ReBAC
Relationship-Based Access Control
Modèle d'autorisation basé sur les relations entre objets — l'accès est dérivé des équipes et projets auxquels l'utilisateur appartient.
Qu’est-ce que le ReBAC ?
Le ReBAC (Relationship-Based Access Control) est un modèle d’autorisation dans lequel les permissions sont dérivées des relations entre les objets dans le système, et non de rôles directement assignés. Conceptuellement, il est issu de Google Zanzibar — le système d’autorisation interne de Google publié en 2019, qui gère les permissions sur des services comme Drive, YouTube, Cloud Platform. Les implémentations open-source (OpenFGA, SpiceDB, Ory Keto) ont permis à d’autres entreprises d’utiliser ce modèle.
Dans ReBAC, les permissions sont exprimées sous la forme « le sujet a la relation X avec l’objet Y ». Exemple :
user:annaestmemberdeteam:projet-acmeteam:projet-acmeestownerdedocument:contrat-2025- Règle : si l’utilisateur est membre d’une équipe qui est propriétaire d’un document → l’utilisateur peut lire le document
Avantages par rapport au RBAC :
- Hiérarchies et organisations — l’accès hérite de la relation parent-enfant
- Partage entre utilisateurs — scénario typique e-commerce/SaaS (« partager un document avec la personne X »)
- Granularité fine sans explosion de rôles
Inconvénient : complexité technique plus grande, besoin d’un service d’autorisation spécialisé.
Quand l’utiliser ?
ReBAC convient pour :
- Les SaaS multi-tenant avec des hiérarchies clients complexes
- Les outils collaboratifs (documents, projets, équipes)
- L’architecture microservices, où une seule couche d’autorisation sert plusieurs services
- Les scénarios avec partage dynamique entre utilisateurs
Termes associés
- RBAC — modèle plus simple, typique dans les ERP classiques. Voir /fr/glossaire/rbac.
- SSO — couche d’identité sur laquelle ReBAC s’appuie. Voir /fr/glossaire/sso.
- RGPD — ReBAC permet une minimisation précise des données. Voir /fr/glossaire/gdpr.
Dans Modulario
Modulario utilise une couche ReBAC pour les permissions fines — le chef de projet ne voit que les équipes dont il fait partie ; le commercial ne voit que les clients qui lui sont attribués ; le consultant d’un prestataire externe ne voit que les documents partagés pour la mission spécifique. La configuration se fait via le module Registre ou l’API.
Les entreprises multi-entités utilisent également ReBAC pour séparer les filiales — chaque filiale a son espace de travail, l’auditeur central voit les données de toutes les entités via la relation « auditeur groupe », mais le comptable local ne voit que sa propre entité. En termes de performance, Modulario peut effectuer des vérifications d’autorisation en quelques millisecondes même avec des dizaines de millions de relations.
Termes associés
RBAC
Modèle d'autorisation dans lequel les permissions sont attribuées via des rôles et non à des utilisateurs individuels — gestion simplifiée et auditabilité.
SSO
Mécanisme d'authentification permettant à un utilisateur de se connecter une seule fois et d'accéder à plusieurs applications sans ressaisir ses identifiants.
RGPD
Règlement européen sur la protection des données personnelles applicable depuis le 25 mai 2018 — définit les droits des personnes concernées et les obligations des responsables du traitement.
ISO/IEC 27001
Norme internationale pour le système de management de la sécurité de l'information (SMSI) — certification attestant la maturité de l'entreprise en matière de sécurité informatique.
API
Interface permettant à différents systèmes logiciels de communiquer entre eux — en SaaS B2B, typiquement une REST API ou GraphQL sur HTTPS.
Modules Modulario associés
Vous implémentez ReBAC dans votre entreprise ?
Modulario couvre la plupart des processus B2B de façon modulaire — déployez uniquement ce dont vous avez besoin maintenant et évoluez progressivement. Prenez un rendez-vous gratuit.
Réserver une consultation