Meine Genehmigungsanfrage wurde nicht empfangen
Wenn eine VaultPAM-Sitzung eine Genehmigung erfordert, sendet VaultPAM eine Benachrichtigung an den festgelegten Genehmiger. Wenn der Genehmiger die Benachrichtigung nie erhält — oder Sie der Genehmiger sind und keine ausstehende Anfrage sehen — ist in der Regel eine von vier Ursachen verantwortlich.
Symptome
- Sie haben eine Sitzungsanfrage gestellt, aber der Genehmiger gibt an, weder eine E-Mail noch eine In-App-Benachrichtigung erhalten zu haben.
- Der Genehmiger prüft das Panel Genehmigungen und sieht keine ausstehenden Anfragen.
- Sie sehen Ihre Anfrage unter Sitzungen → Ausstehend aufgeführt, aber sie läuft schließlich ohne Aktion ab.
- Der Genehmiger hat eine E-Mail erhalten, aber das Klicken auf den Genehmigungslink erzeugt einen Fehler.
Ursachen
1. E-Mail des Genehmigers nicht konfiguriert
VaultPAM sendet Genehmigungsbenachrichtigungen an die registrierte E-Mail-Adresse des Genehmigers und, falls konfiguriert, an einen Slack- oder Webhook-Kanal. Wenn die E-Mail-Adresse des Genehmigers in seinem Profil fehlt oder falsch ist, wird keine Benachrichtigung gesendet.
Prüfung: Öffnen Sie Organisation → Mitglieder → Genehmiger auswählen → Profil. Bestätigen Sie, dass eine E-Mail-Adresse vorhanden und korrekt formatiert ist. Prüfen Sie außerdem, ob das Konto aktiv ist (nicht deaktiviert und nicht in einem ausstehenden Einladungsstatus).
Lösung: Aktualisieren Sie die E-Mail-Adresse des Genehmigers. Wenn der Genehmiger seine Einladung noch nicht angenommen hat, senden Sie die Einladung erneut über Organisation → Mitglieder → Einladung erneut senden. Der Genehmiger muss die Kontoaktivierung abschließen, bevor er Benachrichtigungen empfangen kann.
2. Benachrichtigungskanal offline
VaultPAM kann Genehmigungsbenachrichtigungen über E-Mail (SMTP), Slack oder einen benutzerdefinierten Webhook zustellen. Wenn der ausgehende Kanal nicht verfügbar ist — SMTP-Relay ausgefallen, Slack-App widerrufen oder Webhook-Endpunkt liefert Fehler — schlägt die Zustellung von Benachrichtigungen stillschweigend fehl.
Prüfung für Administratoren: Öffnen Sie Organisation → Benachrichtigungen → Zustellungsstatus (falls verfügbar) oder prüfen Sie die VaultPAM-Systemprotokolle auf SMTP- oder Webhook-Zustellungsfehler. Bestätigen Sie bei Slack, dass die VaultPAM-Slack-App weiterhin im Workspace installiert ist und das Token nicht widerrufen wurde.
Schnelle Umgehungslösung: Genehmiger können das Panel Genehmigungen jederzeit direkt in der VaultPAM-Benutzeroberfläche prüfen, auch wenn E-Mail-Benachrichtigungen fehlschlagen. Bitten Sie den Genehmiger, Genehmigungen zu öffnen und nach der ausstehenden Anfrage zu suchen.
Lösung für Administratoren: Stellen Sie den defekten Benachrichtigungskanal wieder her (starten Sie das SMTP-Relay neu, autorisieren Sie die Slack-App erneut oder beheben Sie den Webhook-Endpunkt). Testen Sie die Zustellung erneut mit einer risikoarmen Sitzungsanfrage.
3. Genehmiger hat keine Berechtigung zum Genehmigen
Ein Genehmiger muss die Rolle Genehmiger für den jeweiligen Safe besitzen, aus dem die Sitzung angefordert wurde. Wenn seine Rolle die Genehmigungsberechtigung nicht enthält, erscheint er nicht in der Genehmigerliste und erhält keine Benachrichtigung. Dies kann passieren, wenn eine Rolle aktualisiert oder ein Safe an einen neuen Eigentümer übertragen wird, ohne die Genehmigerliste zu aktualisieren.
