ReBAC
Relationship-Based Access Control
Modello di autorizzazione basato sulle relazioni tra oggetti — l'accesso si deriva dai team e dai progetti di cui fa parte l'utente.
Cos’è ReBAC?
ReBAC (Relationship-Based Access Control) è un modello di autorizzazione in cui i permessi si derivano dalle relazioni tra oggetti nel sistema, non dai ruoli direttamente assegnati. Concettualmente si basa su Google Zanzibar — il sistema di autorizzazione interno di Google pubblicato nel 2019, che gestisce i permessi attraverso servizi come Drive, YouTube e Cloud Platform. Le implementazioni open-source (OpenFGA, SpiceDB, Ory Keto) hanno consentito anche ad altre aziende di adottare questo modello.
In ReBAC i permessi si esprimono nella forma “il soggetto ha la relazione X con l’oggetto Y”. Esempio:
user:annaèmemberditeam:progetto-acmeteam:progetto-acmeèownerdidocument:contratto-2025- Regola: se l’utente è membro del team che è proprietario del documento → l’utente può leggere il documento
Vantaggi rispetto a RBAC:
- Gerarchie e organizzazioni — l’accesso si eredita dalla relazione parent-child
- Condivisione tra utenti — tipico scenario e-commerce/SaaS (“condividi il documento con la persona X”)
- Granularità fine senza esplosione dei ruoli
Svantaggio: maggiore complessità tecnica, necessità di un servizio di autorizzazione specializzato.
Quando si utilizza
ReBAC è adatto per:
- SaaS multi-tenant con gerarchie di clienti complesse
- Strumenti di collaborazione (documenti, progetti, team)
- Architettura a microservizi, dove un unico strato di autorizzazione serve molti servizi
- Scenari con condivisione dinamica tra utenti
Vedi la sezione sicurezza e la pagina API.
Termini correlati
- RBAC — modello più semplice, tipico nei classici ERP. Vedi /it/glossario/rbac.
- SSO — strato identità, ReBAC si applica sopra di esso. Vedi /it/glossario/sso.
- GDPR — ReBAC consente una precisa data minimization. Vedi /it/glossario/gdpr.
In Modulario
Modulario utilizza lo strato ReBAC per le autorizzazioni granulari — il project manager vede solo i team di cui fa parte; il commerciale solo i clienti a lui assegnati; il consulente di un fornitore esterno solo i documenti condivisi per la specifica commessa. La configurazione avviene tramite il modulo Registro o tramite API.
Le aziende multi-tenant usano ReBAC anche per separare le società controllate — ogni controllata ha il proprio workspace, l’auditor centrale vede i dati di tutte le entità tramite la relazione “group auditor”, ma il contabile locale vede solo la propria entità. In termini di performance, Modulario è in grado di eseguire i controlli di autorizzazione in millisecondi anche con decine di milioni di relazioni.
Termini correlati
RBAC
Modello di autorizzazione in cui i permessi vengono assegnati tramite ruoli, non ai singoli utenti — gestione più semplice e auditabilità.
SSO
Meccanismo di autenticazione che consente all'utente di accedere una sola volta e ottenere l'accesso a più applicazioni senza inserire ripetutamente le credenziali.
GDPR
Regolamento UE sulla protezione dei dati personali in vigore dal 25 maggio 2018 — definisce i diritti degli interessati e gli obblighi dei titolari del trattamento.
ISO/IEC 27001
Standard internazionale per il sistema di gestione della sicurezza delle informazioni (ISMS) — certificazione che dimostra la maturità dell'azienda nella sicurezza IT.
API
Interfaccia attraverso cui comunicano diversi sistemi software — nel B2B SaaS tipicamente REST API o GraphQL su HTTPS.
Moduli Modulario correlati
Stai implementando ReBAC nella tua azienda?
Modulario copre la maggior parte dei processi B2B in modo modulare — distribuisci solo ciò di cui hai bisogno ora e cresci gradualmente. Prenota una consulenza gratuita.
Prenota consulenza