Reduzieren Sie das Benutzerrisiko
Bei Governance geht es darum, den Wert mit akzeptablem Risiko zu optimieren (abhängig von Ihrer Risikotoleranz). Das Benutzerrisiko ist eine der Risikokategorien im Mendix Governance-Wertrahmen. Um das Benutzerrisiko zu minimieren, müssen die Identität und der Zugriff der Personen, die die Anwendungen der Plattform entwickeln, sowie der Endbenutzer der App verwaltet werden.
Wir haben drei Benutzerkategorien identifiziert:
- Plattformbenutzer – Das sind Ihre Mitarbeiter, die entweder Low-Code-Anwendungen entwickeln oder mit diesen Entwicklern zusammenarbeiten.
- Erweiterte Belegschaft – Hierbei handelt es sich um eine spezielle Kategorie von Plattformnutzern, die Mitarbeiter von Implementierungspartnern sind, die Ihnen bei Ihrer Mendix Entwicklungsbemühungen als Plattformbenutzer.
- Anwendungsbenutzer – Dies sind die Endbenutzer der Anwendungen, die Sie erstellen mit Mendix. Sie sind sich möglicherweise nicht der Technologie bewusst, die zum Erstellen dieser Anwendungen verwendet wurde. Anwendungsbenutzer können auch zu Plattformbenutzern werden, wenn sie Feedback zur Anwendung geben oder anderweitig zusammenarbeiten möchten, um Ihr Portfolio an Mendix um weitere Anwendungsbeispiele zu finden.
Kontrollieren Sie das Risiko von Plattformbenutzern
Wie können meine Mitarbeiter an Bord gebracht werden, um die Mendix Plattform oder möchten Sie mit der Anwendungsentwicklung beginnen?
Mitarbeiter können sich selbst in die Mendix Entwicklungsplattform, indem Sie sich einfach bei der Mendix Website. Alles was sie tun müssen, ist:
- Bestätigen Sie ihre geschäftliche E-Mail-Adresse
- Wählen Sie ein Passwort (falls erforderlich) und
- Beantworten Sie einige Fragen, um loszulegen und erhalten Sie Anleitung für Ihren Weg als Mendix Entwickler.
Kein Vertrag erforderlich mit Mendix zuerst; der gleiche Anmeldevorgang gilt, wenn Sie die Mendix Plattform oder wenn Sie sich bereits für Low-Code-Entwicklung entschieden haben mit Mendix.
Der Mendix Die Plattform erkennt Benutzer mit derselben E-Mail-Domäne wie Kollegen und erleichtert ihnen die Zusammenarbeit. Plattformbenutzer können sich auch gegenseitig einladen. Wenn Sie also auf einen Einladungslink klicken, wird der Einstieg für sie noch einfacher.
Siehe auch die Erste Schritte .
Wie können sich meine Mitarbeiter in das Mendix Plattform?
Der Mendix Plattform umfasst Identitätsdienste, die es Ihren Mitarbeitern ermöglichen, sich beim Online- Mendix Plattform und die Integrierte Entwicklungsumgebung (IDE) namens Mendix Studio Pro.
Sie können die Plattformbenutzerauthentifizierung auf eine der folgenden Arten veranlassen:
- Benutzerdefiniertes Passwort, das bei der Anmeldung erstellt wird: Dies ist der Standardmechanismus und ermöglicht Ihnen einen schnellen und einfachen Einstieg in die Mendix Plattform. Mendix wendet allgemeine Passwortkomplexitätsregeln auf das Plattformpasswort an und ermöglicht Ihnen, Konfigurieren einer Kennwortablauffrist, danach müssen Entwickler ihr Passwort ändern.
- Identitätsföderation zwischen den Mendix Plattform und Ihr Unternehmensidentitätsanbieter (IdP): So können Sie den Benutzern Ihrer Plattform ein durchgängiges SSO-Erlebnis bieten. Mendix nennt die Plattform-SSO-Funktion BYOIDP (Bring-Your-Own-IDentity-Provider). Diese Funktion erfordert einen Standard oder Premium Plattformlizenz. Jede SSO-Anmeldung bei Studio Pro verwendet den Systembrowser für SSO, sodass die bedingte Zugriffsfunktion in Ihrem IdP (z. B. zum Überprüfen auf vertrauenswürdige Geräte) angewendet werden kann.
