Atténuer les risques pour l’utilisateur | Mendix

Passer au contenu principal

Recherche du site

Contactez-nous
Essayer gratuitement
Imprimé

Atténuer les risques pour l'utilisateur

La gouvernance consiste à optimiser la valeur avec un risque acceptable (en fonction de votre tolérance au risque). Le risque utilisateur est l'une des catégories de risque dans Mendix Cadre de valeur de gouvernance. L'atténuation des risques liés aux utilisateurs implique la gestion de l'identité et de l'accès des personnes qui développent les applications de la plateforme et des utilisateurs finaux de l'application.

Nous avons identifié trois catégories d’utilisateurs :

  • Utilisateurs de la plateforme – Ce sont vos employés qui développent des applications low-code ou collaborent avec ces développeurs.
  • Effectif étendu – Il s’agit d’une catégorie spéciale d’utilisateurs de la plateforme qui sont des employés de partenaires de mise en œuvre qui peuvent vous aider dans votre Mendix efforts de développement en tant qu’utilisateurs de la plateforme.
  • Utilisateurs d'applications – Ce sont les utilisateurs finaux des applications que vous créez avec Mendix. Ils ne sont peut-être pas au courant de la technologie utilisée pour créer ces applications. Les utilisateurs d'applications peuvent également devenir des utilisateurs de la plateforme lorsqu'ils souhaitent donner leur avis sur l'application ou collaborer d'une autre manière pour améliorer encore votre portefeuille de produits. Mendix applications.

Risque utilisateur de la plateforme de contrôle

Comment mes employés peuvent-ils être intégrés pour évaluer l' Mendix plateforme ou commencer à développer des applications ?

Les employés peuvent s'inscrire eux-mêmes à la Mendix plateforme de développement en vous inscrivant simplement à la Mendix site Web. Tout ce qu'ils ont à faire est :

  • Confirmer leur adresse e-mail professionnelle
  • Choisissez un mot de passe (si nécessaire) et
  • Répondez à quelques questions pour commencer et recevez des conseils sur votre parcours en tant que Mendix développeur.

Pas besoin d'avoir un contrat avec Mendix premièrement; le même processus d'inscription s'applique lorsque vous souhaitez évaluer le Mendix plateforme ou lorsque vous avez déjà décidé de faire du développement low-code avec Mendix.

Le Mendix La plateforme reconnaît les utilisateurs ayant le même domaine de messagerie que leurs collègues et facilite leur collaboration. Les utilisateurs de la plateforme peuvent également s'inviter les uns les autres. Cliquer sur un lien d'invitation facilite encore plus leur intégration.

Voir aussi Pour commencer .

Comment mes employés peuvent-ils se connecter au Mendix plate-forme?

Le Mendix La plateforme comprend des services d'identité qui permettent à vos employés de se connecter en ligne Mendix plate-forme et l'environnement de développement intégré (IDE) appelé Mendix Studio Pro.

Vous pouvez organiser l'authentification des utilisateurs de la plateforme de l'une des manières suivantes :

  1. Mot de passe défini par l'utilisateur créé lors de l'inscription : il s'agit du mécanisme par défaut et il vous permet de démarrer rapidement et facilement avec le Mendix plate-forme. Mendix applique des règles de complexité de mot de passe courantes au mot de passe de la plateforme et vous permet de configurer une période d'expiration du mot de passe, après quoi les développeurs devront changer leur mot de passe.
  2. Fédération identitaire entre les Mendix Plateforme et votre fournisseur d'identité d'entreprise (IdP) : cela vous permet de fournir aux utilisateurs de votre plateforme une expérience SSO de bout en bout. Mendix appelle la fonctionnalité BYOIDP (Bring-Your-Own-IDentity-Provider) de la plateforme SSO. Cette fonctionnalité nécessite un standard ou premium Licence de plateforme. Chaque connexion SSO à Studio Pro utilise le navigateur système pour SSO, afin que la fonctionnalité d'accès conditionnel de votre IdP (par exemple pour vérifier les appareils de confiance) puisse être appliquée.
  3. Informations d'identification SAP BTP ou Siemens IdP pour Siemens Clients Xcelerator : cela empêche vos utilisateurs d’avoir un autre ensemble d’informations d’identification.