Prüfung: Öffnen Sie Safes → Safe auswählen → Mitglieder und suchen Sie den Genehmiger. Bestätigen Sie, dass seine Rolle die Berechtigung Genehmigen enthält. Wenn der Genehmiger nicht aufgeführt ist, ist er nicht berechtigt, diese Anfrage zu erhalten.
Lösung: Ein Safe-Administrator muss die Rolle des Genehmigers aktualisieren oder ihn mit einer genehmigungsfähigen Rolle zum Safe hinzufügen. Sobald die Rolle korrigiert ist, sollte der Anforderer die aktuelle (nun feststeckende) Anfrage abbrechen und eine neue stellen — der Genehmiger wird dann für die neue Anfrage benachrichtigt.
4. Anfrage abgelaufen
Genehmigungsanfragen haben eine konfigurierbare TTL (Standard: 10 Minuten). Wenn niemand die Anfrage vor Ablauf der TTL genehmigt oder abgelehnt hat, wechselt die Anfrage in den Status Abgelaufen und es kann keine weitere Aktion mehr darauf ausgeführt werden.
Prüfung: Öffnen Sie Sitzungen → Ausstehend oder Sitzungen → Verlauf. Wenn der Anfragestatus Abgelaufen anzeigt, ist die TTL abgelaufen.
Lösung: Stellen Sie eine neue Sitzungsanfrage. Wenn die TTL von 10 Minuten für den Genehmigungsworkflow Ihrer Organisation zu kurz ist, bitten Sie einen VaultPAM-Administrator, sie zu erhöhen: Organisation → Richtlinien → Sitzungsgenehmigungs-TTL.
Lösungsschritte
- Bitten Sie den Genehmiger, das Panel Genehmigungen direkt in VaultPAM zu prüfen — dies funktioniert auch dann, wenn E-Mail-Benachrichtigungen nicht zugestellt werden.
- Öffnen Sie Organisation → Mitglieder → Genehmiger auswählen → Profil und bestätigen Sie, dass die E-Mail-Adresse vorhanden und das Konto aktiv ist.
- Öffnen Sie Safes → Safe auswählen → Mitglieder und bestätigen Sie, dass der Genehmiger eine Rolle hat, die die Berechtigung Genehmigen für diesen Safe enthält.
- Prüfen Sie Sitzungen → Ausstehend oder Sitzungen → Verlauf, um zu sehen, ob die Anfrage bereits Abgelaufen ist. Falls ja, stellen Sie eine neue Anfrage.
- Wenn der Genehmiger die Anfrage im Panel Genehmigungen sehen kann, aber keine E-Mail erhalten hat, bitten Sie einen Administrator, den Benachrichtigungskanal unter Organisation → Benachrichtigungen zu untersuchen.
- Wenn die Genehmigung dringend ist und der normale Genehmiger nicht verfügbar ist, bitten Sie einen Safe-Administrator, die Anfrage direkt über die VaultPAM-Benutzeroberfläche zu genehmigen.
Eskalationspfad
Wenn die obigen Schritte das Problem nicht beheben:
- Notieren Sie die Sitzungsanfrage-ID (sichtbar unter Sitzungen → Verlauf), den Namen des Safe und die E-Mail-Adresse des vorgesehenen Genehmigers.
- Bitten Sie einen Administrator, die VaultPAM-Systemprotokolle auf SMTP- oder Webhook-Zustellungsfehler zum Zeitpunkt der Anfragestellung zu prüfen.
- Wenn bestätigt ist, dass der Benachrichtigungskanal funktioniert, die Anfragen aber dennoch nicht ankommen, eröffnen Sie ein Support-Ticket mit der Sitzungsanfrage-ID und den Profildetails des Genehmigers.