- SAP BTP-Anmeldeinformationen oder Siemens IdP für Siemens Xcelerator-Kunden: Dies verhindert, dass Ihre Benutzer über einen weiteren Satz Anmeldeinformationen verfügen.
Wie funktioniert das Mendix Unterstützt die Plattform die Multi-Faktor-Authentifizierung?
Die Multi-Faktor-Authentifizierung (MFA) fügt eine zusätzliche Sicherheitsebene hinzu und ist wichtig, um Angriffe von kompromittierten Konten zu verhindern. Viele Unternehmen möchten, dass ihre Multi-Faktor-Authentifizierung den Zugriff auf die Mendix Plattform.
Die Aktivierung von Plattform-SSO ist der empfohlene Ansatz, um MFA (oder 2FA, da viele Unternehmen der Meinung sind, dass zwei Faktoren zur Authentifizierung ausreichen) für Ihre Plattformbenutzer durchzusetzen. Dadurch wird die Reichweite Ihres IdP auf die Mendix Plattform und nutzen Sie die MFA-Prozesse, die Sie bereits eingerichtet haben.
Darüber hinaus Mendix Plattform erzwingt Zwei-Faktor-Authentifizierung (2FA) für vertrauliche Aktivitäten. Dieser Authentifizierungsschritt ist für jede manuelle Bereitstellung einer Produktionsanwendung auf dem Mendix Cloud. Die nativen 2FA-Funktionen der Mendix Plattform umfasst SMS-Anmeldecodes sowie zeitbasierte Einmalkennwörter (TOTP). TOTP ist mit den Authenticator-Apps von Google oder Microsoft kompatibel. Plattformbenutzer können ihre 2FA-Anmeldeinformationen auf der Mendix Plattform über einen Self-Service-Mechanismus, der Bestätigungslinks verwendet, die an ihre geschäftliche E-Mail-Adresse gesendet werden.
Wie funktioniert das Mendix Kann ich mit der Plattform die Berechtigungen für meine Plattformbenutzer verwalten?
Mendix unterstützt die Definition von Mendix Administratoren der Benutzern Berechtigungen nach einem delegierten Administrationskonzept zuweisen kann. Sie können einen oder mehrere Mendix Administratoren, die Kontrolle über die Berechtigungen haben, die anderen Plattformbenutzern erteilt werden.
Der Control Center ist der administrative Mittelpunkt und bietet die Mendix Administrator mit einem einzigen Überblick über ihre App-Landschaft, Mitglieder und Cloud-Umgebungen. Im Control Center Mendix Admins können die Aktivitäten von Teammitgliedern anzeigen und die folgenden Verwaltungsaufgaben ausführen:
- Erhalten Sie einen Überblick über alle Plattformbenutzer Ihres Unternehmens, einschließlich ihres Status (intern oder extern), Mendix Zertifizierungsstufe und die Apps, auf die sie Zugriff haben.
- Deaktivieren Sie Mitglieder, die Sie als Sicherheitsrisiko identifizieren.
- Erhalten Sie einen Überblick über alle Anwendungen Ihres Unternehmens, einschließlich Informationen darüber, wer die Apps erstellt hat und wann sie zuletzt geändert wurden.
Darüber hinaus Mendix Plattform bietet eine API (die Projekte API), um Benutzer automatisch als Scrum-Master hinzuzufügen oder aus einzelnen App-Projekten zu entfernen.
Wie verhindere ich, dass Entwickler weiterhin auf die Mendix Plattform, nachdem sie mein Unternehmen verlassen haben?
Der Mendix Control Center ermöglicht Mendix Administratoren zu deaktivieren Plattformbenutzer. Dies verhindert, dass dieser Benutzer auf Mendix Plattformdienste oder Nutzung einer Plattform-API.
Wenn Sie eine Identitätsföderation eingerichtet haben zwischen Mendix Plattform und Ihrem Unternehmens-IdP (Plattform-SSO), blockiert das Blockieren des Entwicklers in Ihrem IdP die Anmeldungen an der Mendix Plattform. So können Ihre zentralen Identity Governance Prozesse auch auf die Mendix Plattform.
Wie kontrolliere ich, wie Entwickler zur Entwicklung meines Mendix App?
Der Mendix Plattform verfügt über eine Reihe von Entwicklungsrollen, die über die Mendix Portal.
