V organizáciách, kde zmeny ovplyvňujú produkčné systémy, súhlas jednej osoby zriedka stačí. Migrácia servera potrebuje podpis od vedúceho infraštruktúry, vlastníka aplikácie a prípadne bezpečnostného tímu. Presne toto robí Change Advisory Board (CAB) — a GLPI ho natívne podporuje cez svoj schvaľovací systém.
Ako funguje schvaľovanie v zmenách GLPI
Keď sa v GLPI vytvorí zmena, sekcia schvaľovania umožňuje definovať, kto ju musí schváliť pred začiatkom implementácie. Schvaľovatelia môžu byť:
- Konkrétni používatelia — „Toto musí schváliť Ján Novák"
- Skupiny — „Schváliť môže ktokoľvek z bezpečnostného tímu"
- Viacero úrovní — „Najprv vedúci tímu, potom manažér oddelenia"
Každý schvaľovateľ dostane notifikáciu a môže schváliť alebo zamietnuť priamo z GLPI alebo z e-mailovej notifikácie. Zmena nepostúpi do fázy implementácie, kým nie sú všetky požadované schválenia udelené.
Návrh praktického schvaľovacieho workflow
Nízke riziko: jedno schválenie
Rutinné zmeny ako úprava prahu monitoringu alebo pridanie tlačiarne — stačí jeden schvaľovateľ. Nastavte kategóriu zmeny na „Štandardná" a priraďte vedúceho tímu ako jediného schvaľovateľa. Doba vybavenia: hodiny, nie dni.
Stredné riziko: dvojúrovňové schválenie
Zmeny, ktoré ovplyvňujú produkčnú službu, ale majú jasný plán rollbacku — napríklad upgrade pluginu GLPI alebo úprava pravidla workflow. Prvé schválenie: technický vedúci, ktorý potvrdí, že plán je v poriadku. Druhé schválenie: vlastník služby, ktorý akceptuje obchodné riziko.
Vysoké riziko: review CAB
Veľké infraštruktúrne zmeny, migrácie alebo čokoľvek, čo môže spôsobiť výpadok. CAB v GLPI je jednoducho skupina obsahujúca relevantné zainteresované strany. Keď sa podá zmena s vysokým rizikom, všetci členovia skupiny dostanú notifikáciu. GLPI sleduje hlas každého člena. Môžete nakonfigurovať, či sa vyžaduje jednomyseľnosť alebo väčšina.
Konfigurácia schvaľovacích reťazcov
Schvaľovací systém GLPI podporuje sekvenčné schvaľovanie (Úroveň 1 musí schváliť, než Úroveň 2 vôbec vidí zmenu) a paralelné schvaľovanie (všetci schvaľovatelia vidia zmenu súčasne). Výber závisí od vášho procesu:
- Sekvenčné — použite, keď skorší schvaľovatelia môžu zamietnuť a ušetria tak čas neskorším
- Paralelné — použite, keď záleží na rýchlosti a všetci schvaľovatelia majú hodnotiť nezávisle
Môžete tiež nakonfigurovať pravidlá automatického schvaľovania — ak zmenu konkrétnej kategórie podá používateľ s konkrétnym profilom, môže sa automaticky schváliť a preskočiť manuálny krok. Takto fungujú štandardné/vopred schválené zmeny.
Keď vstavaný schvaľovací systém nestačí
Sekvenčné reťazce a paralelné skupiny pokrývajú väčšinu stredne veľkých nasadení. Ale keď váš proces vyžaduje podmienené smerovanie — schválenie cez bezpečnostného architekta len ak je zmena klasifikovaná ako vysokorizková, potom eskalácia na CAB len ak niekto vetoval — natívne schvaľovanie GLPI narazí na limity konfigurácie. Vytvorili sme Cascade presne na tento tvar problému: viacstupňové kroky s nastaviteľným kvórom, podmienené vetvenie a kompletný audit trail zapisovaný do follow-up logu GLPI. Pre širší pohľad na to, kde štandardné GLPI pokrýva skutočné riadenie zmien a kde končí, pozrite náš pohľad na modul Change.
Čomu sa vyhnúť
- Príliš veľa schvaľovateľov — ak každá zmena potrebuje päť podpisov, ľudia začnú schvaľovať bez čítania. Držte sa nevyhnutného minima.
- Schvaľovanie bez kontextu — schvaľovateľ, ktorý dostane „Prosím schváľte Zmenu #247" bez popisu, ju buď automaticky odklepne, alebo odloží. Vyžadujte vyplnenie polí pre hodnotenie dopadu a plán rollbacku pred žiadosťou o schválenie.
- Žiadna eskalácia pri zaseknutých schváleniach — ak schvaľovateľ neodpovie do 48 hodín, zmena visí v limbu. Nastavte pripomienkovú notifikáciu alebo delegujte oprávnenie na záložného schvaľovateľa.
Cieľom schvaľovacieho workflow nie je spomaľovať veci — je to uistiť sa, že správni ľudia overili plán pred tým, než sa siahne na produkciu. GLPI z toho robí proces na pár kliknutí namiesto e-mailovej konverzácie. Ak nastavujete riadenie zmien od začiatku, konfigurácia schvaľovacích workflow je štandardnou súčasťou nasadenia GLPI — nie samostatná zákazka.