Role-based access control

RBAC (ang. Role-based Access Control - kontrola dostępu oparta na rolach) – mechanizm kontroli dostępu w systemach komputerowych. Dla podkreślenia różnicy w stosunku do DAC nazywany również non-discretionary access control.

RBAC polega na zdefiniowaniu tzw. ról (ang. role) dla różnych funkcji w organizacji, z którymi wiąże się określony zakres obowiązków. Poszczególnym rolom są centralnie przydzielane stosowne uprawnienia w systemie informatycznym. Role są przypisywane użytkownikom, przez co uzyskują oni uprawnienia do wykonywania określonych dla tych ról czynności. Użytkownik może posiadać wiele przypisanych ról. Rola może być przypisana wielu użytkownikom.

W odróżnieniu od DAC i MAC nie przypisuje się uprawnień bezpośrednio użytkownikom.

Cechą charakterystyczną RBAC jest określanie ról i uprawnień w taki sposób, aby odzwierciedlały one rzeczywiste funkcje w organizacji.

RBAC sprawdza się szczególnie dobrze tam, gdzie ważne jest stosowanie zasady rozdziału obowiązków (ang. separation of duties). Przykładowo, gdy w celu zapobiegania nadużyciom niektóre operacje wymagają akceptacji dwu niezależnych użytkowników.

• TBAC – Task-Based Access Control
• MAC – Mandatory Access Control
• DAC – Discretionary Access Control
• RSBAC – Rule Set-Based Access Control
• RuBAC – Rule-Based Access Control
• TE – Type Enforcement

• Role-based access control (ang.) NIST