Für jede App, die Sie entwickeln, können Sie Ihr eigenes App-Team zusammenstellen und zuweisen App-Teamrollen an Ihre Teammitglieder oder senden Sie Einladungen an weitere Entwickler, Ihrem App-Team beizutreten.
Wie ist der aktuelle Zertifizierungsstand der Plattform-Anwender in unserem Unternehmen?
Ein Schlüssel zur Governance ist, dafür zu sorgen, dass Ihre Mitarbeiter richtig ausgebildet sind. Mitgliederübersicht Im Control Center werden alle Plattformbenutzer mit Zugriff auf Ihre App-Entwicklung und deren aktuelle Zertifizierung aufgelistet.
Welche privilegierten Konten Mendix haben?
Die Verwaltung privilegierter Konten ist ein Schlüsselfaktor in der Cybersicherheit, da die überwiegende Mehrheit der Datenschutzverletzungen solche Konten betrifft. Die privilegiertesten Konten im Mendix Plattform sind Benutzerkonten mit Mendix Administrator Rechte. Diese Mendix Administratoren (oder einfach „Mendix Admins“) agieren auf organisatorischer Ebene und überwachen die verschiedenen Mendix Apps, die Ihr Unternehmen erstellt hat. Mendix Der Administrator kann mit dem Mendix Control Center zum (De-)Aktivieren von Benutzern, Bearbeiten ihrer Projektrollen, Einrichten von App-Zugriffsgruppen sowie Verwalten von Einstellungen auf Mandantenebene für Ihr Unternehmen.
Für jede App, die Sie entwickeln mit Mendix herunter ,ein Technischer Kontakt zugewiesen. Der technische Kontakt ist der erste Ansprechpartner der App und steuert die Bereitstellungseinstellungen.
Für jede App, die auf dem Mendix Cloud, Mendix schafft eine „lokale“ Administrator Benutzer, MxAdmin, der eine von den Entwicklern der Anwendung erstellte Administratorrolle erhält. Darüber hinaus kann die Anwendungslogik die lokale Administratorrolle auch anderen Endbenutzern zuweisen. Die Entwickler haben die volle Kontrolle über die Rechte, die in dieser bestimmten Administratorrolle enthalten sind. Beispielsweise kann sie keine Administratorrechte haben und es könnte sogar eine „leere“ Benutzerrolle für Unternehmen sein, die den lokalen Administratorbenutzer aus Gründen der Zugriffssteuerung nicht verwenden möchten.
Kontrollieren Sie das Risiko einer erweiterten Belegschaft
Unternehmen, die gerade erst anfangen oder spezielles Fachwissen benötigen, können ihren Entwicklerstamm durch Freelancer erweitern. Mendix Implementierungspartner oder Mendix Expertendienste. Andere Unternehmen lagern die Entwicklung und Wartung einiger ihrer Apps möglicherweise an einen Partner aus.
Wie kontrolliere ich externe Entwickler in meiner Belegschaft?
Wenn Sie die Kontrolle über die Authentifizierung Ihrer externen Mitarbeiter haben möchten, können Sie benannte Konten im IdP Ihres Unternehmens erstellen (d. h. [E-Mail geschützt] ) für jeden externen Mitarbeiter. Auf diese Weise verwalten Sie externe Mitarbeiter auf die gleiche Weise wie Ihre regulären Mitarbeiter, einschließlich der automatischen Deaktivierung ehemaliger Mitarbeiter.
Wenn dies keine Voraussetzung ist, können Personen mit der Berechtigung „Einladen“ in ihrer Projektrolle externe Mitglieder zu ihrem Projekt einladen (z. B. [E-Mail geschützt] ) zu Ihren App-Projekten hinzu und dieser Benutzer wird mit der Authentifizierungsmethode seines eigenen Unternehmens authentifiziert.
Ähnlich wie bei internen Mitarbeitern können Sie im Control Center auch eine Übersicht über externe Mitglieder aus anderen Bereichen, die Projekte, an denen sie mitarbeiten, sowie die höchste Zertifizierungsstufe sehen, die sie erreicht haben.
Sie können sie aus dem Projekt entfernen, wenn sie nicht mehr Teil des Entwicklungsteams sind. Wenn sie nicht mehr an einem Projekt beteiligt sind, werden sie nicht mehr in Ihrer Liste externer Mitglieder angezeigt.
Wie arbeite ich bei Anwendungen mit meinem Implementierungspartner zusammen?