Comment le Mendix La plateforme prend-elle en charge l'authentification multifacteur ?

L'authentification multifacteur (MFA) ajoute une couche de sécurité supplémentaire et est importante pour empêcher les attaques provenant de comptes compromis. De nombreuses entreprises souhaitent que leur couverture d'authentification multifacteur inclue l'accès à l' Mendix plate-forme.

L'activation de l'authentification unique (SSO) sur la plateforme est l'approche recommandée pour appliquer l'authentification multifacteur (ou 2FA, car de nombreuses entreprises pensent que deux facteurs d'authentification suffisent) aux utilisateurs de votre plateforme. Cela étendra la portée de votre IdP à l'ensemble des Mendix plateforme et exploitez les processus MFA que vous avez déjà mis en place.

De plus, le Mendix La plateforme applique l'authentification à deux facteurs (2FA) pour les activités sensibles. Cette étape d'authentification est requise pour chaque déploiement manuel d'une application de production sur le Mendix cloud. Les capacités 2FA natives du Mendix La plateforme comprend des codes de connexion par SMS ainsi que des mots de passe à usage unique basés sur le temps (TOTP). TOTP est compatible avec les applications Authenticator de Google ou de Microsoft. Les utilisateurs de la plateforme peuvent réinitialiser leurs identifiants 2FA sur le Mendix plateforme via un mécanisme de libre-service, qui utilise des liens de confirmation envoyés à leur adresse e-mail professionnelle.

Comment le Mendix la plateforme me permet-elle de gérer les autorisations des utilisateurs de ma plateforme ?

Mendix soutient la définition de Mendix Administrateurs qui peut attribuer des autorisations aux utilisateurs ou les confier aux chefs d'équipe projet. Vous pouvez en avoir un ou plusieurs. Mendix administrateurs.

Le Control Center est le centre administratif fournissant le Mendix Administrateur avec un aperçu unique de leur paysage d'applications, de leurs membres et de leurs environnements cloud. Dans le centre de contrôle, Mendix Les admins peuvent voir l’activité des membres de l’équipe et effectuer ces tâches administratives :

  • Obtenez un aperçu de tous les utilisateurs de la plateforme de votre entreprise, y compris leur statut (interne ou externe), Mendix niveau de certification et les applications auxquelles ils ont accès.
  • Définissez les rôles de projet qui peuvent être attribués aux membres du projet par les chefs d’équipe.
  • Désactiver les membres identifiés comme présentant un risque de sécurité. La désactivation des membres peut également être effectuée via l'API de désactivation des utilisateurs de la plateforme.
  • Obtenez un aperçu de toutes les applications de votre entreprise, y compris qui a créé les applications et quand elles ont été modifiées pour la dernière fois.

De plus, le Mendix la plateforme fournit une API (la Projets API) pour ajouter des utilisateurs à des projets avec un rôle ou les supprimer de projets d'application individuels de manière automatisée.

Comment puis-je empêcher les développeurs de continuer à accéder au Mendix Plateforme après avoir quitté mon entreprise ?

Le Mendix Le centre de contrôle permet Mendix Administrateurs à désactiver utilisateurs de la plateforme. Cela empêche cet utilisateur d'accéder à n'importe quel Mendix services de plateforme ou consommant n'importe quelle API de plateforme.

Si vous avez mis en place une fédération d'identité entre les Mendix plateforme et votre IdP d'entreprise (plateforme SSO), le blocage du développeur dans votre IdP bloquera les connexions à la Mendix plate-forme. De cette façon, vos processus centraux de gouvernance des identités peuvent également être appliqués à la Mendix plate-forme.

Comment puis-je contrôler la manière dont les développeurs contribuent au développement de mon Mendix ?

Le Mendix La plateforme dispose d'une gamme de rôles de développement qui peuvent être attribués via le Mendix Portail.

Pour chaque application que vous développez, vous pouvez constituer votre propre équipe d'applications et lui attribuer Rôles de l'équipe d'application aux membres de votre équipe ou envoyez des invitations à des développeurs supplémentaires pour rejoindre votre équipe d'applications.

Quel est le niveau actuel de certification des utilisateurs de la plateforme dans notre entreprise ?

