跳到主要内容

应用程序安全定义

联系销售
免费试用

站内搜索

打印

安全模型

如何定义应用程序安全性 Mendix?

Mendix 为用户提供基于角色的访问权限,以便用户能够立即访问使用该平台构建的应用程序。这是因为 Mendix 由一个或多个模块组成,模块通常具有功能范围(例如,商品、客户、订单),同时又自成一体,因此可以在多个应用中重复使用。由于应用和模块之间存在区别,因此安全性方面在两个级别上都有定义。应用级安全设置适用于应用内的所有模块,而模块级设置则特定于每个模块。

Mendix 应用程序安全性是根据下面描述的参数定义的。

如何定义应用级安全性和应用模型一致性 Mendix?

- Mendix 平台支持可配置的完整性检查,以确保平台上部署的应用程序的所有相关方面的安全性。 Mendix 还会检查安全设置的一致性。例如,被允许查看列出表中数据的某个 UI 元素的人也必须被授权查看与该 UI 元素相关的数据。

根据开发阶段,可以或多或少严格地应用应用程序和完整性检查。这有利于在开发和原型环境中避免在预生产阶段进行不必要的一致性和安全性活动。安全级别 关闭 和 原型/演示 只允许本地测试、免费应用程序和部署到非Mendix 指定用于开发的云环境。它们不能用于部署到生产环境。

将许可应用程序部署到 所有 Mendix 云环境需要 生产安全等级 以及所有安全设置的完整配置。

如何为我的应用定义用户角色?

应用程序的最终用户被分配了一个或多个 用户角色 由管理员分配,或由可与应用程序集成的(第三方)身份和访问管理解决方案自动配置。然后,用户将获得这些用户角色所代表的所有访问权限。

在用户角色中,也可以分配用户管理权限,这样分配了该角色的用户就可以管理具有该选定角色的其他用户的访问权限。此功能与支持委派管理概念相关。

 

每个用户角色都有一个或多个 模块角色。模块角色在模块级别定义角色(例如,“订单录入员”或“审批人”)。这意味着具有该用户角色的用户拥有为这些模块角色定义的所有访问权限。应用程序的最终用户只能看到用户角色,而看不到模块角色,因此只能将用户角色分配给最终用户,而将模块角色分配给用户角色。用户角色聚合了来自模块角色的数据、页面和微流(逻辑)的多个访问权限。

此外, Mendix 通过配置特定的角色,支持匿名用户登录应用程序。

有关详细信息,请参阅 如何在我的应用程序中将用户角色分配给用户? in 运行时安全.

如何扩展应用程序访问?

Mendix 管理员可以通过应用访问组集中管理访问权限 控制中心。应用程序访问组使管理安全性变得容易,因为可以在组级别而不是个人级别授予或撤销访问权限。添加到组的公司成员将自动获得该组连接的访问​​权限 Mendix SSO 应用。

文件访问的可配置性如何 Mendix?

文件存储和使用图片的访问权限 Mendix 应用程序是完全可配置的。

如何定义数据级和 UI 级安全性 Mendix?

每 Mendix 应用程序模型由各种独立的模块组成。页面、微流(执行操作)、实体和数据集的数据级和 UI 级安全性在每个模块本身中定义。

以下部分描述了如何配置此级别的安全性 Mendix 应用。

模块角色如何在我的 Mendix 应用模型?

Mendix 区分模块角色和用户角色,以便模块及其角色可以在不同的应用程序中重复使用和/或发布到 Mendix 市场.

如何定义模块级安全设置?

在模块级别,安全逻辑与应用程序逻辑分离。这样,即使是技术水平较低的用户也可以轻松访问以及维护和验证安全设置。所有安全设置都通过 Mendix Studio Pro 来定义下述元素的访问权限。

此视频介绍了可用的各种模块级安全设置:

如何 Mendix 保护我的应用程序的页面?

页面访问定义了具有特定模块角色的用户可以访问的应用程序页面。导航项(菜单栏和按钮)经过优化,因此它们仅显示指向用户有权访问的页面的项目。

页面访问权限采用矩阵形式,显示页面和模块角色。对于每个组合,用户可以指示模块角色是否有权访问该页面。还可以使用 可见于 属性。

如何在我的 Mendix 应用程序?

微流用于直观地定义业务和流程逻辑。微流访问权限定义具有特定模块角色的用户可以执行哪些微流。导航项(菜单栏和按钮)经过优化,仅显示用户有权访问的微流。

微流访问在微流和模块角色矩阵内进行管理。对于每个组合,用户可以指示模块角色是否有权访问微流。

也可以使用以下方式在微流程中编辑此信息: 允许的角色 属性。

应用数据如何安全地封装在 Mendix?

对于每个模块角色,实体访问定义具有该角色的用户是否有权创建、读取、更新和删除实体的对象。实体访问配置了适用于实体的访问规则。每个访问规则依次适用于一个(一组)模块角色。实体的访问规则定义用户可以对实体的对象执行哪些操作。可以允许用户创建和删除对象以及查看和编辑成员值。成员是实体的属性或关联。

此外,可供查看、编辑和删除的对象数据集可以通过 XPath 约束进行限制。每条访问规则都适用于一个或多个模块角色。访问规则授予这些角色某些访问权限。规则是附加的,这意味着如果多个访问规则适用于同一个模块角色,则这些规则的所有访问权限将合并为该模块角色。例如,当应用程序配置为多租户使用时,可以应用此功能。

 

每当您的应用程序使用实体时,这些规则都会应用,并且这些规则会自动应用于模型中完成的 XPath 检索。您可以在实体上定义 XPath 约束,这意味着您可以根据用户角色或组织定义访问规则。这可用于确保多租户应用程序中的严格数据分离。

 

应用程序用户的身份和访问管理功能如下所述 控制应用程序用户风险.

选择你的语言