Wenn Sie sich für das Outsourcing der Entwicklung eines Mendix Wenn Sie Ihre Anwendung an einen Implementierungspartner übertragen, empfiehlt es sich, die App-Projekte selbst zu erstellen und bei diesen Projekten mit Ihren Partnern zusammenzuarbeiten. So haben Sie die volle Kontrolle über Ihr geistiges Eigentum und können diese Projekte optimal steuern. Außerdem können Ihre Mitarbeiter die Verantwortung übernehmen oder Sie zu einem anderen Implementierungspartner wechseln.
Sie können Ihrem Partner die erforderlichen Berechtigungen erteilen, um mit Ihnen an diesen Projekten zu arbeiten. Wenn er mit seiner Arbeit am Projekt fertig ist, kann er aus dem Projektteam entfernt werden. Das App-Projekt und alle Beiträge des Partners verbleiben im Projekt.
Alternativ ist es auch möglich, dass der Partner ein Projekt erstellt und Sie einlädt, mit ihm an diesem Projekt zusammenzuarbeiten. In diesem Fall können Sie, wenn der Beitrag des Partners beendet ist, die Verantwortung übernehmen, indem Sie Ihr eigenes Projekt erstellen und die von Ihrem Partner entwickelte App importieren.
Kontrollieren Sie das Risiko von Anwendungsbenutzern
Um eine gängige Definition für Identity and Access Management (IAM) zu paraphrasieren: Wir können sagen, dass es bei der Kontrolle des Anwendungsbenutzerrisikos darum geht, sicherzustellen, dass die richtigen App-Benutzer Zugriff auf die richtigen Mendix Anwendungen mit den richtigen Benutzerrollen aus den richtigen Gründen. App-Benutzer sind definiert als Benutzer Ihrer Mendix Anwendung und umfasst sowohl Endbenutzer als auch privilegierte Benutzer (auch Administratorbenutzer genannt).
Das folgende Diagramm zeigt die IAM-Funktionen, die in einem typischen Business-to-Employee (B2E)-Prozess verwendet werden. Mendix Anwendung.
Wie werden Benutzer authentifiziert, wenn sie auf meine Mendix Anwendung?
Der Mendix Plattform bietet verschiedene Möglichkeiten zur Authentifizierung von Benutzern Ihrer Mendix Anwendung.
Die erste Möglichkeit besteht darin, nicht authentifizieren Sie Ihre Anwendungsbenutzer. Sie können Besuchern anonymer Zugriff auf eingeschränkte Teile Ihrer Anwendung. Insbesondere wenn Sie Anwendungen erstellen, die sich an (potenzielle) Kunden und/oder Verbraucher richten, möchten Sie ihnen möglicherweise Zugriff auf eingeschränkte Funktionen gewähren, bevor Sie versuchen, diese Benutzer in registrierte Benutzer umzuwandeln.
Die zweite Möglichkeit besteht darin, Ihre Anwendungsbenutzer lokal in Ihrer Anwendung zu authentifizieren; völlig unabhängig von der Identität, die sie möglicherweise bereits in einem Ökosystem oder bei einem Identity Provider (IdP) haben. Die Anmeldung mit Benutzername und Passwort ist in die Kernfunktionen einer Mendix Anwendung (siehe Anmeldeverhalten gemäß der Mendix Runtime). Die Funktion zum Zurücksetzen des Passworts kann mithilfe der Passwort vergessen Modul als Baustein. Sie können diese lokale Authentifizierung mithilfe eines MFA-Moduls aus dem Mendix Marktplatz oder auch mit benutzerdefinierter Logik.
Die dritte und am häufigsten verwendete Authentifizierungsmethode besteht darin, die Benutzerauthentifizierung per Single Sign-On (SSO) an eine externe Anwendung zu delegieren, die als Identitätsanbieter (IdP) fungiert.
Wie funktioniert Mendix Single Sign-On (SSO) für meine Low-Code-Anwendungen unterstützen?
Single Sign-On ist eine Benutzererfahrung, die auf Funktionen sowohl in Anwendungen als auch im Identity Provider (IdP) basiert. Mit dem Mendix Plattform können sogar Amateurentwickler SSO-fähige Anwendungen erstellen. SSO wird für reguläre Webanwendungen, progressive Webanwendungen und native mobile Anwendungen unterstützt und kann mit den richtigen SSO-Modulen aus dem Mendix Marktplatz. Mendix bietet Ihnen volle Plattformunterstützung auf diesen Modulen.