L’une des clés de la gouvernance est de veiller à ce que vos collaborateurs soient correctement formés. Présentation des membres dans le Centre de contrôle, tous les utilisateurs de la plateforme qui ont accès au développement de votre application sont répertoriés, ainsi que leur certification actuelle.

Quels comptes privilégiés Mendix avoir?

La gestion des comptes privilégiés est essentielle en matière de cybersécurité, car une grande majorité des violations de données impliquent de tels comptes. Les comptes les plus privilégiés sur le Mendix la plate-forme sont des comptes utilisateurs avec Mendix Administrateur droits. Ceux-ci Mendix Administrateurs (ou simplement «Mendix Les « administrateurs » agissent au niveau organisationnel en supervisant les différents Mendix applications que votre entreprise a créées. Mendix L'administrateur peut utiliser le Mendix Centre de contrôle pour (dés)activer les utilisateurs, modifier leurs rôles de projet et configurer des groupes d'accès aux applications ainsi que gérer les paramètres au niveau du locataire pour votre entreprise.

Pour chaque application que vous développez avec Mendix, un Contact technique est attribué. Le contact technique est le premier point de contact de l'application et contrôle les paramètres de déploiement.

Pour chaque application déployée sur le Mendix Cloud, Mendix crée un « local » Administratrice utilisateur, MxAdmin, qui obtient un rôle d'utilisateur administratif tel que créé par les développeurs de l'application. De plus, la logique d'application peut également attribuer le rôle d'administrateur local à d'autres utilisateurs finaux. Les développeurs ont le contrôle total des droits inclus dans ce rôle d'utilisateur administratif particulier. Par exemple, il peut ne pas avoir de droits administratifs et il peut même s'agir d'un rôle d'utilisateur « vide » pour les entreprises qui ne souhaitent pas utiliser l'utilisateur administrateur local pour des raisons de gouvernance des accès.

Contrôler les risques liés à la main-d'œuvre étendue

Les entreprises en démarrage ou celles qui ont besoin d'une expertise spécifique peuvent chercher à étendre leur effectif de développeurs en faisant appel à des freelances, Mendix partenaires de mise en œuvre, ou Mendix Services d'experts. D'autres entreprises peuvent choisir d'externaliser le développement et la maintenance de certaines de leurs applications à un partenaire.

Comment contrôler les développeurs externes dans mon effectif ?

Si vous souhaitez contrôler la manière dont votre personnel externe est authentifié, vous pouvez créer des comptes nommés dans l'IdP de votre entreprise (c'est-à-dire [email protected]) pour tout travailleur externe. Ainsi, vous gérez les travailleurs externes de la même manière que vos employés habituels, y compris la désactivation automatique des anciens travailleurs. Pour imposer l'accès uniquement via votre propre fournisseur d'identité, vous pouvez désactiver la possibilité d'inviter des utilisateurs externes.

Si cela n'est pas une condition préalable, il est possible pour les personnes disposant de l'autorisation « inviter » dans leur rôle de projet d'inviter des membres externes à leur projet (par exemple [email protected]) à vos projets d'application et cet utilisateur sera authentifié par la méthode d'authentification de sa propre entreprise.

De la même manière que les employés internes, vous pouvez voir dans le Centre de contrôle un aperçu des membres externes d'autres domaines, des projets sur lesquels ils collaborent, ainsi que du niveau de certification le plus élevé qu'ils ont reçu.

Vous pouvez les supprimer du projet lorsqu'ils ne font plus partie de l'équipe de développement. S'ils ne font plus partie d'aucun projet, ils n'apparaîtront plus dans votre liste de membres externes.

Comment collaborer sur des applications avec mon partenaire d'implémentation ?

Si vous choisissez d'externaliser le développement d'un Mendix Si vous envoyez une demande à un partenaire d'implémentation, l'approche recommandée consiste à créer vous-même les projets d'application et à collaborer avec vos partenaires sur ces projets. Cela vous donne un contrôle total sur votre propriété intellectuelle et constitue le meilleur moyen de gérer ces projets. Cela permet également à vos employés d'en prendre la responsabilité ou de vous permettre de passer à un autre partenaire d'implémentation.

