Wer ist hier der Boss? vRA Approval per AD-Manager

Von | 1. Dezember 2016

boss-1020725_640

Eine der wichtigen Funktionen von vRealize Automation ist die Möglichkeit, für diverse Prozesse einen Bestätigungsworkflow zu integrierten. Dabei wird sehr häufig beim Anfordern eines Blueprints die Bestätigung einer Dritt-Person (z.B. Abteilungsleiter, Teamleiter, Kostenstellenverantwortlicher) gewünscht. In vRealize Automation kann die jeweilige Person fest in den Approval-Einstellungen hinterlegt werden. Gerade in Zeiten, in denen sich in Firmenstrukturen viel verändert, ist dies eine recht statische und unflexible Option. Um dem entgegenzukommen, bietet vRealize Automation auch die Möglichkeit, den Manager des beantragenden Benutzers direkt aus Active Directory auszulesen und somit die Bestätigungsnachricht an den Manager-Benutzer zu versenden. Dieser Artikel beschreibt, die diese Funktion konfiguriert wird.

Grundsätzlich gibt es zwei Möglichkeiten, für einen Benutzer eine Bestätigungsanfrage zu bearbeiten: Per E-Mail oder über die vRealize Automation Benutzeroberfläche. In dieser Beschreibung wird primär der Weg per E-Mail beschrieben. Dafür ist eine Konfiguration von E-Mail-Servern etc. erforderlich gemäß der Standart-Produktdokumentation, worauf in der Beschreibung hier nicht näher eingegangen wird.

Voraussetzungen im Active Directory

Von Seiten AD müssen prinzipiell zwei Voraussetzungen gegeben sein, um einen Bestätigungsworkflow per E-Mail auslösen zu können:

  • Der Benutzer, der einen Bestätigungsworkflow bearbeiten soll (annehmen, ablehnen) muss eine E-Mail-Adresse in seinem Active Directory Account eingetragen haben.
  • Der Benutzer, der einen Katalogeintrag bestellt und dessen Manager die Anfrage bestätigen soll, muss den Manager-Account in seinem AD-Benutzerkonto hinterlegt haben.

Beispiel: Hinterlegung E-Mail-Adresse im AD-Account des Managers

vra-ad-mgr-approval-02

Beispiel: Hinterlegung Manager-Benutzer-Konto im Bereich „manager“ des AD-Kontos

vra-ad-mgr-approval-01

Synchronisation der Active Directory-Daten

Nach erfolgreichem Eintrag der Daten in Active Directory muss in vRealize Automation noch die Information hinterlegt werden, welches Feld aus dem AD als „manager“ interpretiert wird. Per Default ist diese Einstellung nicht aktiviert. D.h. man muss beim AD Identity Provider die Sync-Settings modifzieren. Im Detail sind die „mapped attributes“ dort anzupassen, so dass das Attribut „manager“ des Identity Managers mit dem Attribut „manager“ von Active Directory verknüpft wird:

vra-ad-mgr-approval-03

vra-ad-mgr-approval-04

vra-ad-mgr-approval-05

Änderungen in den Sync-Einstellungen werden erst beim nächsten Synchronisationsvorgang übernommen. D.h. für die direkte Anwendung der Einstellungen muss ein manueller Sync-Vorgang angestoßen werden (siehe sync now Button im oberen Screenshot).

Approval-Konfiguration in vRealize Automation

Sind alle Vorbereitungen getroffen, kann die eigentliche Approval-Policy angelegt werden. Zuerst wird der Policy-Type ausgewählt, ein Name vergeben und ein neuer Approval-Level erstellt:

vra-ad-mgr-approval-06

vra-ad-mgr-approval-07

Wichtig ist nun die Auswahl „Determine approvers from the request“ und darauf folgend der Wert „Request by“ à „manager“. Dadurch wird vRA angewiesen, das Manager-Attribut des beantragenden Benutzers im Active Directory auszuwerten und den hinterlegten Benutzer bzgl. des Approvals zu kontaktieren.

vra-ad-mgr-approval-08

vra-ad-mgr-approval-09

Aktivierung des Approvals

Wie bei jeder Approval-Policy muss definiert werden, wann diese verwendet wird. Diese Einstellung wird in den Parametern des „Entitlements“ hinterlegt. Nähere Informationen dazu sind in der Dokumentation zu finden.

vra-ad-mgr-approval-10

vra-ad-mgr-approval-11

vra-ad-mgr-approval-12

Test des Approval Workflows

Nachdem die Konfiguration jetzt erfolgreich abgeschlossen ist, erfolgt der Test des Prozesses. In diesem Beispiel wird über den Benutzer vrauser ein Ubuntu 11.04-Blueprint erstellt. Daraufhin erhält der Benutzer vraadmin eine E-Mail zur Bestätigung des Prozesses und kann dies demnach bestätigen oder ablehnen. Erst nachdem der Approver dem Vorgang zugestimmt hat, findet der eigentliche Provisionierungsprozess der VM statt.

vra-ad-mgr-approval-13

vra-ad-mgr-approval-14

vra-ad-mgr-approval-15

print

Christian Ferber
Letzte Artikel von Christian Ferber (Alle anzeigen)
Kategorie: Aria Automation Unkategorisiert

Über Christian Ferber

Christian has joined VMware in July 2015 as Senior Systems Engineer Cloud Management. Through his work in various cloud projects before and at VMware he has gained experience in datacenter, server, storage, networking and cloud management technologies. Today his primary focus is on automation and operation topics with integration into many surrounding solutions like containers, configuration management, directory services and others. He is responsible for the management components in the VMware Cloud Foundation (VCF) product family for enterprise customers in Germany.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.