SSO-Funktionen sind nicht auf ein bestimmtes Bereitstellungsmodell beschränkt. Unabhängig davon, ob Sie Ihre Mendix Bewerbungen auf der Mendix Cloud, eine Partner-Cloud, Ihre eigene private Cloud oder sogar vor Ort, SSO wird unterstützt. MendixDie SSO-Funktionen von sind nicht von Identitätsdiensten abhängig, die bereitgestellt oder gehostet werden von Mendix.
Mendix bietet Unterstützung für die heutigen offenen Standards für SSO: SAML 2.0 und OpenID Connect. Mendix Entwickler können die entsprechenden Module herunterladen (d. h. OIDC-SSO or SAML) Aus dem Mendix Marketplace und integrieren diese als Baustein in ihre Mendix Anwendung, um die erforderliche SSO-Funktionalität zu erhalten. Für native Apps ist die Mobiles SSO Modul erforderlich. Neben SSO basierend auf offenen Standards, Mendix unterstützt auch SSO für Anwendungen, die auf der SAP Business Technology Platform (BTP) laufen; Mendix bietet ein XSUAA-Connector für SAP BTP für SSO mit der SAP-Identitätsinfrastruktur.
Wie kann ich die Multi-Faktor-Authentifizierung für meine Mendix Anwendungen?
Der gängigste Ansatz für die Multi-Faktor-Authentifizierung (MFA oder 2FA) besteht darin, SSO in Ihren Anwendungen zu aktivieren und Ihren IdP MFA bei der Benutzeranmeldung erzwingen zu lassen. Wenn Sie Ihre Anwendungsbenutzer lokal in Ihrem Mendix Anwendung können Sie die Standardvalidierung von Benutzername und Passwort mithilfe eines der im Marketplace verfügbaren Module um einen zweiten Faktor erweitern.
Welche Identity Provider-Lösungen kann ich mit meinem Mendix Anwendungen?
Sie können Ihre integrieren Mendix Anwendungen mit den meisten Identity Provider-Lösungen (IdPs). Vorhandene Mendix Kunden haben ihre Anwendungen mit Microsoft Entra ID (früher bekannt als Azure AD), Auth0, Ping, ForgeRock, AWS Cognito, Google, Salesforce, Apple, Okta, Ping, SAP Cloud Identity Services, Facebook, LinkedIn, KeyCloak und AWS IAM Identity Center integriert.
Jede Technologie, die gängige offene Standards unterstützt (z. B. OpenID Connect, SAML v2.0), kann integriert werden. Die erweiterten Funktionen des SAML-Moduls ermöglichen beispielsweise die Integration mit IdPs, die ein höheres Maß an Sicherheit erfordern, indem sie die sicherere „Artefaktbindung“ verwenden. Kunden in den Niederlanden nutzen dies beispielsweise, um ihre Anwendungen in die staatlich regulierten IAM-Infrastrukturen DigiD und eHerkenning zu integrieren, die auf dem europäischen eIDAS-Verordnung.
Wie kann ich Benutzerrollen für meine Anwendung definieren?
Mendix Apps bieten volle Flexibilität für Mendix Entwickler können Benutzerrollen unter Verwendung von Modulrollen beliebig definieren und implementieren.
Eine Benutzerrolle fasst mehrere Modulrollen zusammen und erteilt Zugriffsrechte für Daten, Seiten und Mikroflüsse (Logik). Jede Benutzerrolle kann aus einer oder mehreren Modulrollen bestehen und eine Modulrolle kann in mehreren Benutzerrollen enthalten sein. Wenn eine Anwendung mit Modulen aus dem Mendix Marktplatz, der Mendix Entwickler können eine Auswahl der vordefinierten Modulrollen in die Benutzerrollen ihrer Mendix Anwendung.
Für die Zugriffsverwaltung sind nur die Benutzerrollen relevant. Ein Endbenutzer Ihrer Anwendung kennt nur seine Benutzerrollen. Das Konzept der Modulrollen ist nur für Anwendungsentwickler relevant; sie sind intern für die Anwendung.
Weitere Informationen hierzu finden Sie im Wie kann ich Benutzerrollen für meine App definieren? Abschnitt des Handbuchs zum Sicherheitsmodell.
Wie werden Benutzern in meiner App Benutzerrollen zugewiesen?