Vous pouvez donner à votre partenaire les autorisations nécessaires pour travailler avec vous sur ces projets. Une fois sa contribution au projet terminée, il peut être retiré de l'équipe du projet. Le projet d'application et toutes les contributions apportées par le partenaire resteront dans le projet.

Alternativement, il est également possible que le partenaire crée un projet et vous invite à collaborer avec lui sur ce projet. Dans ce cas, lorsque la contribution du partenaire est terminée, vous pouvez en prendre possession en créant votre propre projet et en important l'application qui a été développée par votre partenaire.

Contrôle des risques liés à l'utilisateur de l'application

Paraphrasant une définition courante de la gestion des identités et des accès (IAM). Nous pouvons dire que le contrôle des risques liés aux utilisateurs d'applications consiste à garantir que les bons utilisateurs d'applications ont accès aux bonnes applications. Mendix applications avec les bons rôles d'utilisateur pour les bonnes raisons. Les utilisateurs d'applications sont définis comme des utilisateurs de votre Mendix application et incluent à la fois les utilisateurs finaux et les utilisateurs privilégiés, également appelés utilisateurs administrateurs.

Le diagramme suivant indique les capacités IAM utilisées dans une relation B2E (Business-to-Employee) classique Mendix .

Comment les utilisateurs sont-ils authentifiés lorsqu'ils accèdent à mon Mendix application?

Le Mendix La plateforme offre diverses possibilités pour authentifier les utilisateurs de votre Mendix Application.

La première possibilité est de pas authentifier les utilisateurs de votre application. Vous pouvez donner aux visiteurs accès anonyme aux parties restreintes de votre application. En particulier si vous créez des applications destinées à des clients (potentiels) et/ou à des consommateurs, vous souhaiterez peut-être leur donner accès à des fonctionnalités limitées avant d'essayer de convertir ces utilisateurs en utilisateurs enregistrés.

La deuxième possibilité consiste à authentifier les utilisateurs de votre application localement dans votre application, de manière totalement indépendante de toute identité qu'ils peuvent déjà avoir dans un écosystème ou un fournisseur d'identité (IdP). La connexion avec un nom d'utilisateur et un mot de passe est intégrée aux fonctionnalités de base d'un Mendix candidature (voir Comportement de connexion tel que prévu par le Mendix Durée d'exécution). La fonctionnalité de réinitialisation du mot de passe peut être prise en charge à l'aide de l' Mot de passe oublié ? module comme élément de base. Vous pouvez renforcer cette authentification locale à l'aide d'un module MFA du Mendix Marketplace ou avec une logique personnalisée également.

La troisième méthode d’authentification, la plus utilisée, consiste à déléguer l’authentification de l’utilisateur à une application externe qui agit en tant que fournisseur d’identité (IdP) via l’authentification unique (SSO).

Comment Mendix prendre en charge l'authentification unique (SSO) pour mes applications low-code ?

L'authentification unique est une expérience utilisateur basée sur les capacités des applications et du fournisseur d'identité (IdP). Mendix Plateforme, même les développeurs citoyens peuvent créer des applications compatibles SSO. SSO est pris en charge pour les applications Web classiques, les applications Web progressives et les applications mobiles natives et peut être activé à l'aide des modules SSO appropriés du Mendix Marché. Mendix vous offre une couverture complète Plate-forme de soutien sur ces modules.

Les fonctionnalités SSO ne se limitent pas à un modèle de déploiement. Que vous choisissiez de déployer votre Mendix candidatures sur le Mendix Cloud, un cloud partenaire, votre propre cloud privé ou même sur site, SSO est pris en charge. MendixLes capacités SSO de ne dépendent d'aucun service d'identité fourni ou hébergé par Mendix.

Mendix fournit un support pour les normes ouvertes actuelles pour SSO : SAML 2.0 et OpenID Connect. Mendix les développeurs peuvent télécharger les modules applicables (c'est-à-dire SSO OIDC or SAML) du Mendix Marketplace et les inclure comme un élément de base dans leur Mendix application pour obtenir la fonctionnalité SSO requise. Pour les applications natives, le SSO mobile module est nécessaire. En plus du SSO basé sur les normes ouvertes, Mendix prend également en charge SSO pour les applications exécutées sur SAP Business Technology Platform (BTP) ; Mendix fournit un Connecteur XSUAA pour SAP BTP pour SSO avec l'infrastructure d'identité SAP.

