ReBAC
Relationship-Based Access Control
Autorizační model založený na vztazích mezi objekty — přístup se odvozuje od toho, v jakých týmech a projektech uživatel je.
Co je ReBAC?
ReBAC (Relationship-Based Access Control) je autorizační model, ve kterém se oprávnění odvozují ze vztahů mezi objekty v systému, ne z přímo přiřazených rolí. Koncepčně vychází z Google Zanzibar — interního autorizačního systému Googlu zveřejněného v roce 2019, který spravuje oprávnění napříč službami jako Drive, YouTube, Cloud Platform. Open-source implementace (OpenFGA, SpiceDB, Ory Keto) umožnily i jiným firmám používat tento model.
V ReBAC se oprávnění vyjadřují formou „subject má vztah X k objektu Y”. Příklad:
user:annajememberofteam:projekt-acmeteam:projekt-acmejeownerofdocument:smlouva-2025- Pravidlo: pokud user je member týmu, který je owner dokumentu → user může číst dokument
Výhody oproti RBAC:
- Hierarchie a organizace — přístup dědí z parent-child vztahu
- Sdílení mezi uživateli — typický e-commerce/SaaS scénář („sdílej dokument s osobou X”)
- Jemná granularita bez exploze rolí
Nevýhoda: větší technická složitost, potřeba specializované autorizační služby.
Kdy se používá
ReBAC je vhodný pro:
- Multi-tenant SaaS s komplexními hierarchiemi zákazníků
- Collaboration nástroje (dokumenty, projekty, týmy)
- Mikroservisovou architekturu, kde jedna autorizační vrstva slouží mnoha službám
- Scénáře s dynamickým sdílením mezi uživateli
Viz stránku Bezpečnost a stránku API.
Související pojmy
- RBAC — jednodušší model, typický v klasických ERP. Viz /cs/slovnik/rbac.
- SSO — identitní vrstva, ReBAC běží nad ní. Viz /cs/slovnik/sso.
- GDPR — ReBAC umožňuje přesnou data minimization. Viz /cs/slovnik/gdpr.
V Modulario
Modulario používá ReBAC vrstvu pro jemná oprávnění — projektový manažer vidí jen týmy, do kterých patří; obchodník jen zákazníky, kteří jsou mu přiděleni; konzultant od externího dodavatele jen dokumenty sdílené na konkrétní zakázku. Konfigurace probíhá přes modul Evidence nebo API.
Multi-tenant firmy používají ReBAC také pro oddělení dceřiných společností — každá dcera má svůj workspace, centrální auditor vidí data všech entit přes vztah „group auditor”, ale lokální účetní jen svou entitu. Výkonnostně Modulario dokáže provádět autorizační checky v milisekundách i při desítkách milionů relací.
Související pojmy
RBAC
Autorizační model, ve kterém se oprávnění přiřazují přes role, ne jednotlivým uživatelům — jednodušší správa a auditovatelnost.
SSO
Autentizační mechanismus, který umožňuje uživateli přihlásit se jednou a získat přístup k více aplikacím bez opakovaného zadávání hesla.
GDPR
Nařízení EU o ochraně osobních údajů platné od 25. 5. 2018 — definuje práva subjektů údajů a povinnosti správců.
ISO/IEC 27001
Mezinárodní standard pro systém řízení informační bezpečnosti (ISMS) — certifikace, která prokazuje zralost firmy v IT bezpečnosti.
API
Rozhraní, přes které spolu komunikují různé softwarové systémy — v B2B SaaS typicky REST API nebo GraphQL nad HTTPS.
Související moduly Modulario
Implementujete ReBAC ve své firmě?
Modulario pokrývá většinu B2B procesů modulárně — nasaďte jen to, co teď potřebujete, a postupně rozrůstejte. Domluvte si bezplatnou konzultaci.
Domluvit konzultaci