Jedes Mendix Die Anwendung verfügt über eine oder mehrere Benutzerrollen, die den Benutzern Ihrer Anwendung auf verschiedene Weise zugewiesen werden können.
Am meisten einfach Eine Möglichkeit, Benutzerrollen zuzuweisen, besteht darin, die Verwaltungsmodul in Ihrer Anwendung und lassen Sie einen Administrator den Anwendungsbenutzern manuell Benutzerrollen zuweisen.
Die am häufigsten verwendete Methode zum Zuweisen von Benutzerrollen ist die Nutzung Ihres Identitätsanbieters (IdP). Wenn sich ein Anwendungsbenutzer über Single Sign-On (SSO) bei Ihrer Anwendung anmeldet, stellt der IdP normalerweise Informationen über den Benutzer bereit, und diese Informationen können verwendet werden, um dem Benutzer automatisch eine Benutzerrolle zuzuweisen. Die SSO-Module verfügen über einige Standardeinstellungen, um dies zu tun, und Low-Code-Entwickler können problemlos ihre eigene benutzerdefinierte Logik implementieren, um die Benutzerrollen zuzuweisen. Eine solche benutzerdefinierte Logik wäre eine semantische Interpretation der von Ihrem IdP bereitgestellten Informationen; die je nach verwendetem Protokoll und verwendeten Funktionen die Form von Behauptungen, Ansprüchen, Attributen, Bereichen und Rollen annehmen kann.
Der letztere Ansatz bietet die offensichtlichen Vorteile der Automatisierung und zentralen Steuerung von Berechtigungen. Größere Organisationen werden ihre Joiner-Mover-Leaver-Prozesse automatisieren wollen, insbesondere bei einer großen Anzahl von Anwendungen und Anwendungsbenutzern.
Wie kann ich meiner Multi-Application-Lösung ohne IdP-Integration ein SSO-Erlebnis bieten?
Beim Aufbau einer Business-to-Employee (B2E)-Lösung erreichen Sie Single Sign-On (SSO) typischerweise durch die Integration Ihrer SSO-fähigen Apps mit Ihrem Corporate Identity Provider (IdP). Beim Aufbau einer Business-to-Consumer (B2C)- oder Business-to-Business-Lösung (B2B)-Lösung ist die Integration mit einem externen IdP möglicherweise nicht möglich, nicht wünschenswert oder einfach zu kostspielig.
Der „einfache“ Ansatz wäre der Aufbau eines einzigen Mendix Anwendung mit lokaler Benutzeranmeldung. Abhängig von der Komplexität Ihrer Lösung möchten Sie möglicherweise eine Mehranwendungslösung erstellen, um die Wartbarkeit Ihrer Lösung zu verbessern. Sie stehen dann vor der Herausforderung, Ihren Anwendungsbenutzern ein SSO-Erlebnis über mehrere Anwendungen hinweg zu bieten. Mendix hilft Ihnen, eine solche Lösung zu entwickeln, bei der einer Ihrer Mendix Anwendungen fungieren als Portalanwendung, bei der sich Ihre Anwendungsbenutzer anmelden. Diese Portalanwendung ist eine zentrale Anwendung, die als IdP für die anderen Anwendungen fungiert.
Um dies zu tun, Mendix Marketplace bietet die sog. OIDC-Anbieter Modul, das in die zentrale Portalanwendung integriert werden kann. Ein Anwendungsbenutzer meldet sich bei der Portalanwendung an (z. B. mit einem lokalen Benutzernamen und Kennwort), navigiert zu anderen verbundenen Anwendungen und erhält problemlos Zugriff.
Wie erstelle ich Benutzer in meinem Mendix Anwendung? Und wie kann ich sie deaktivieren oder entfernen?
Für die Benutzerbereitstellung bzw. das Onboarding Ihrer Anwendungsbenutzer können Sie zwischen verschiedenen Ansätzen wählen.
Der einfach Ansatz besteht darin, einen lokalen „Admin“-Benutzer Benutzer manuell in Ihrer App erstellen zu lassen. Der Verwaltungsmodul, erhältlich im Mendix Marketplace hilft Ihnen beim Aufbau einer solchen Lösung.