Comment puis-je avoir une authentification multifacteur pour mon Mendix applications?

L'approche la plus courante pour l'authentification multifacteur (MFA ou 2FA) consiste à activer l'authentification unique dans vos applications et à laisser votre IdP appliquer l'authentification multifacteur lors de la connexion de l'utilisateur. Si vous authentifiez les utilisateurs de votre application localement dans votre Mendix application, vous pouvez étendre la validation du nom d'utilisateur et du mot de passe par défaut avec un deuxième facteur en utilisant l'un des modules disponibles sur la Marketplace.

Quelles solutions de fournisseur d'identité puis-je utiliser avec mon Mendix applications?

Vous pouvez intégrer votre Mendix applications avec la plupart des solutions de fournisseurs d'identité (IdP). Mendix les clients ont intégré leurs applications avec Entra ID de Microsoft (anciennement connu sous le nom d'Azure AD), Auth0, Ping, ForgeRock, AWS Cognito, Google, Salesforce, Apple, Okta, Ping, SAP Cloud Identity Services, Facebook, LinkedIn, KeyCloak et AWS IAM Identity Center.

Toute technologie prenant en charge des normes ouvertes courantes (par exemple OpenID Connect, SAML v2.0) peut être intégrée. Par exemple, les fonctionnalités les plus avancées du module SAML permettent l'intégration avec les IdP qui exigent un niveau de sécurité plus élevé en utilisant la « liaison d'artefacts » plus sécurisée. Les clients aux Pays-Bas, par exemple, l'utilisent pour intégrer leurs applications aux infrastructures IAM réglementées par le gouvernement DigiD et eHerkenning, qui sont des schémas basés sur la norme européenne Règlement eIDAS.

Comment puis-je définir des rôles d’utilisateur pour mon application ?

Mendix les applications offrent une flexibilité totale pour Mendix les développeurs peuvent définir et implémenter les rôles d'utilisateur comme ils le souhaitent, en utilisant les rôles de module.

Un rôle utilisateur regroupe plusieurs rôles de module, donnant des droits d'accès aux données, aux pages et aux microflux (logique). Chaque rôle utilisateur peut être composé d'un ou plusieurs rôles de module et un rôle de module peut être inclus dans plusieurs rôles utilisateur. Lorsqu'une application est créée à l'aide de modules de Mendix Marché, le Mendix le développeur peut choisir d'inclure une sélection de rôles de module prêts à l'emploi dans les rôles d'utilisateur de son Mendix .

Seuls les rôles utilisateur sont pertinents pour la gestion des accès. Un utilisateur final de votre application n'a connaissance que de ses rôles utilisateur. Le concept de rôles de module n'est pertinent que pour les développeurs d'applications ; ils sont internes à l'application.

Vous trouverez plus d'informations à ce sujet dans le Comment puis-je définir les rôles d’utilisateur pour mon application ? section du guide du modèle de sécurité.

Comment les rôles d’utilisateur sont-ils attribués aux utilisateurs dans mon application ?

Chaque Mendix l'application possède un ou plusieurs rôles d'utilisateur ; qui peuvent être attribués aux utilisateurs de votre application de plusieurs manières.

L'inspection automobile simple La façon d'attribuer des rôles d'utilisateur consiste à inclure le Module d'administration dans votre application et demandez à un utilisateur administrateur d'attribuer des rôles d'utilisateur aux utilisateurs de l'application, manuellement.

La méthode la plus utilisée pour attribuer des rôles d'utilisateur consiste à utiliser votre fournisseur d'identité (IdP). Lorsqu'un utilisateur d'application se connecte à votre application via Single Sign-On (SSO), l'IdP fournit généralement des informations sur l'utilisateur et ces informations peuvent être utilisées pour attribuer automatiquement un rôle d'utilisateur à l'utilisateur. Les modules SSO sont livrés avec quelques valeurs par défaut pour ce faire, et les développeurs low-code peuvent facilement implémenter leur propre logique personnalisée pour attribuer les rôles d'utilisateur. Une telle logique personnalisée serait une interprétation sémantique des informations fournies par votre IdP ; qui peut prendre la forme d'assertions, de revendications, d'attributs, de portées et de rôles, selon le protocole et les fonctionnalités utilisés.

