审批步骤是 AI 自动化中最重要的治理控制之一。它们确保人工在关键输出到达客户、被发布或触发财务交易之前进行审核。但一直存在摩擦问题:审批人必须登录控制台、导航到审批队列、审核上下文,然后点击批准或拒绝。对于生活在电子邮件中的忙碌经理和高管来说,这种上下文切换是工作流杀手。
我们构建了基于邮件的审批来完全消除这种摩擦。
工作方式
当工作流到达配置了邮件投递的审批步骤时,以下流程自动执行:
- 工作流暂停 —— 执行引擎将工作流停放在”等待审批”状态,就像基于控制台的审批一样。
- 上下文邮件发送 —— 向指定审批人发送一封包含工作流上下文摘要的电子邮件:是什么触发了它、之前的步骤产生了什么,以及根据决定接下来会发生什么。
- 一键操作按钮 —— 邮件包含醒目的批准和拒绝按钮。每个按钮包含唯一的签名操作 URL。
- 决策捕获 —— 当审批人点击按钮时,操作 URL 解析到一个轻量级 API 端点,验证令牌并记录决策。
- 工作流恢复 —— 执行引擎从暂停的确切位置恢复工作流,审批决策和审批人元数据可供后续步骤使用。
从审批人的角度来看,整个流程只需几秒钟。打开邮件、审核上下文、点击按钮。无需登录。
安全设计
基于邮件的审批必须至少与基于控制台的审批一样安全。以下是令牌系统的工作方式:
HMAC 签名令牌 —— 每个操作 URL 包含一个使用 HMAC-SHA256 和服务器端密钥签名的令牌。令牌编码工作流执行 ID、审批步骤 ID、操作(批准或拒绝)和过期时间戳。篡改任何字段都会使签名失效。
可配置过期 —— 令牌在可配置的时间后过期,默认 72 小时。过期后,点击按钮返回清晰的错误消息,引导审批人到控制台。这防止了过期的审批在数周后执行。
一次性执行 —— 每个令牌只能使用一次。首次点击后,令牌被标记为已消费。对同一按钮(或相反按钮)的后续点击返回”决策已记录”消息。这防止了重放攻击和重复提交。
轻量级验证端点 —— 操作 URL 解析到一个专用 API 端点,验证 HMAC 签名、检查令牌过期、验证一次性状态、记录决策并恢复工作流。不需要会话或认证 cookie,因为签名令牌本身就是凭据。
在工作流编辑器中配置邮件审批
工作流创建者使用他们已经熟悉的 ApprovalStepEditor UI 配置基于邮件的审批。唯一的新选项是投递方式选择器:
- 仅控制台(默认)—— 审批出现在控制台审批队列中。审批人必须登录。
- 邮件通知 —— 向指定审批人发送带一键操作按钮的审批邮件。审批也作为后备出现在控制台队列中。
- 两者 —— 邮件通知加控制台队列条目。在团队采用邮件审批的过渡期间有用。
审批人的电子邮件地址从其 RBAC 用户配置文件中自动提取。如果指定的审批人角色映射到多个用户,每个人都收到邮件,第一个操作的人捕获决策。
审计追踪和合规
每个基于邮件的审批生成与基于控制台的审批相同的审计记录,加上特定于邮件渠道的额外元数据:
- 批准或拒绝的时间戳
- 执行操作的审批人邮箱地址
- 采取的操作(批准或拒绝)
- 点击操作 URL 的客户端 IP 地址
- 客户端的用户代理
- 令牌过期和操作时的剩余时间
- 审批步骤时的工作流上下文快照
此审计追踪满足与基于控制台审批相同的合规要求。对于受 SOC 2、HIPAA 或 SOX 约束的组织,基于邮件的审批日志提供等效的人工审核和授权证据。
用例
基于邮件的审批为之前因登录摩擦而避免审批步骤的团队解锁了治理:
内容发布管道 —— 编辑使用 AI 配方起草博客文章。工作流生成文章,然后到达审批步骤。市场经理在手机上收到邮件,阅读摘要,在会议间隙点击批准。工作流继续从批准的草稿生成社交媒体帖子和新闻通讯内容。
财务交易工作流 —— 分析师使用自动化工作流准备发票批次。CFO 收到审批邮件,附带批次总额、行项目数和供应商分解的摘要。一次点击批准,批次进入支付系统。
部署门控 —— 工程师通过自动化部署工作流提交配置更改。DevOps 负责人收到审批邮件,附带差异摘要和环境目标。从 Slack 的邮件集成或直接从收件箱批准。
开始使用
基于邮件的审批在所有计划上可用。打开任何包含审批步骤的工作流,选择”邮件通知”作为投递方式,然后运行工作流。指定的审批人将在工作流到达审批门的几秒钟内收到邮件。
对于已经使用审批步骤的团队,启用邮件投递是每个步骤的一键配置更改。无需重构工作流。