Role-based access control

Role-based access control (RBAC) is een methode waarmee op een effectieve en efficiënte wijze toegangscontrole voor informatiesystemen kan worden ingericht.

Methode

Kenmerk van RBAC is dat individuen niet rechtstreeks worden geautoriseerd in informatiesystemen, maar dat ze uitsluitend rechten krijgen door een vorm van groepslidmaatschap, op basis van de rol die ze hebben binnen een organisatie of bedrijfsproces. Ook de permissies op objecten/functies in informatiesystemen kunnen worden gegroepeerd in rollen.

Door het koppelen van de rol van de gebruiker in de organisatie aan een rol in een informatiesysteem, is het eenvoudig om de effectieve rechten van een gebruiker te bepalen. Het daadwerkelijk toekennen van rechten en permissies aan een gebruiker en het verstrekken van gerelateerde objecten (tokens en dergelijke) heet provisioning.

In het kader van RBAC trajecten wordt binnen organisaties een overzicht van de gebruikte rollen opgesteld, middels de techniek van role-mining.

Voorbeeld RBAC

Bob vervult de rol van baliemedewerker bij een bank.

Het CRM-systeem kent de rol klantcontactbeheer.

De organisatierol baliemedewerker wordt gekoppeld aan de informatiesysteemrol klantcontactbeheer. Daarmee verkrijgt Bob automatisch de rechten die nodig zijn om de CRM functie van klantcontact te kunnen uitvoeren.

Op zich levert deze inrichting geen besparing op. Maar als nu ook Alice wordt benoemd als baliemedewerker, dan verkrijgt ook zij automatisch de rechten die nodig zijn om de CRM functie van klantcontact te kunnen uitvoeren. En als Bob van rol wisselt doordat hij niet langer baliemedewerker is maar de functie van hypotheekadviseur krijgt, dan raakt hij ook automatisch de klantcontactbeheer functies kwijt.

Standaarden

• Het Amerikaanse NIST heeft een standaard voor RBAC gedefinieerd. De meeste producten die op de markt zijn verschenen zijn in staat om de standaard te volgen.

Alternatieve methodieken voor autorisatiebeheer

RBAC is niet een model om de autorisaties op een dynamische wijze toe te kennen. Om dat te realiseren kan de methode van rule-based access control of lattice-based access control worden toegepast. Deze beide vormen van toegangscontrole zijn ook onder de noemer mandatory access control te vatten.

Ook discretionary access control is een vorm van toegangscontrole, waarbij de eigenaar van een object zelf bepaalt wie welke toegangsrechten mag uitoefenen.

Moderne vormen van toegangscontrole die in het cloudcomputingtijdperk zijn ontwikkeld zijn claims-based access control en attribute-based access control.

Bekende RBAC-hulpmiddelen

• BetaSystems SAM Jupiter
• BHOLD Company
• BMC Control SA en IdM
• FoxT ServerControl
• CA eTrust
• HP Select Access
• IBM TIM en TAM (Tivoli Identity Manager en Tivoli Access Manager)
• Microsoft Authorization Manager (Azman)
• Novell Access Manager / Identity Manager / Role Based Provisioning Module
• Sun Identity Management Suite
• Alletha Alletha Intranet / User Manager
• Sap IDM

Zie ook

• Security-Enhanced Linux

Externe links

• Role Based Access Controls at NIST - De RBAC standaard van het NIST
• Understanding Role Based Access Control van Microsoft
• Whitepaper over het beheren van user accounts op basis van rollen van Tools4ever