Mendix ランタイムセキュリティ | Mendix 評価ガイド

メインコンテンツへスキップ

サイト内検索

営業担当者へ連絡
無料でお試し
印刷物

ランタイムセキュリティ

セキュリティはどのように扱われるか Mendix アプリ?

セキュリティがどのように扱われるかを理解する前に Mendix アプリケーションを理解するには、 Mendix ランタイム アーキテクチャ.

で Mendix アプリケーションでは、UIレイヤーは Mendix クライアントはブラウザで実行されるJavaScriptライブラリとして実装されます。ネイティブモバイルアプリケーションの場合、UIレイヤーはReact Nativeアプリケーションで実行されるJavaScriptアプリケーションバンドルとして実装されます。ロジックとデータレイヤーは Mendix ランタイム( Mendix ランタイム自体は Java で開発され、Java 仮想マシン上で実行されます。

以内 Mendix クライアントでは、クロスサイトスクリプティングなどのJavaScriptベースのセキュリティ脅威に対する対策を実施しています。これにより、同じブラウザで実行されている他のウェブサイトやウェブアプリケーションがクライアントから機密情報を取得することを防ぎます。 Mendix アプリ(Cookie など)。

さらに、 Mendix ランタイムは、SQLインジェクションやコード実行などのサーバー側のセキュリティ脅威に対処します。デフォルトでは、任意のクライアント( Mendix クライアントは信頼できないと認識されます。

Mendix アプリ開発者は、構築時に技術的なセキュリティ面を考慮する必要はありません。 Mendix プラットフォームがこれをサービスとして処理するため、アプリはセキュリティをまったく考慮する必要がありません。もちろん、これは開発者がセキュリティをまったく考慮する必要がないという意味ではありません。アプリケーション レベルの承認とアクセス権は、開発者がアプリケーション モデルで構成する必要があります。これは、ほとんどの技術的なセキュリティの側面は汎用的に解決できる一方で、データへのアクセスの前提条件となるビジネス ルールと要件は、アプリケーションやビジネスごとに異なる可能性があるためです。

各操作は Mendix 実行時間は「アクション」と呼ばれます。 Mendix ランタイムは、ワークフローのトリガーと実行、ビジネスルールの評価など、多​​くの定義済みアクションを提供します。技術的なセキュリティメカニズムのバイパスを防ぐために、これらのアクションは、 Mendix これらはランタイムであり、アプリ開発者が変更することはできません。

のコアインターフェースは Mendix ランタイム (すべてのアクションの実行を担当) には、ユーザー ロールごとに実行可能なすべてのアクションとデータ アクセス ルールを含むセキュリティ マトリックスがあります。データ アクセス ルールは、クエリがデータベースに送信されたときに実行時に適用されます。これにより、アクセス ルール制約の境界内にあるデータのみが取得されます。

私の Mendix アプリは OWASP トップ 10 のような一般的なセキュリティ脅威に対処しますか?

当学校区の Mendix ランタイムと Mendix クライアントには、SQLインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、認証の不備など、OWASP Top 10に含まれる既知の脅威を含む、幅広い脅威からアプリケーションを保護するセキュリティ対策が組み込まれています。これらのセキュリティ対策は、毎月外部の侵入テストを受けています。

当学校区の Mendix ランタイムと Mendix 業界リーダーが提供する最新の静的分析およびソフトウェア構成分析テクノロジーを使用してクライアントを毎日スキャンし、軽減されていない脆弱性が残っていないことを確認します。

どのように Mendix Web サービス、REST サービス、API を使用してシステムとサービス インターフェイスを認証しますか?

システムおよびサービス インターフェイスには認証と承認が必要です。

認証については、 Mendix 以下の技術実装をサポートします。

  • HTTP認証。ユーザー名とパスワードを使用した基本認証がデフォルトのオプションになります。
  • Web サービスのセキュリティ標準。OAuth アクセストークン(不透明または JWT)の使用は、サポートされているベストプラクティスです。
  • Java を含むカスタム定義の認証メカニズム。

これらのオプションにより、アイデンティティ伝播を適用できるようになります。

APIを実装する場合 MendixAPIの認可は、アプリケーションモデルで定義された認可に基づいて行われます。OIDC SSOモジュールは、OAuthアクセストークンの検証と、認可されたユーザーロールの割り当てに使用できます。 Mendix 人間のユーザー(ユーザーロール、エンティティアクセスなど)と「マシンID」に同じセキュリティモデルを使用します。マシンIDはオンザフライでプロビジョニングできるため、利用側クライアントのAPIキーやパスワードを、利用側APIで管理する必要はありません。

アクセストークンは、サードパーティの技術によって発行されるか、 Mendix OIDCプロバイダーモジュールを使用したソリューションです。このモジュールは、人間のID(SSO)またはマシンIDのいずれかにアクセストークンを発行するために使用できます。

例えば、マルチアプリソリューションでは、エンドユーザーはEntra IDでログインし、その結果生成されたトークンを使用してAPIを使用します。スケジュールされたジョブは、「マシン」IDを使用してAPIを使用します。

言語を選択してください