Eine der wichtigen Funktionen von vRealize Automation ist die Möglichkeit, für diverse Prozesse einen Bestätigungsworkflow zu integrierten. Dabei wird sehr häufig beim Anfordern eines Blueprints die Bestätigung einer Dritt-Person (z.B. Abteilungsleiter, Teamleiter, Kostenstellenverantwortlicher) gewünscht. In vRealize Automation kann die jeweilige Person fest in den Approval-Einstellungen hinterlegt werden. Gerade in Zeiten, in denen sich in Firmenstrukturen viel verändert, ist dies eine recht statische und unflexible Option. Um dem entgegenzukommen, bietet vRealize Automation auch die Möglichkeit, den Manager des beantragenden Benutzers direkt aus Active Directory auszulesen und somit die Bestätigungsnachricht an den Manager-Benutzer zu versenden. Dieser Artikel beschreibt, die diese Funktion konfiguriert wird.
Grundsätzlich gibt es zwei Möglichkeiten, für einen Benutzer eine Bestätigungsanfrage zu bearbeiten: Per E-Mail oder über die vRealize Automation Benutzeroberfläche. In dieser Beschreibung wird primär der Weg per E-Mail beschrieben. Dafür ist eine Konfiguration von E-Mail-Servern etc. erforderlich gemäß der Standart-Produktdokumentation, worauf in der Beschreibung hier nicht näher eingegangen wird.
Voraussetzungen im Active Directory
Von Seiten AD müssen prinzipiell zwei Voraussetzungen gegeben sein, um einen Bestätigungsworkflow per E-Mail auslösen zu können:
- Der Benutzer, der einen Bestätigungsworkflow bearbeiten soll (annehmen, ablehnen) muss eine E-Mail-Adresse in seinem Active Directory Account eingetragen haben.
- Der Benutzer, der einen Katalogeintrag bestellt und dessen Manager die Anfrage bestätigen soll, muss den Manager-Account in seinem AD-Benutzerkonto hinterlegt haben.
Beispiel: Hinterlegung E-Mail-Adresse im AD-Account des Managers
Beispiel: Hinterlegung Manager-Benutzer-Konto im Bereich „manager“ des AD-Kontos
Synchronisation der Active Directory-Daten
Nach erfolgreichem Eintrag der Daten in Active Directory muss in vRealize Automation noch die Information hinterlegt werden, welches Feld aus dem AD als „manager“ interpretiert wird. Per Default ist diese Einstellung nicht aktiviert. D.h. man muss beim AD Identity Provider die Sync-Settings modifzieren. Im Detail sind die „mapped attributes“ dort anzupassen, so dass das Attribut „manager“ des Identity Managers mit dem Attribut „manager“ von Active Directory verknüpft wird:
Änderungen in den Sync-Einstellungen werden erst beim nächsten Synchronisationsvorgang übernommen. D.h. für die direkte Anwendung der Einstellungen muss ein manueller Sync-Vorgang angestoßen werden (siehe sync now Button im oberen Screenshot).
Approval-Konfiguration in vRealize Automation
Sind alle Vorbereitungen getroffen, kann die eigentliche Approval-Policy angelegt werden. Zuerst wird der Policy-Type ausgewählt, ein Name vergeben und ein neuer Approval-Level erstellt:
Wichtig ist nun die Auswahl „Determine approvers from the request“ und darauf folgend der Wert „Request by“ à „manager“. Dadurch wird vRA angewiesen, das Manager-Attribut des beantragenden Benutzers im Active Directory auszuwerten und den hinterlegten Benutzer bzgl. des Approvals zu kontaktieren.
Aktivierung des Approvals
Wie bei jeder Approval-Policy muss definiert werden, wann diese verwendet wird. Diese Einstellung wird in den Parametern des „Entitlements“ hinterlegt. Nähere Informationen dazu sind in der Dokumentation zu finden.
Test des Approval Workflows
Nachdem die Konfiguration jetzt erfolgreich abgeschlossen ist, erfolgt der Test des Prozesses. In diesem Beispiel wird über den Benutzer vrauser ein Ubuntu 11.04-Blueprint erstellt. Daraufhin erhält der Benutzer vraadmin eine E-Mail zur Bestätigung des Prozesses und kann dies demnach bestätigen oder ablehnen. Erst nachdem der Approver dem Vorgang zugestimmt hat, findet der eigentliche Provisionierungsprozess der VM statt.
- vRealize Automation ISO Upload und Mount - 14. November 2018
- vRealize Automation mit Ansible und Git - 8. März 2018
- Wer ist hier der Boss? vRA Approval per AD-Manager - 1. Dezember 2016