Cette dernière approche présente les avantages évidents de l'automatisation et de la gouvernance centralisée des autorisations. Les grandes organisations souhaiteront automatiser leurs processus Joiner-Mover-Leaver, en particulier avec un grand nombre d'applications et d'utilisateurs d'applications.

Comment puis-je fournir une expérience SSO à ma solution multi-application sans intégration IdP ?

Lors de la création d'une solution B2E (Business-to-Employee), l'authentification unique (SSO) est généralement obtenue en intégrant vos applications compatibles SSO à votre fournisseur d'identité d'entreprise (IdP). En revanche, lors de la création d'une solution B2C (Business-to-Consumer) ou BXNUMXB (Business-to-Business),B2B) solution, l'intégration avec un IdP externe peut ne pas être possible, souhaitable ou tout simplement trop coûteuse.

L'approche « simple » serait de construire un seul Mendix application avec connexion utilisateur locale. Selon la complexité de votre solution, vous souhaiterez peut-être créer une solution multi-application pour une meilleure maintenabilité de votre solution. Vous êtes alors confronté au défi de fournir aux utilisateurs de votre application une expérience SSO sur plusieurs applications. Mendix vous aide à construire une telle solution où l'un de vos Mendix Les applications agissent comme une application portail sur laquelle les utilisateurs de votre application se connectent. Cette application portail sera une application centrale qui agit comme un IdP pour les autres applications.

Pour ce faire, le Mendix Marketplace fournit ce que l'on appelle Fournisseur OIDC module pouvant être inclus dans l'application du portail central. Un utilisateur de l'application se connecterait à l'application du portail (par exemple en utilisant un nom d'utilisateur et un mot de passe locaux), naviguerait vers d'autres applications connectées et obtiendrait un accès sans friction.

Comment puis-je créer des utilisateurs dans mon Mendix application ? Et comment puis-je les désactiver ou les supprimer ?

Vous pouvez choisir entre différentes approches pour effectuer le provisionnement des utilisateurs ou l'intégration des utilisateurs de votre application.

Le simple L'approche consiste à demander à un utilisateur « administrateur » local de créer manuellement des utilisateurs dans votre application. Module d'administration, disponible dans le Mendix Marketplace, vous aide à construire une telle solution.

Les utilisateurs peuvent également être créés via le provisionnement d'utilisateurs dit « juste-à-temps » (JIT). Si votre application est compatible SSO, un utilisateur qui se connecte pour la première fois peut être automatiquement créé dans votre application en fonction des informations utilisateur fournies par le fournisseur d'identité (IdP). Vos développeurs low-code peuvent utiliser la logique de provisionnement d'utilisateurs par défaut, qui est incluse dans les modules SSO, ou créer une logique personnalisée pour le faire.

Lorsque vous utilisez le provisionnement d'utilisateurs JIT, votre IdP peut appliquer une logique d'accès et refuser l'accès à certains utilisateurs, contrôlant ainsi les utilisateurs créés dans votre application. Le provisionnement d'utilisateurs JIT est flexible, facile à mettre en œuvre et peut éviter le provisionnement manuel des utilisateurs. L'inconvénient est que ce mécanisme basé sur l'authentification unique ne peut pas désactiver ou supprimer les utilisateurs de votre application. Mendix applications.

Pour désactiver ou supprimer des utilisateurs de votre application, vous avez deux options. La première consiste à utiliser l'administration locale des utilisateurs, où un « administrateur » local peut gérer les utilisateurs localement dans le module Administration. La deuxième option, plus efficace, consiste à intégrer votre Mendix application avec votre IdP et laissez cette intégration faire le travail. Les applications peuvent être intégrées à un IdP sur site via le protocole LDAP. Une approche plus moderne consiste à utiliser une intégration SCIM. SCIM est une abréviation de System for Cross-domain Identity Management. Il s'agit d'une norme ouverte prise en charge par la plupart des solutions IdP, telles qu'Entra ID, Okta et Ping. Mendix Le marché fournit une Module LDAP et un module SCIM que vos développeurs low-code peuvent utiliser.

