为什么要自带 IdP?
在你的开始时 Mendix 旅程中,你可能只需要一台笔记本电脑、一个商务邮箱和一个密码。无需信用卡、合同或公司入职培训;你只需要创建一些简单的应用程序。但随着你的知识产权越来越多地反映在应用程序逻辑中,或者随着你开发更多应用程序 Mendix,必须遵守组织设定的准则。
这些指导方针可能包括:
- 仅通过组织的 Active Directory 登录业务应用程序,以便应用首选的密码长度、复杂性和密码到期时间。
- 要求任何不在你自己防火墙后面的应用程序进行双因素身份验证 (2FA)(例如, Mendix 平台)。
安全和合规经理可能准备暂时例外处理这些规则,但某个时候例外就会结束。不要让这成为继续创新的障碍。
BYOIdP 如何工作以及为什么工作?
借助 BYOIdP, Mendix 平台现在将登录过程委托给您自己的身份提供商。借助此单点登录 (SSO) 解决方案,您可以完全控制如何满足组织既定的身份验证要求。
毕竟,员工需要记住的密码越少,他们重复使用密码或做出其他有害安全的不良选择的可能性就越小。
通过 BYOIdP 进行的 SSO 不仅以简单的方式提供了强大的安全性,而且还提供了对谁可以登录的即时控制, Mendix 平台。
如果用户在公司 IdP 中被停用怎么办?那么他们将无法再登录 Mendix 平台。关于 Mendix 基于 BYOIdP 的平台会每小时刷新一次,因此阻止某个用户很快就会达到预期的效果。
虽然大多数客户允许所有员工参与 Mendix 作为低代码开发人员或最终用户,BYOIdP 利用 IdP 中的功能来限制对 Mendix 平台到单个业务部门。BYOIdP 会影响登录和注册。
如何设置新的 BYOIdP 功能
按照我们网站上描述的步骤,一天之内即可完成 BYOIdP 的配置和测试 文档网站。SSO 集成基于所谓的 OpenID Connect 协议,该协议是几乎所有 IAM 技术都支持的行业标准。因此,无论是 Azure AD、Okta 还是 Ping,它们都以相同的方式工作。
要从 CI/CD 管道或通过 Tortoise 等客户端 SVN 工具直接访问代码存储库,您的平台用户需要创建个人访问令牌。对于 Team Server Git 用户来说,这是一种熟悉的机制。如果您的应用位于 Team Server SVN 上,您现在可以使用相同的选项。