vous pouvez utiliser lorsque vous explorez vos options de gouvernance.

Si vous disposez d'une petite équipe pour l'ajout et le déploiement des éléments de catalogue, les stratégies d'approbation peuvent être moins utiles. Mais lorsque vous mettez le catalogue à disposition d'un plus grand groupe de développeurs et d'utilisateurs généraux, vous pouvez utiliser les stratégies d'approbation pour vous assurer qu'une personne vérifie une demande avant que les ressources soient consommées ou que des modifications soient apportées aux éléments provisionnés.

Par exemple, vous disposez d'un élément de catalogue important, mais celui-ci consomme une quantité importante de ressources. Vous souhaitez que l'un de vos administrateurs informatique vérifie les demandes de déploiement afin de vous assurer que la demande est nécessaire. Un autre exemple s'applique aux actions de jour 2. Les modifications apportées à un déploiement utilisé par de nombreuses personnes peuvent être dévastatrices. Vous souhaitez que l'administrateur de projet gère le déploiement de cette équipe en vérifiant toutes les modifications apportées à l'élément de catalogue déployé.

Qui utilise ou est affecté par des stratégies d'approbation ?

  • Administrateur de Service Broker. Configure les stratégies.
  • Utilisateurs du catalogue. Utilisateurs qui demandent des éléments de catalogue ou des actions de jour 2 auxquels une ou plusieurs stratégies s'appliquent.
  • Utilisateurs qui déploient des modèles de cloud dans Cloud Assembly. Utilisateurs qui demandent des modèles ou des actions de jour 2 dans Cloud Assembly auxquels une ou plusieurs stratégies s'appliquent.
  • Approbateurs désignés. Utilisateurs qui doivent vérifier, puis approuver ou rejeter une demande. Vous pouvez accorder des droits d'approbateur aux utilisateurs et groupes d'utilisateurs sélectionnés, ou choisir l'un des rôles d'approbateur suivants.
    • Gestionnaire AD. Utilisateur Active Directory avec attributs de gestionnaire. Reportez-vous à la section Configurer les attributs Active Directory pour le rôle d'approbateur d'AD Manager
    • Administrateurs de projet. Les administrateurs de projet dans l'étendue de la stratégie sont automatiquement attribués en tant qu'approbateurs. Si un projet n'a pas d'administrateur dédié, la stratégie d'approbation n'est pas appliquée à ce projet.
    • Superviseurs de projet. Membres de projets dans l'étendue de la stratégie auxquels le rôle de superviseur est attribué. Les droits d'accès de superviseur sont limités à l'approbation et au rejet des demandes de déploiement d'un projet. Si un projet ne comprend pas de superviseur dédié, la stratégie d'approbation n'est pas appliquée à ce projet.

Que se passe-t-il lorsque des stratégies d'approbation sont appliquées ?

Il est possible d'appliquer plusieurs stratégies d'approbation. Les stratégies d'approbation sont évaluées et une stratégie est appliquée à la demande. Lorsque plusieurs stratégies sont valides, si les approbateurs sont des personnes différentes, tous les approbateurs sont ajoutés. Il est important de comprendre ce processus lorsque vous disposez de plusieurs stratégies. Pour plus d'informations, reportez-vous à la section Objectifs de stratégie d'approbation et exemples d'application.

  1. Les stratégies d'approbation sont définies.
  2. Un utilisateur demande un élément de catalogue ou une action de jour 2. Au moment de la demande, Service Broker évalue l'élément du catalogue pour voir si des stratégies s'appliquent.
  3. Une stratégie d'approbation est appliquée.
    1. La fiche du déploiement affiche l'état. Par exemple, Créer - Approbation en attente.
    2. Une notification par e-mail est envoyée au demandeur. Reportez-vous à la section Suivi des demandes nécessitant une approbation.
    3. Une notification par e-mail est envoyée aux approbateurs. Reportez-vous à la section Réponse à une demande d'approbation.

      Le déploiement ne commence pas à déployer et à consommer des ressources d'infrastructure, ni à apporter des modifications à un système déployé, tant que la demande n'est pas approuvée. L'utilisateur demandeur est informé par e-mail que la demande est en attente d'approbation.

    4. Les approbateurs répondent à la demande à l'aide de la page Approbations dans Service Broker.
  4. Le processus d'approbation est terminé.
    1. Si la demande est refusée, l'utilisateur demandeur est informé et la demande de déploiement est annulée.
    2. Si la demande est approuvée, le déploiement se poursuit.
    3. Il est possible que la stratégie appliquée soit configurée pour approuver ou rejeter automatiquement une demande si l'approbateur ne prend aucune mesure.

Comment puis-je utiliser les critères de déploiement ?

Vous pouvez définir les critères de déploiement pour limiter les éléments ou les activités auxquels la stratégie s'applique. Pour plus d'informations sur les critères, reportez-vous à la section Configuration des critères de déploiement dans les stratégies Service Broker.

Contraintes de la stratégie d'approbation

  • Il n'est pas possible d'inclure l'action Modifier le bail dans une stratégie d'approbation.
  • L'utilisation de ressources personnalisées comme type de ressource dans les critères de stratégie n'est pas prise en charge.

Lors de la vérification du cas d'utilisation des stratégies d'approbation et de la création de votre propre stratégie, consultez l'aide thématique dans les zones de texte clé pour plus d'informations.

Conditions préalables

  • Un approbateur, qui peut ne pas être un utilisateur régulier de Service Broker ou Cloud Assembly, doit disposer de l'une des combinaisons de rôles suivantes :
    • Membre d'organisation et utilisateur de Service Broker
    • Membre d'organisation et rôle personnalisé Gérer les approbations

    Ces rôles fournissent le niveau minimal d'autorisations aux approbateurs et les autorisent malgré tout à approuver ou à rejeter une demande.

