跳到主要内容

降低用户风险

站内搜索

联系销售
免费试用
打印

降低用户风险

治理是关于在可接受的风险范围内优化价值(取决于您的风险承受能力)。用户风险是 Mendix 治理价值框架。降低用户风险涉及管理平台应用程序开发人员和应用程序最终用户的身份和访问权限。

我们发现用户分为三类:

  • 平台用户 – 这些员工要么开发低代码应用程序,要么与这些开发人员合作。
  • 扩展劳动力 – 这是一个特殊的平台用户类别,他们是实施合作伙伴的员工,可能会帮助您 Mendix 作为平台用户的开发努力。
  • 应用程序用户 – 这些是你构建的应用程序的最终用户 Mendix。他们可能不知道构建这些应用程序所使用的技术。当应用程序用户想要对应用程序提供反馈或以其他方式进行协作以进一步增强您的产品组合时,他们也可能成为平台用户 Mendix 领域广泛应用,提供了卓越的解决方案。

控制平台用户风险

我的员工如何参与评估 Mendix 平台还是开始开发应用程序?

员工可以加入 Mendix 只需注册即可 Mendix 网站。他们所要做的就是:

  • 确认他们的公司电子邮件地址
  • 选择一个密码(如果需要),然后
  • 回答一些问题即可开始并获得指导, Mendix 开发人员。

无需签订合同 Mendix 首先;当你想评估 Mendix 平台或当你已经决定使用低代码开发时 Mendix.

- Mendix 平台可识别与同事拥有相同电子邮件域的用户,并帮助他们轻松协作。平台用户还可以互相邀请,因此只需点击邀请链接,他们便可更轻松地加入。

另见 新会员入门指南 部分。

我的员工如何登录 Mendix 平台?

- Mendix 平台包括身份服务,允许您的员工登录在线 Mendix 平台和集成开发环境 (IDE) Mendix 工作室专业版。

您可以通过以下方式之一安排平台用户身份验证:

  1. 注册时创建的用户定义密码:这是默认机制,它使您能够快速轻松地开始使用 Mendix 平台。 Mendix 将常见的密码复杂性规则应用于平台密码,并允许您 配置密码有效期,此后开发人员必须更改密码。
  2. 之间的身份联合 Mendix 平台和您的企业身份提供商 (IdP):这使您能够为平台用户提供端到端的 SSO 体验。 Mendix 调用平台 SSO 功能 BYOIDP(自带身份提供商)。此功能需要 标准或高级 平台许可证。每次 SSO 登录 Studio Pro 时都使用系统浏览器进行 SSO,这样就可以应用 IdP 中的条件访问功能(例如检查受信任的设备)。
  3. SAP BTP 凭证或 Siemens 适用于 IdP Siemens Xcelerator 客户:这可以防止您的用户拥有另一组凭证。

怎么样 Mendix 平台支持多因素身份验证吗?

多因素身份验证 (MFA) 增加了一层安全保护,对于防止受感染账户的攻击非常重要。许多公司希望其多因素身份验证覆盖范围包括访问 Mendix 平台。

启用平台 SSO 是向平台用户强制实施 MFA(或 2FA,因为许多公司认为两个身份验证因素就足够了)的推荐方法。这将扩大 IdP 的覆盖范围 Mendix 平台并利用您现有的 MFA 流程。

而且, Mendix 平台对敏感活动强制实施双因素身份验证 (2FA)。每次将生产应用程序手动部署到 Mendix 云。 Mendix 平台包括短信登录代码以及基于时间的一次性密码 (TOTP)。TOTP 与 Google 或 Microsoft 的 Authenticator 应用程序兼容。平台用户可以在 Mendix 平台通过自助服务机制,使用发送到其企业电子邮件地址的确认链接。

怎么样 Mendix 平台允许我管理我的平台用户的权限吗?

Mendix 支持定义 Mendix 管理人员 可以按照委派管理概念为用户分配权限。您可以拥有一个或多个 Mendix 管理员可以控制授予其他平台用户的权限。

- 控制中心 是提供 Mendix 管理員 可以一目了然地了解其应用格局、成员和云环境。在控制中心, Mendix 管理员 可以查看团队成员活动,并且可以执行以下管理任务:

  • 了解贵公司所有平台用户的概况,包括他们的状态(内部或外部), Mendix 认证级别以及他们可以访问的应用程序。
  • 停用他们认为存在安全风险的成员。
  • 概览公司的所有应用程序,包括应用程序的创建者以及最后修改的时间。

而且, Mendix 平台提供了一个 API( 项目 API)以自动方式将用户添加为 Scrum Master 或将其从单个应用项目中删除。

如何防止开发人员继续访问 Mendix 离开我的公司后,他们还会有其他什么平台吗?

