Fluxos de Aprovação
Os Fluxos de Aprovação definem quando ações de identidade devem ser revisadas por humanos antes da execução. Toda a configuração fica em Configurações → Fluxos de Aprovação.
Como o sistema decide se um lote precisa de aprovação
Ao planejar as ações para um funcionário ou evento, o sistema aplica duas verificações independentes; basta uma delas falhar para o conjunto virar um lote de aprovação:
- Lista de Auto-Aprovação — define os tipos de ação que podem ser executados imediatamente. Tipos fora dessa lista exigem revisão manual.
- Proteção contra Operações em Massa — quando a quantidade total de ações em um único ciclo atinge o limite configurado, o lote inteiro é enviado para revisão, mesmo que todos os tipos estejam pré-aprovados.
Mistura dentro de um lote
Se um lote precisa ir para aprovação por causa de um tipo fora da lista, os demais tipos (que estão na lista) são executados imediatamente — só as ações que de fato exigem revisão ficam dentro do lote. Isso evita parar provisionamentos triviais por causa de uma única ação sensível na mesma onda.
Lista de Auto-Aprovação
Em Fluxos de Aprovação, marque os tipos de ação que devem ser executados sem revisão manual. Recomendações:
| Tipo de Ação | Recomendação |
|---|---|
| Atualizar atributos (Update) | Auto-aprovar — baixa criticidade |
| Adicionar a grupo | Auto-aprovar — quase sempre seguro |
| Atribuir licença | Auto-aprovar — caso queira velocidade no onboarding |
| Criar conta | Considerar — depende da maturidade do mapeamento |
| Habilitar conta | Considerar — útil quando o RH é confiável |
| Desabilitar conta | Não auto-aprovar inicialmente — começa restritivo |
| Remover de grupo | Não auto-aprovar inicialmente |
| Remover licença | Não auto-aprovar inicialmente |
| Renomear conta | Nunca auto-aprovar — operação delicada |
Comece com a lista vazia ou só com ações triviais e amplie conforme ganhar confiança.
Proteção contra Operações em Massa
Configure um limite numérico. Quando um ciclo de planejamento produz >= limite ações, o lote inteiro é enviado para revisão por proteção contra volume excessivo. Isso protege contra:
- Erros recentes no mapeamento de campos que alteraram tudo de uma vez
- Falhas no RH (ex.: todos os funcionários voltaram com status "Desligado")
- Mudanças amplas de regras que afetariam toda a base
Use um valor proporcional ao tamanho da organização — não tão baixo que vire ruído, não tão alto que perca o efeito protetivo.
Destinatários e Notificações
Quem aprova é definido pelo papel do usuário (Admin ou Approver). Quem recebe e-mail quando um lote é criado é configurado em Configurações → Notificações, com idioma e fuso por destinatário. Veja Notificações.
Auditoria
Cada lote registra:
- Motivo da aprovação (aprovação manual necessária, proteção contra volume excessivo, ou outro) e informação de contexto associada
- Quem aprovou ou rejeitou
- Data/hora da decisão
- Comentário do revisor
- Resultado de cada ação executada
Toda essa informação fica disponível na própria página de Aprovações e nos relatórios.
Boas Práticas
Recomendações
- Comece restritivo: lista de auto-aprovação vazia, depois amplie um tipo de cada vez.
- Reveja semanalmente os lotes recém-aprovados para ajustar a lista — se um tipo está sendo sempre aprovado sem revisão real, é candidato a entrar na lista.
- Calibre o limite de proteção em massa: muito baixo gera lotes demais; muito alto reduz a proteção. Defina à partir do volume típico de mudanças por ciclo.
- Múltiplos aprovadores: tenha pelo menos dois usuários com papel Approver ativos.
Próximos Passos
- Aprovações (Conceito) - Entenda o modelo (kinds, triggers, allow-list)
- Notificações - Para onde os e-mails de aprovação vão
- Usuários - Quem tem papel Approver