  • Vérifiez que le serveur de notifications par e-mail est défini. Reportez-vous à la section Ajouter un serveur de messagerie dans Service Broker pour envoyer des notifications.
  • Si vous prévoyez d'utiliser le gestionnaire Active Directory comme type d'approbation basé sur les rôles, vous devez utiliser l'intégration de Workspace ONE Access VMware Identity Manager configurée pour vRealize Automation. Vous devez également inclure les attributs du gestionnaire Active Directory dans les attributs utilisateur. Reportez-vous à la section Configurer les attributs Active Directory pour le rôle d'approbateur d'AD Manager

Procédure

  1. Sélectionner Contenu et stratégies > Stratégies > Définitions > Nouvelle stratégie > Stratégie d'approbation.
  2. Configurez la stratégie d'approbation 1.
    En tant qu'administrateur, vous disposez d'un élément de catalogue important qui consomme également une quantité importante de vos ressources de cloud. Vous souhaitez que plusieurs gestionnaires vérifient les demandes de déploiement afin de vous assurer que la demande est réellement nécessaire et que les ressources existent pour la prendre en charge.
    1. Définissez les critères de validité de la stratégie.
      Paramètre Exemple de valeur
      Portée Organisation

      Cette stratégie s'applique à tous les projets de votre organisation.

      Critères
      Catalog Item equals CompanyApplication
    2. Définissez le comportement d'approbation.
      Paramètre Exemple de valeur
      Niveau d'approbation 1

      Vous priorisez les niveaux selon l'ordre dans lequel vous souhaitez qu'ils soient traités.

      Type d'approbation Sélectionnez Basé sur l'utilisateur.

      Vous sélectionnez les utilisateurs ou les groupes d'utilisateurs qui sont les approbateurs de la demande.

      Mode approbateur Tout

      Vous souhaitez que tous vos gestionnaires informatique acceptent que la demande de déploiement ne gaspille pas de ressources.

      Approbateurs {GroupName1}@YourCompany, {ApproverName1}@YourCompany, {ApproverName2}@YourCompany

      La demande d’approbation est envoyée à tous les membres du groupe d’utilisateurs. Un seul membre du groupe doit approuver la demande.

      Décision d'expiration automatique Rejeter

      La charge possible sur vos ressources de cloud signifie que vous ne souhaitez pas déployer par inadvertance l'élément sans approbation.

      Déclencheur d'expiration automatique 3

      Cette valeur doit vous permettre de laisser passer un long week-end lorsque les gestionnaires ne sont pas disponibles.

      Actions Deployment.Create
    Dans ce scénario, si un utilisateur de catalogue demande cet élément de catalogue, l'approbateur 1, l'approbateur 2 et tout membre du groupe d'utilisateurs 1 doit approuver la demande dans les 3 jours ou la demande est rejetée.
  3. Configurez la stratégie d'approbation 2.
    En tant qu'administrateur, vous avez plusieurs projets pour lesquels vous souhaitez que les administrateurs de projet approuvent toutes les modifications apportées aux déploiements qui peuvent avoir des conséquences catastrophiques. Par exemple, la suppression du déploiement.
    1. Définissez les critères de validité de la stratégie d'approbation.
      Paramètre Exemple de valeur
      Portée
      Projets multiples
      Project name contains Prod

      La stratégie est appliquée aux déploiements associés à tous les projets qui correspondent aux critères d'étendue.

      Critères aucune
    2. Définissez le comportement d'approbation.
      Paramètre Exemple de valeur
      Niveau d'approbation 1
      Type d'approbation Sélectionnez Basé sur les rôles.
      Rôle d'approbateur Administrateurs de projet

      Si un projet ne dispose pas d'un administrateur dédié, la stratégie d'approbation n'est pas appliquée aux demandes associées à ce projet.

      Mode approbateur Tout
      Décision d'expiration automatique Rejeter
      Déclencheur d'expiration automatique 7
      Actions Deployment.Delete, Deployment.PowerOff, Deployment.Update et l'une des actions d'alimentation, de redémarrage et de suppression spécifiques aux composants.
    Dans ce scénario, lorsqu'un membre de l'un des projets étendus envoie une demande visant à exécuter les actions répertoriées sur un déploiement, la demande est rejetée après sept jours si l'administrateur du projet n'y répond pas.
  4. Configurez la stratégie d'approbation 3.
    En tant qu'administrateur, vous souhaitez maintenir un peu de contrôle sur la consommation des ressources. Par exemple, lorsqu'un utilisateur demande un élément de catalogue dont la taille est importante, vous souhaitez évaluer et approuver la demande. La taille est définie par les mappages de type.
    1. Définissez les critères de validité de la stratégie d'approbation.
      Paramètre Exemple de valeur
      Portée Organisation
      Critères
      Resources has any 
           Flavor equals large
    2. Définissez le comportement d'approbation.
      Paramètre Exemple de valeur
      Niveau d'approbation 1
      Type d'approbation Sélectionnez Basé sur l'utilisateur.
      Mode approbateur Tout
      Approbateurs {AdminName}@YourCompany
      Décision d'expiration automatique Rejeter

      La consommation possible de vos ressources de cloud signifie que vous ne souhaitez pas déployer par inadvertance l'élément sans approbation.

      Déclencheur d'expiration automatique 5
      Actions Action Deployment.Create et toute action applicable *.Machine.Resize. Par exemple, Cloud.vSphere.Machine.Resize.
      Dans ce scénario, lorsqu'un utilisateur envoie une demande pour un grand déploiement ou pour redimensionner un déploiement à une grande taille, la demande est rejetée après 5 jours si l'administrateur de cloud n'y répond pas.

Que faire ensuite