- Mendix 控制中心允许 Mendix 管理员 关闭 平台用户。这将阻止该用户访问任何 Mendix 平台服务或使用任何平台 API。

如果您在 Mendix 平台和您的企业 IdP(平台 SSO),阻止 IdP 中的开发人员将阻止登录 Mendix 平台。这样,您的中央身份治理流程也可以应用于 Mendix 平台。

我如何控制开发人员如何为我的开发做出贡献 Mendix 应用程序?

- Mendix 平台有一系列开发角色,可以通过 Mendix 门户。

对于你正在开发的每个应用程序,你可以组建自己的应用程序团队并分配 应用团队角色 向您的团队成员发送邀请或邀请其他开发人员加入您的应用团队。

目前我们公司平台用户的认证等级是多少?

治理的一个关键是确保你的员工得到适当的培训。 会员概览 在控制中心,列出了所有有权访问您的应用程序开发的平台用户及其当前的认证。

哪些特权账户 Mendix 有?

特权账户管理是网络安全的关键,因为绝大多数数据泄露都涉及此类账户。 Mendix 平台是用户账户 Mendix 管理員 权利。这些 Mendix 管理员(或简称“Mendix 管理员”)在组织层面上负责监督各种 Mendix 贵公司创建的应用程序。 Mendix 管理员可以使用 Mendix 控制中心用于激活(取消激活)用户、编辑他们的项目角色、设置应用程序访问组以及管理公司租户级别的设置。

对于您开发的每个应用程序 Mendix,以 技术联系方式 已分配。技术联系人是应用程序的第一个联系点,负责控制部署设置。

对于部署在 Mendix 云, Mendix 创建一个“本地” 管理员 用户, 管理控制台,该用户将获得由应用程序开发人员创建的管理用户角色。此外,应用程序逻辑还可以将本地管理员角色分配给其他最终用户。开发人员可以完全控制此特定管理用户角色中包含的权限。例如,它可能没有任何管理权限,对于出于访问治理原因不想使用本地管理员用户的公司来说,它甚至可能是一个“空”用户角色。

控制扩展劳动力风险

刚起步的公司或需要特定专业知识的公司可能会考虑使用自由职业者来扩展其开发人员队伍, Mendix 实施合作伙伴,或 Mendix 专家服务。其他公司可能会选择将部分应用程序的开发和维护外包给合作伙伴。

我如何控制我的员工队伍中的外部开发人员?

如果您想控制外部员工的身份验证方式,您可以在公司的 IdP 中创建命名账户(即 [电子邮件保护]) 适用于任何外部员工。这样,您就可以像管理常规员工一样管理外部员工,包括自动停用前员工。

如果这不是先决条件,则具有项目角色中“邀请”权限的人员可以邀请外部成员加入其项目(例如 [电子邮件保护]) 到您的应用项目,并且该用户将通过其自己公司的身份验证方法进行身份验证。

与内部员工类似,您可以在控制中心看到来自其他领域的外部成员的概览、他们正在合作的项目以及他们获得的最高级别的认证。

当他们不再是开发团队的一员时,您可以将他们从项目中移除。如果他们不再参与任何项目,他们将不再显示在您的外部成员列表中。

我如何与我的实施合作伙伴合作开发应用程序?

如果你选择外包开发 Mendix 如果要将应用程序交付给实施合作伙伴,建议的方法是自己创建应用程序项目,然后与合作伙伴合作完成这些项目。这样,您就可以完全控制自己的知识产权,这是管理这些项目的最佳方式。它还允许您的员工拥有所有权,或者允许您切换到另一个实施合作伙伴。

您可以授予合作伙伴与您合作完成这些项目所需的权限。当他们完成对项目的贡献后,可以从项目团队中移除他们。应用项目和合作伙伴所做的所有贡献都将保留在项目中。

或者,合作伙伴也可以创建一个项目并邀请您与他们合作完成该项目。在这种情况下,当合作伙伴的贡献结束时,您可以通过创建自己的项目并导入合作伙伴开发的应用程序来获得所有权。

控制应用程序用户风险

用身份和访问管理 (IAM) 的通用定义来解释。我们可以说,控制应用程序用户风险是为了确保正确的应用程序用户可以访问正确的 Mendix 为应用程序分配正确的用户角色,以达到正确的目的。应用程序用户是指应用程序的用户。 Mendix 应用程序,包括最终用户和特权用户(又称管理员用户)。

下图显示了典型的企业对员工 (B2E) 中使用的 IAM 功能 Mendix 应用程序。

用户访问我的 Mendix 应用?