Benutzer können auch über die sogenannte Just-In-Time (JIT)-Benutzerbereitstellung erstellt werden. Wenn Ihre App SSO-fähig ist, kann ein Benutzer, der sich zum ersten Mal anmeldet, automatisch in Ihrer App erstellt werden, basierend auf den vom Identitätsanbieter (IdP) bereitgestellten Benutzerinformationen. Ihre Low-Code-Entwickler können die standardmäßige Benutzerbereitstellungslogik verwenden, die in den SSO-Modulen enthalten ist, oder sie können hierfür eine benutzerdefinierte Logik erstellen.
Wenn Sie JIT-Benutzerbereitstellung verwenden, kann Ihr IdP Zugriffslogik anwenden und bestimmten Benutzern den Zugriff verweigern. So können Sie steuern, welche Benutzer in Ihrer App erstellt werden. JIT-Benutzerbereitstellung ist flexibel, einfach zu implementieren und kann manuelle Benutzerbereitstellung vermeiden. Der Nachteil ist, dass dieser SSO-basierte Mechanismus Benutzer nicht deaktivieren oder aus Ihrer App entfernen kann. Mendix um weitere Anwendungsbeispiele zu finden.
Um Benutzer aus Ihrer Anwendung zu deaktivieren oder zu entfernen, haben Sie zwei Möglichkeiten. Die erste ist die lokale Benutzerverwaltung, bei der ein lokaler „Administrator“ die Benutzerverwaltung lokal im Administrationsmodul durchführen kann. Die zweite und bessere Option ist die Integration Ihrer Mendix Anwendung mit Ihrem IDP und überlassen Sie dieser Integration die Arbeit. Anwendungen können über das LDAP-Protokoll mit einem lokalen IdP integriert werden. Ein modernerer Ansatz ist die Verwendung einer SCIM-Integration. SCIM ist eine Abkürzung für System for Cross-domain Identity Management. Es handelt sich um einen offenen Standard, der von den meisten IdP-Lösungen wie Entra ID, Okta und Ping unterstützt wird. Die Mendix Marktplatz bietet eine LDAP-Modul und ein SCIM-Modul für Ihre Low-Code-Entwickler.
Wie kann ich problemlos skalieren, ohne dass IAM mich ausbremst?
Wenn Sie planen, viele Mendix Wie können Sie die Notwendigkeit der Wiederholung bestimmter Aufgaben vermeiden oder minimieren? Im Bereich IAM können Sie Folgendes tun:
- Erstellen Sie zunächst eine Startervorlage mit den IAM-Modulen Ihrer Wahl.
- Zweitens sollten Sie die Anpassung der IAM-Module vermeiden. Wenn Sie eine angepasste Version benötigen, verteilen Sie diese an Ihre Entwickler mit Ihrem Privat Mendix Marktplatz und Starter-Vorlage. Kontaktieren Sie auch Mendix Produktmanagement über Ihren Customer Support Manager (CSM), um zu erfahren, ob Ihre Anpassung produktisiert werden kann. Sobald Sie produktisiert sind, müssen Sie Ihre Anpassung nicht erneut implementieren, wenn eine neue Version Ihres IAM-Moduls veröffentlicht wird von Mendix.
- Wenn Sie eine benutzerdefinierte Benutzerbereitstellung oder eine benutzerdefinierte Autorisierungslogik benötigen, platzieren Sie diese benutzerdefinierten Mikroflüsse in einem separaten benutzerdefinierten IAM-Modul, das Sie über Ihren Privat Mendix Marktplätze und Ihre Startervorlage. Die Wiederverwendung einer solchen benutzerdefinierten Logik verhindert doppelten Anpassungsaufwand und doppelte Wartung.
- Nutzen Sie die Konfigurationsmöglichkeiten der IAM-Module zur Entwurfszeit und/oder Bereitstellungszeit. Ihre Pipeline kann Ihre App von einer Staging-Umgebung in die nächste verschieben und sie automatisch mit dem entsprechenden Test- oder Produktions-IdP verbinden.
- Erwägen Sie die Erstellung einer SSO-Broker-Lösung. Das Einrichten von SSO zwischen Ihrer App und Ihrem IdP kann manuelle Schritte erfordern, und Verfahren können die Innovation verlangsamen. Mit einer SSO-Broker-Lösung kann Ihre Pipeline automatisch registrieren Mendix Anwendungen beim SSO-Broker und nutzen Sie eine einzelne SSO-Verbindung zwischen dem SSO-Broker und Ihrem IdP. Sie können einen SSO-Broker erstellen, indem Sie OIDC-Provider-Modul.