Comment puis-je évoluer facilement sans que IAM ne me ralentisse ?

Si vous envisagez de développer de nombreux Mendix Applications, comment éviter ou minimiser la nécessité de répéter certaines tâches ? Dans le domaine de l'IAM, vous pouvez effectuer les opérations suivantes :

  1. Tout d’abord, créez un modèle de démarrage avec les modules IAM de votre choix.
  2. Deuxièmement, essayez d'éviter de personnaliser les modules IAM. Si vous avez besoin d'une version personnalisée, distribuez-la à vos développeurs à l'aide de votre Privé mode Mendix marché et modèle de démarrage. Contactez également Mendix Gestion des produits via votre responsable du support client (CSM), pour savoir si votre personnalisation peut être produite. Une fois produite, vous n'avez pas besoin de réimplémenter votre personnalisation lorsqu'une nouvelle version de votre module IAM est publiée par Mendix.
  3. Si vous avez besoin d'un provisionnement d'utilisateurs personnalisé ou d'une logique d'autorisation personnalisée, placez ces microflux personnalisés dans un module IAM personnalisé distinct que vous pouvez distribuer à vos développeurs via votre Privé mode Mendix Marketplace et votre modèle de démarrage. La réutilisation d'une telle logique personnalisée évite les efforts de personnalisation et de maintenance en double.
  4. Utilisez les possibilités de configuration des modules IAM au moment de la conception et/ou du déploiement. Votre pipeline peut déplacer votre application d'un environnement de test à un autre et la connecter automatiquement à l'IdP de test ou de production applicable.
  5. Envisagez de créer une solution de courtier SSO. La configuration de SSO entre votre application et votre IdP peut nécessiter des étapes manuelles et les procédures peuvent ralentir l'innovation. Avec une solution de courtier SSO, votre pipeline peut s'enregistrer automatiquement Mendix applications au courtier SSO et exploitez une connexion SSO unique entre le courtier SSO et votre IdP. Vous pouvez créer un courtier SSO à l'aide de Module fournisseur OIDC.

Le Mendix prend en charge les fonctionnalités avancées du protocole SSO ?

Les différents protocoles de gestion des identités et des accès (IAM) ne sont pas prescriptifs sur tous les détails techniques ; Mendix Prend en charge diverses fonctionnalités optionnelles plus avancées pour l'authentification unique (SSO). Vous pouvez les utiliser pour des raisons de sécurité, de conformité, d'expérience DevSecOps ou d'expérience utilisateur. En voici quelques-unes.

OAuth/OIDC prend en charge les meilleures pratiques de sécurité, telles que l'utilisation de nonces et de PKCE. SAML prend en charge la liaison d'artefacts, conformément aux schémas d'identité réglementés par les autorités, notamment eIDAS et FIP. Il est également possible d'authentifier un utilisateur secondaire dans la session de l'utilisateur principal, ce qui permet des scénarios de double approbation. Mendix Prend en charge l'authentification par paire de clés avec OAuth, OpenID Connect (OIDC) et SAML. Avec OIDC, il est possible de demander une méthode d'authentification à l'aide du paramètre ACR. Pour l'authentification unique (SSO), Mendix utilise le navigateur système de l'appareil plutôt que le navigateur intégré ; lorsqu'il est combiné avec votre solution de gestion des appareils mobiles (MDM), vos utilisateurs peuvent se connecter à l' Mendix plateforme et/ou votre Mendix applications uniquement à partir d'appareils gérés.

Quelles fonctionnalités IAM sont disponibles par module de déploiement ?

Toutes les fonctionnalités IAM sont à votre disposition, quel que soit l'endroit où vous vous trouvez. déployez votre application: sur le Mendix Cloud, sur des clouds tiers ou sur votre cloud privé (air gap). Vos applications se connecteront à votre infrastructure IAM sans dépendre d'aucune autre infrastructure. Mendix Services de plateforme. Cette compatibilité multicloud vous permet de modifier le déploiement d'une application sans avoir à refactoriser votre module ; il suffit de modifier la configuration.

Choisissez votre langue