- Mendix 平台提供了多种可能性来验证您的用户 Mendix 应用。

第一种可能性是 而不去 验证应用程序用户的身份。您可以让访问者 匿名访问 访问应用程序的受限部分。特别是如果您正在构建针对(潜在)客户和/或消费者的应用程序,您可能希望在尝试将此类用户转换为注册用户之前,授予他们访问有限功能的权限。

第二种可能性是在您的应用程序中本地验证应用程序用户的身份;完全独立于他们可能已经在任何生态系统或身份提供商 (IdP) 中拥有的任何身份。使用用户名和密码登录是 Mendix 应用程序(见 登录行为 按照 Mendix 运行时)。密码重置功能可以通过使用 忘记密码 模块作为构建块。您可以使用 MFA 模块来加强此类本地身份验证 Mendix 市场或具有自定义逻辑。

第三种也是最常用的身份验证方法是通过单点登录 (SSO) 将用户身份验证委托给充当身份提供者 (IdP) 的外部应用程序。

如何 Mendix 我是否支持低代码应用程序的单点登录 (SSO)?

单点登录是一种基于应用程序和身份提供商 (IdP) 功能的用户体验。 Mendix 平台,即使是普通开发者也可以构建支持 SSO 的应用程序。常规 Web 应用程序、渐进式 Web 应用程序和原生移动应用程序均支持 SSO,并且可以使用正确的 SSO 模块启用 Mendix 卖场。 Mendix 为您提供全 平台支援 在这些模块上。

SSO 功能不限于任何部署模型。无论您选择部署 Mendix 上的应用程序 Mendix 云、合作伙伴云、您自己的私有云,甚至内部部署,都支持 SSO。 Mendix的 SSO 功能不依赖于提供或托管的任何身份服务 Mendix.

Mendix 为当今的 SSO 开放标准提供支持:SAML 2.0 和 OpenID Connect。 Mendix 开发人员可以下载适用的模块(即 OIDC 单点登录 or 安全反洗钱)从 Mendix 市场,并将其作为其组成部分 Mendix 应用程序获取所需的 SSO 功能。对于本机应用, 移动单点登录 模块。除了基于开放标准的 SSO, Mendix 还支持在 SAP 商业技术平台 (BTP) 上运行的应用程序的 SSO; Mendix 提供了一个 SAP BTP 的 XSUAA 连接器 用于与 SAP 身份基础设施进行 SSO。

如何为我的 Mendix 应用程序?

最常见的多重身份验证 (MFA 或 2FA) 方法是在应用程序中启用 SSO,并让您的 IdP 在用户登录时强制执行 MFA。如果您在本地对应用程序用户进行身份验证 Mendix 应用程序中,您可以使用 Marketplace 中提供的模块之一,通过第二个因素扩展默认用户名和密码验证。

我可以将哪些身份提供商解决方案与我的 Mendix 应用程序?

您可以整合您的 Mendix 大多数身份提供商解决方案 (IdP) 都支持该功能。现有的 Mendix 客户已将其应用程序与 Microsoft 的 Entra ID(以前称为 Azure AD)、Auth0、Ping、ForgeRock、AWS Cognito、Google、Salesforce、Apple、Okta、Ping、SAP Cloud Identity Services、Facebook、LinkedIn、KeyCloak 和 AWS IAM Identity Center 集成。

任何支持通用开放标准(例如 OpenID Connect、SAML v2.0)的技术都可以集成。例如,SAML 模块中更高级的功能允许通过利用更安全的“工件绑定”与需要更高安全级别的 IdP 集成。例如,荷兰的客户正在使用此功能将其应用程序与政府监管的 IAM 基础设施 DigiD 和 eHerkenning 集成,这些基础设施是基于欧洲的方案 eIDAS 监管.

如何为我的应用程序定义用户角色?

Mendix 应用程序提供充分的灵活性 Mendix 开发人员可以利用模块角色以任何他们想要的方式定义和实现用户角色。

用户角色聚合了多个模块角色,赋予了数据、页面和微流(逻辑)的访问权限。每个用户角色可以由一个或多个模块角色组成,一个模块角色可以包含在多个用户角色中。当使用来自 Mendix 市场, Mendix 开发人员可以选择将现成的模块角色纳入其用户角色中 Mendix 应用程序。

只有用户角色与访问管理相关。应用程序的最终用户只知道他们的用户角色。模块角色的概念仅与应用程序开发人员相关;它们是应用程序内部的。

有关更多信息,请参阅 如何为我的应用定义用户角色? 安全模型指南的部分。

如何在我的应用中为用户分配用户角色?

所有的 Mendix 应用程序具有一个或多个用户角色;可以通过多种方式分配给您的应用程序用户。

最多 简单 分配用户角色的方法是包括 管理模块 在您的应用程序中,让管理员用户手动为应用程序用户分配用户角色。

分配用户角色的最常用方式是利用您的身份提供商 (IdP)。当应用程序用户通过单点登录 (SSO) 登录到您的应用程序时,IdP 通常会提供有关用户的信息,这些信息可用于自动为用户分配用户角色。SSO 模块附带一些默认设置,低代码开发人员可以轻松实现自己的自定义逻辑来分配用户角色。此类自定义逻辑将是对您的 IdP 提供的信息的语义解释;它可以采用断言、声明、属性、范围和角色的形式,具体取决于所使用的协议和功能。

后一种方法具有自动化和授权集中管理的明显优势。大型组织希望实现加入-迁移-离开流程的自动化,尤其是在有大量应用程序和应用程序用户的情况下。

如何在没有 IdP 集成的情况下为我的多应用程序解决方案提供 SSO 体验?

