RBAC
Role-Based Access Control
Модель авторизации, при которой разрешения назначаются через роли, а не отдельным пользователям — упрощённое управление и аудитируемость.
Что такое RBAC?
RBAC (Role-Based Access Control) — модель авторизации (формально описанная в стандарте ANSI INCITS 359-2004), в которой разрешения назначаются не отдельным пользователям, а определённым ролям, а пользователям затем назначаются роли. Благодаря этому при изменении должности сотрудника достаточно изменить его роль, а не перенастраивать десятки прав по отдельности.
Стандартная модель RBAC имеет четыре уровня:
- Пользователи — конкретные сотрудники
- Роли — например, «Бухгалтер», «Менеджер по продажам», «Руководитель производства»
- Разрешения (permissions) — атомарные операции (читать счёт, выставлять счёт, удалять клиента)
- Отношения — какие разрешения принадлежат какой роли
Расширенные варианты:
- Иерархический RBAC — роли наследуют разрешения (Младший бухгалтер ⊂ Старший бухгалтер ⊂ Главный бухгалтер)
- Constrained RBAC — разделение обязанностей (Separation of Duties): например, один и тот же человек не может одновременно выставлять счёт и его оплачивать
- Dynamic RBAC — роли активны в зависимости от контекста (время, место, проект)
Когда применяется
RBAC — базовая модель авторизации в каждом серьёзном B2B-программном обеспечении. Её ограничение: в сложных сценариях (например, «этот пользователь имеет доступ только к своим клиентам в регионе X») возникает взрыв ролей — здесь помогает ReBAC или ABAC.
Связанные термины
- ReBAC — более продвинутая модель для сложных сценариев. См. /ru/glossariy/rebac.
- SSO — аутентификация, RBAC — авторизация. См. /ru/glossariy/sso.
- GDPR — RBAC ограничивает доступ к персональным данным. См. /ru/glossariy/gdpr.
- ISO 27001 — Annex A.5.15 требует управления доступом. См. /ru/glossariy/iso-27001.
В Modulario
Modulario использует гибридную модель — RBAC в качестве основы и ReBAC для более сложных сценариев (например, «вижу только документы проектов, в команде которых я состою»). Роли можно настраивать по каждому модулю — бухгалтер может иметь полный доступ к Выставлению счетов, но только чтение в CRM.
Modulario в административной консоли отображает матрицу разрешений — чёткую таблицу, какая роль имеет доступ к какому модулю и каким операциям. При аудите по ISO 27001 сотрудник получает простую основу вместо поиска по коду или XML-конфигурациям.
Связанные термины
ReBAC
Модель авторизации, основанная на связях между объектами — доступ определяется тем, в каких командах и проектах состоит пользователь.
SSO
Механизм аутентификации, позволяющий пользователю войти один раз и получить доступ к нескольким приложениям без повторного ввода пароля.
GDPR
Регламент ЕС о защите персональных данных, действующий с 25 мая 2018 года — определяет права субъектов данных и обязанности операторов.
ISO/IEC 27001
Международный стандарт для системы управления информационной безопасностью (ISMS) — сертификация, демонстрирующая зрелость компании в области ИТ-безопасности.
API
Интерфейс, через который взаимодействуют различные программные системы — в B2B SaaS, как правило, REST API или GraphQL поверх HTTPS.
Связанные модули Modulario
Внедряете RBAC в своей компании?
Modulario покрывает большинство B2B-процессов модульно — внедряйте только то, что нужно сейчас, и постепенно расширяйтесь. Запишитесь на бесплатную консультацию.
Заказать консультацию