Ma demande d'approbation n'a pas été reçue
Lorsqu'une session VaultPAM nécessite une approbation, VaultPAM envoie une notification à l'approbateur désigné. Si l'approbateur ne reçoit jamais la notification — ou si vous êtes l'approbateur et que vous ne voyez aucune demande en attente — l'une des quatre causes suivantes en est généralement responsable.
Symptômes
- Vous avez soumis une demande de session, mais l'approbateur indique n'avoir reçu aucun e-mail ni notification dans l'application.
- L'approbateur vérifie le panneau Approvals et ne voit aucune demande en attente.
- Vous voyez votre demande répertoriée dans Sessions → Pending, mais elle finit par expirer sans action.
- L'approbateur a reçu un e-mail, mais cliquer sur le lien d'approbation produit une erreur.
Causes
1. L'adresse e-mail de l'approbateur n'est pas configurée
VaultPAM envoie les notifications d'approbation à l'adresse e-mail enregistrée de l'approbateur et, si elle est configurée, à un canal Slack ou webhook. Si l'adresse e-mail de l'approbateur est absente ou incorrecte dans son profil, aucune notification n'est envoyée.
À vérifier : ouvrez Organization → Members → sélectionnez l'approbateur → Profile. Confirmez qu'une adresse e-mail est présente et correctement formatée. Vérifiez également que son compte est actif (ni désactivé ni en attente d'acceptation de l'invitation).
Correctif : mettez à jour l'adresse e-mail de l'approbateur. Si l'approbateur n'a pas encore accepté son invitation, renvoyez-la depuis Organization → Members → Resend invite. L'approbateur doit terminer l'activation de son compte avant de pouvoir recevoir des notifications.
2. Canal de notification hors ligne
VaultPAM peut remettre les notifications d'approbation par e-mail (SMTP), Slack ou un webhook personnalisé. Si le canal sortant est indisponible — relais SMTP en panne, application Slack révoquée ou point de terminaison webhook renvoyant des erreurs — les notifications échouent silencieusement à la remise.
À vérifier par les administrateurs : ouvrez Organization → Notifications → Delivery status (si disponible) ou consultez les journaux système de VaultPAM à la recherche d'erreurs de remise SMTP ou webhook. Pour Slack, confirmez que l'application Slack VaultPAM est toujours installée dans l'espace de travail et que le jeton n'a pas été révoqué.
Solution de contournement rapide : les approbateurs peuvent toujours consulter le panneau Approvals directement dans l'interface de VaultPAM, même lorsque les notifications par e-mail échouent. Demandez à l'approbateur d'ouvrir Approvals et de rechercher la demande en attente.
Correctif pour les administrateurs : rétablissez le canal de notification défaillant (redémarrez le relais SMTP, réautorisez l'application Slack ou corrigez le point de terminaison webhook). Testez à nouveau la remise avec une demande de session à faible enjeu.
3. L'approbateur n'a pas l'autorisation d'approuver
Un approbateur doit disposer du rôle Approver pour le coffre-fort spécifique à partir duquel la session a été demandée. Si son rôle n'inclut pas l'autorisation d'approbation, il n'apparaîtra pas dans la liste des approbateurs et ne recevra pas de notification. Cela peut se produire lorsqu'un rôle est mis à jour ou qu'un coffre-fort est transféré à un nouveau propriétaire sans que la liste des approbateurs soit mise à jour.
À vérifier : ouvrez Safes → sélectionnez le coffre-fort → Members et recherchez l'approbateur. Confirmez que son rôle inclut l'autorisation Approve. Si l'approbateur n'est pas répertorié, il n'est pas éligible pour recevoir cette demande.
Correctif : un administrateur de coffre-fort doit mettre à jour le rôle de l'approbateur ou l'ajouter au coffre-fort avec un rôle habilité à approuver. Une fois le rôle corrigé, le demandeur doit annuler la demande actuelle (désormais bloquée) et en soumettre une nouvelle — l'approbateur sera alors notifié pour la nouvelle demande.
4. La demande a expiré
Les demandes d'approbation ont une durée de vie (TTL) configurable (par défaut : 10 minutes). Si personne n'a approuvé ou rejeté la demande avant l'écoulement du TTL, la demande passe à l'état Expired et aucune autre action ne peut être effectuée à son sujet.
À vérifier : ouvrez Sessions → Pending ou Sessions → History. Si le statut de la demande affiche Expired, le TTL s'est écoulé.
Correctif : soumettez une nouvelle demande de session. Si le TTL de 10 minutes est trop court pour le flux d'approbation de votre organisation, demandez à un administrateur VaultPAM de l'augmenter : Organization → Policies → Session approval TTL.
Étapes de résolution
- Demandez à l'approbateur de consulter directement le panneau Approvals dans VaultPAM — cela fonctionne même si les notifications par e-mail ne sont pas remises.
- Ouvrez Organization → Members → sélectionnez l'approbateur → Profile et confirmez que l'adresse e-mail est présente et que le compte est actif.
- Ouvrez Safes → sélectionnez le coffre-fort → Members et confirmez que l'approbateur dispose d'un rôle incluant l'autorisation Approve pour ce coffre-fort.
- Consultez Sessions → Pending ou Sessions → History pour voir si la demande a déjà expiré (Expired). Si c'est le cas, soumettez une nouvelle demande.
- Si l'approbateur peut voir la demande dans le panneau Approvals mais n'a pas reçu d'e-mail, demandez à un administrateur d'examiner le canal de notification dans Organization → Notifications.
- Si l'approbation est urgente et que l'approbateur habituel est indisponible, demandez à un administrateur de coffre-fort d'approuver la demande directement via l'interface de VaultPAM.
Chemin d'escalade
Si les étapes ci-dessus ne résolvent pas le problème :
- Notez l'ID de la demande de session (visible dans Sessions → History), le nom du coffre-fort et l'adresse e-mail de l'approbateur prévu.
- Demandez à un administrateur de vérifier les journaux système de VaultPAM à la recherche d'erreurs de remise SMTP ou webhook au moment où la demande a été soumise.
- Si le canal de notification est confirmé comme fonctionnel mais que les demandes n'arrivent toujours pas, ouvrez un ticket d'assistance en indiquant l'ID de la demande de session et les détails du profil utilisateur de l'approbateur.