核准原則是您新增的管理層級,用於在執行部署和第 2 天動作請求之前對其進行控制。您可以在 Service Broker 中定義核准原則,以便您或指定的其他使用者能夠在資源耗用或銷毀之前檢閱請求。此程序中的核准原則使用案例是一項簡介,可供您在探索管理選項時使用。
如果您僅有一個小型團隊新增和部署目錄項目,則核准原則可能會不太有用。但是,當您將目錄提供給規模更大的一組開發人員和一般取用者時,您可以使用核准原則以確保有人在耗用資源或對已佈建項目進行變更之前檢閱請求。
例如,您有一個重要的目錄項目,但它會耗用大量資源。您希望由其中一個 IT 管理員檢閱任何部署請求,以確保需要該請求。另一個範例適用於第 2 天動作。變更由多人使用的部署可能會造成破壞。您希望管理該團隊部署的專案管理員檢閱已部署目錄項目的所有變更。
哪些人會使用核准原則,或哪些人會受到此原則的影響?
- Service Broker 管理員。設定原則。
- 目錄取用者。請求套用一或多個原則之目錄項目或第 2 天動作的使用者。
- 在 Cloud Assembly 中部署雲端範本的使用者。在套用一或多個原則的 Cloud Assembly 中請求範本或第 2 天動作的使用者。
- 指定的核准者。必須檢閱並核准或拒絕請求的使用者。您可以向所選使用者和使用者群組授與核准者權限,也可以從以下核准者角色中進行選擇。
- AD 管理員。具有管理員屬性的 Active Directory 使用者。請參閱為 AD 管理員核准者角色設定 Active Directory 屬性
- 專案管理員。原則範圍內的專案管理員會自動指派為核准者。如果專案沒有專用管理員,則核准原則不會套用至該專案。
- 專案主管。原則範圍內指派了主管角色的專案成員。主管存取權限僅限於核准和拒絕專案的部署請求。如果專案沒有專用主管,則核准原則不會套用至該專案。
如果強制執行核准原則,會發生什麼情況?
可強制執行多個核准原則。系統會評估核准原則,並將強制執行的原則套用至請求。如果有多個有效原則,且核准者是不同的人員,則會新增所有核准者。當您有多個原則時,請務必瞭解此程序。如需詳細資訊,請參閱核准原則目標和強制執行範例。
- 已定義核准原則。
- 使用者請求目錄項目或第 2 天動作。在請求時,Service Broker 評估會目錄項目以確認是否套用了任何原則。
- 隨即強制執行核准原則。
- 部署卡會顯示狀態。例如,建立 - 核准擱置中。
- 系統會將電子郵件通知傳送給請求者。請參閱如何追蹤需要核准的請求。
- 系統會將電子郵件通知傳送給核准者。請參閱如何回應核准請求。
在核准請求之前,此部署不會開始部署和耗用基礎結構資源,也不會對已部署的系統進行變更。請求使用者會收到請求正等待核准的電子郵件通知。
- 核准者使用 Service Broker 中的 [核准] 頁面回應請求。
- 核准程序已完成。
- 如果請求遭到拒絕,系統會通知請求使用者,並取消部署請求。
- 如果請求已獲核准,則部署會繼續進行。
- 可以將強制執行的原則設定為在核准者未採取任何動作時自動核准或拒絕請求。
如何使用部署準則?
若要限制原則套用到的項目或活動,您可以定義部署準則。如需有關準則的詳細資訊,請參閱如何在 Service Broker 原則中設定部署準則。
核准原則限制
- 變更租用動作不可納入核准原則中。
- 不支援在原則準則中使用自訂資源作為資源類型。
當您檢閱核准原則使用案例並建立您自己的原則時,請參閱關鍵文字方塊中的路標說明以取得詳細資訊。
必要條件
- 核准者 (可能不是一般 Service Broker 或 Cloud Assembly 使用者) 必須擁有以下角色組合之一:
- 組織成員和 Service Broker 使用者
- 組織成員和「管理核准」自訂角色
這些角色提供最低層級的權限,並且仍允許他們核准或拒絕請求。
- 確認已定義電子郵件通知伺服器。請參閱在 Service Broker 中新增電子郵件伺服器以傳送通知。
- 如果計劃使用 Active Directory 管理員作為角色型核准類型,則必須使用針對 vRealize Automation 設定的 Workspace One Access VMware Identity Manager 整合。此外,還必須在使用者屬性中包含 Active Directory 管理員屬性。請參閱為 AD 管理員核准者角色設定 Active Directory 屬性
程序
下一步
- 如需有關如何處理核准原則的詳細資訊,請參閱 核准原則目標和強制執行範例。
- 如需有關如何處理多層級核准的詳細資訊,請參閱 在 Service Broker 中設定多層級核准原則。
- 如需有關取用者和核准者體驗的詳細資訊,請參閱 如何追蹤需要核准的請求和 如何回應核准請求。