Gebruikersrollen en toegangsrechten beheren in Mendix betekent dat je per rol bepaalt welke pagina’s, data en functionaliteiten toegankelijk zijn. Mendix biedt hiervoor een gelaagd securitymodel dat werkt op project-, module- en entiteitsniveau. Goed ingericht rolbeheer is geen bijzaak, maar de basis van elke applicatie die met gevoelige informatie werkt of moet voldoen aan compliance-eisen. In dit artikel beantwoorden we de meest gestelde vragen over dit onderwerp.
Wat zijn gebruikersrollen en toegangsrechten in Mendix?
In Mendix bepalen gebruikersrollen wat een gebruiker binnen een applicatie mag zien en doen. Toegangsrechten zijn de concrete instellingen die aan die rollen zijn gekoppeld, zoals welke pagina’s iemand mag openen, welke microflows mogen worden uitgevoerd en welke data zichtbaar of bewerkbaar is. Samen vormen ze het fundament van de beveiliging van je applicatie.
Het onderscheid tussen rollen en rechten is belangrijk. Een rol is een label, zoals “Manager” of “Medewerker”. De rechten zijn de feitelijke configuratie die bij die rol hoort. Zonder die rechten correct in te stellen, heeft een rol geen betekenis. Voor maatwerk applicaties voor corporate organisaties die met persoonsgegevens, financiële data of medische informatie werken, is dit onderscheid cruciaal: verkeerd geconfigureerde rechten kunnen leiden tot datalekken of niet-naleving van wet- en regelgeving.
Hoe werkt het Mendix securitymodel in de praktijk?
Het Mendix securitymodel is opgebouwd uit drie lagen: project-level security, module-level security en entity-level security. Op projectniveau schakel je beveiliging in of uit en bepaal je de algemene beveiligingsmodus. Op moduleniveau stel je per module in welke rollen toegang hebben tot pagina’s en microflows. Op entiteitsniveau regel je wie welke objecten mag lezen, aanmaken, wijzigen of verwijderen.
Binnen entity-level security spelen XPath-constraints een belangrijke rol. Hiermee beperk je niet alleen óf iemand een entiteit mag lezen, maar ook welke specifieke records zichtbaar zijn. Een medewerker ziet dan alleen zijn eigen dossiers, terwijl een manager toegang heeft tot alle dossiers binnen zijn afdeling. Deze granulariteit maakt het mogelijk om complexe organisatiestructuren correct te modelleren in de applicatie.
Hoe maak en configureer je gebruikersrollen in Mendix?
Gebruikersrollen aanmaken in Mendix Studio Pro verloopt via een vaste structuur. Je begint op projectniveau met het definiëren van de app-rollen, waarna je per module de bijbehorende module roles aanmaakt en koppelt. Vervolgens stel je per rol in welke pagina’s, microflows en entiteiten toegankelijk zijn.
Een praktische aanpak om dit overzichtelijk te houden:
- Definieer eerst de rollen op basis van organisatiestructuur en verantwoordelijkheden, niet op basis van technische mogelijkheden.
- Werk met duidelijke, consistente namen zoals AppRole_Manager en ModuleRole_Manager om verwarring te voorkomen.
- Stel entity access altijd expliciet in per rol, ook als je denkt dat de standaardinstellingen voldoende zijn.
- Denk bij het opzetten van de rolhiërarchie al aan toekomstige uitbreidingen, zodat je later rollen kunt toevoegen zonder de bestaande structuur te herzien.
Een logische rolhiërarchie opzetten kost in het begin wat extra tijd, maar betaalt zich terug zodra de applicatie groeit of nieuwe gebruikersgroepen worden toegevoegd.
Wat zijn de meest gemaakte fouten bij het inrichten van toegangsrechten in Mendix?
De meest voorkomende fout is het toewijzen van te brede rechten, vaak omdat het tijdens de ontwikkeling sneller werkt. Een rol krijgt dan toegang tot alles, terwijl dat later nooit wordt teruggedraaid. Dit leidt tot applicaties waarin gebruikers data kunnen zien of bewerken die niet voor hen bedoeld is.
Andere veelgemaakte fouten zijn:
- Entity access vergeten in te stellen: pagina’s zijn afgeschermd, maar de onderliggende data is via microflows of REST-calls alsnog benaderbaar.
- Inconsistente rolnamen: wanneer naamgeving niet consequent is, wordt het lastig om te overzien welke rollen welke rechten hebben, zeker in grotere applicaties met meerdere modules.
- Security te laat meenemen in het ontwikkelproces: als security pas aan het einde wordt geconfigureerd, zijn er vaak al aannames gedaan in de datamodellering en logica die moeilijk terug te draaien zijn.
De aanbeveling is om security vanaf sprint één mee te nemen als vast onderdeel van de definition of done, niet als afzonderlijke fase aan het einde van het project.
Hoe integreer je Mendix-rolbeheer met externe identity providers zoals Azure AD?
Mendix ondersteunt koppelingen met externe identity providers via SAML of OIDC. Dit maakt het mogelijk om gebruikers te laten inloggen via hun bedrijfsaccount, bijvoorbeeld via Microsoft Azure Active Directory. Na authenticatie kan Mendix automatisch de juiste applicatierol toewijzen op basis van groepen of claims die door de identity provider worden meegegeven.
Voor corporate organisaties is dit een belangrijke overweging. Gebruikersbeheer hoeft dan niet dubbel te worden bijgehouden: een medewerker die uit dienst gaat, verliest automatisch toegang zodra zijn account in Azure AD wordt uitgeschakeld. Bij de implementatie zijn een aantal zaken van belang: de claim-mapping moet correct worden geconfigureerd, rolnamen in Mendix moeten overeenkomen met groepsnamen in de IdP, en er moet worden nagedacht over wat er gebeurt als een gebruiker inlogt zonder een herkende groep. Een fallback-rol of een expliciete foutmelding voorkomt ongewenste toegang in dat scenario.
Hoe helpt Freelie bij het inrichten van gebruikersrollen en toegangsrechten in Mendix?
Wij helpen organisaties bij het opzetten van een robuust en schaalbaar securitymodel in Mendix, van de eerste analyse tot en met de documentatie. Onze aanpak is concreet en gericht op de specifieke situatie van jouw organisatie:
- Security-scan: we beoordelen de huidige inrichting van toegangsrechten en brengen risico’s en verbeterpunten in kaart.
- Rolontwerp: samen met jouw team definiëren we een logische rolstructuur die aansluit op de organisatie en schaalbaar is.
- Implementatie: we configureren gebruikersrollen, module roles, entity access en eventuele XPath-constraints in Mendix Studio Pro.
- IdP-integratie: we koppelen Mendix aan Azure AD of een andere identity provider via SAML of OIDC, inclusief correcte claim-mapping.
- Documentatie: we leveren heldere documentatie op, zodat jouw team de inrichting zelfstandig kan beheren en uitbreiden.
Wil je weten hoe jouw huidige Mendix-applicatie ervoor staat op het gebied van security, of wil je een nieuwe applicatie direct goed opzetten? Neem contact met ons op en we kijken samen wat de beste aanpak is voor jouw situatie.