在构建企业对员工 (B2E) 解决方案时,您通常通过将支持 SSO 的应用与企业身份提供商 (IdP) 集成来实现单点登录 (SSO)。但是,在构建企业对消费者 (B2C) 或企业对企业 (B2B) 解决方案,与外部 IdP 的集成可能不可行、不可取,或者成本太高。

“简单”的方法是建立一个 Mendix 具有本地用户登录的应用程序。根据解决方案的复杂性,您可能希望构建一个多应用程序解决方案,以提高解决方案的可维护性。然后,您面临的挑战是为应用程序用户提供跨多个应用程序的 SSO 体验。 Mendix 帮助您构建这样的解决方案,其中您的一个 Mendix 应用程序充当门户应用程序,供应用程序用户登录。此门户应用程序将是一个中央应用程序,充当其他应用程序的 IdP。

为此, Mendix 市场提供了所谓的 OIDC 提供商 可以包含在中央门户应用程序中的模块。应用程序用户可以登录门户应用程序(例如,使用本地用户名和密码),导航到其他连接的应用程序,并无阻碍地获得访问权限。

如何在我的 Mendix 应用程序?我该如何停用或删除它们?

您可以选择多种方法来进行用户配置或应用程序用户的入职培训。

- 简单 方法是让本地“管理员”用户在您的应用中手动创建用户。 管理模块,可在 Mendix 市场,帮助您构建这样的解决方案。

还可以通过所谓的即时 (JIT) 用户配置来创建用户。如果您的应用启用了 SSO,则可以根据身份提供商 (IdP) 提供的用户信息在您的应用中自动创建首次登录的用户。您的低代码开发人员可以使用 SSO 模块中包含的默认用户配置逻辑,也可以创建自定义逻辑来执行此操作。

使用 JIT 用户配置时,您的 IdP 可以应用访问逻辑并拒绝某些用户的访问;从而控制在您的应用中创建哪些用户。JIT 用户配置灵活、易于实施,并且可以避免手动用户配置。缺点是,这种基于 SSO 的机制无法停用或从您的 Mendix 领域广泛应用,提供了卓越的解决方案。

要从应用程序中停用或删除用户,您有两种选择。第一种是使用本地用户管理,本地“管理员”可以在管理模块中本地进行用户管理。第二种更好的选择是集成您的 Mendix 应用程序与您的 IDP 集成,让该集成完成工作。应用程序可以通过 LDAP 协议与本地 IdP 集成。更现代的方法是使用 SCIM 集成。SCIM 是跨域身份管理系统的缩写。它是一种开放标准,大多数 IdP 解决方案(如 Entra ID、Okta 和 Ping)都支持它。 Mendix 市场提供了一个 LDAP 模块 以及一个供低代码开发人员使用的 SCIM 模块。

如何轻松扩展且不受 IAM 拖慢?

如果你计划开发许多 Mendix 应用程序,如何避免或尽量减少重复某些任务的需要?在 IAM 域中,您可以执行以下操作:

  1. 首先,使用您选择的 IAM 模块创建一个入门模板。
  2. 其次,尽量避免定制 IAM 模块。如果您确实需要定制版本,请使用您的 私做 Mendix 市场 和入门模板。此外,请联系 Mendix 通过客户支持经理 (CSM) 联系产品管理,了解您的自定义是否可以产品化。一旦产品化,当 IAM 模块的新版本发布时,您无需重新实施自定义 Mendix.
  3. 如果您需要自定义用户配置或自定义授权逻辑,请将这些自定义微流放入单独的自定义 IAM 模块中,然后通过您的 私做 Mendix 市场 和您的入门模板。重复使用此类自定义逻辑可避免重复的定制工作和维护。
  4. 使用 IAM 模块的设计时和/或部署时配置可能性。您的管道可以将您的应用从一个暂存环境移动到另一个暂存环境,并自动将其连接到适用的测试或生产 IdP。
  5. 考虑创建 SSO 代理解决方案。在您的应用和 IdP 之间设置 SSO 可能需要手动步骤,而程序可能会减慢创新速度。使用 SSO 代理解决方案,您的管道可以自动注册 Mendix 在 SSO 代理处部署应用程序,并利用 SSO 代理和 IdP 之间的单一 SSO 连接。您可以使用 OIDC 提供商模块.

选择你的语言