組織機構管理不得不了解的 RBAC 權限模型｜身份雲研究院

由于資訊安全越來越被重視，企業的身份管理已經成為市場焦點，對于實施企業級安全政策和身份管理的需求随之迅速上升。而作為權限通路控制政策的 RBAC（基于角色的通路控制）模型也已被廣泛使用到組織機構管理中，本文将帶領各位了解 RBAC 權限模型如何用作組織機構管理。

01 RBAC 是什麼

RBAC（ Role-Based Access Control）即基于角色的通路控制模型，該模型的核心是所有通路都是通過「角色」進行的，所有「使用者」都隻能通過配置設定給他們的角色或通過角色層級結構繼承的角色獲得對應權限。與傳統的 ACL（Access Control List）權限模型不同的是，ACL 是将權限直接授予給具體的使用者，而 RBAC 則是配置設定給使用者對應的角色，該使用者就可以獲得角色的所有權限，這樣可以實作使用者和權限的邏輯分離，極大程度上簡化使用者的權限管理。

當使用 RBAC 時，通過分析系統使用者的實際情況，基于共同的職責和需求，授予他們不同角色。你可以授予給使用者一個或多個角色，每個角色具有一個或多個權限，這種 使用者-角色、角色-權限 間的關系，讓我們可以不用再單獨管理單個使用者，使用者從授予的角色裡面繼承所需的權限。

以一個簡單的場景（Gitlab 的權限系統）為例，使用者系統中有 Admin、Maintainer、Operator 三種角色，這三種角色分别具備不同的權限，比如隻有 Admin 具備建立代碼倉庫、删除代碼倉庫的權限，其他的角色都不具備。我們授予某個使用者「Admin」這個角色，他就具備了「建立代碼倉庫」和「删除代碼倉庫」這兩個權限。

圖：Authing 控制台實操畫面

不直接給使用者授權的政策，是為了之後的擴充性考慮。比如存在多個使用者擁有相同的權限，在配置設定的時候就要分别為這幾個使用者指定相同的權限，修改時也要為這幾個使用者的權限進行一一修改。有了角色後，我們隻需要為該角色制定好權限後，給不同的使用者配置設定不同的角色，後續隻需要修改角色的權限，就能自動修改角色内所有使用者的權限。

02 什麼是角色？角色群組有何不同？

在 RBAC 模型中，角色本質上是權限的集合，是用于建構權限的語義結構。在一個組織内，角色相對穩定，而使用者和權限會随着企業規模和業務發展變化很快，是以，通過角色控制所有通路可以簡化通路控制的管理和審查。

角色和傳統的組的定義有何不同？傳統組指的是使用者的集合，權限可以與使用者及其所屬的組相關聯。在基于組的權限管理機制中，将權限直接綁定至使用者的權限管理政策，難以勝任現代資訊安全管理的要求。而 RBAC 中角色同時具備使用者集合和權限集合的概念，角色是這兩個集合的媒介。RBAC 差別于傳統組的另一個方面是會話的概念，它允許激活配置設定給使用者的角色子集。

03 RBAC 模型的優劣勢

如上文所述，RBAC 簡化了使用者與權限的關系，使其管理更靈活高效以及更易拓展。RBAC 提供了一種系統化的方法，用于定義和維護角色，讓管理者僅需通過賦予使用者角色來提供一緻性的通路權限，進而降低資料洩露風險。雖然 RBAC 是一種無确定性質政策模型，但仍然支援三大安全原則：

• 最小特權原則 即通過對每個角色賦予相應的權限，通過對每個使用者賦予相應的角色，進而實作給使用者配置設定相應的權限，保障該權限不超過該使用者完成其任務所需要的權限即可。
• 責任分離原則 針對特殊安全要求任務，可以通過設定和調用互相獨立互斥的角色來共同完成。
• 資料抽象原則 通過抽象權限來實作。例如财務操作可以抽象為用借款、存款等權限，而不是使用典型的讀、寫來執行權限。

對于沒有特殊權限管理需求的組織架構的企業或機構，RBAC 可以幫助企業：

• 提升 IT 管理效率，僅需通過修改或增删角色來快速重新配置設定相應系統中的權限。
• 提升人力管理效率，管理者僅需根據該員工具體職能職責賦予對應角色即可滿足該名員工入職權限管理需求。
• 滿足多場景業務權限管理需求，例如可以通過為供應商、外包團隊、臨時人員等設定角色來降低第三方資訊洩漏風險。
• 降低相關資訊洩漏安全風險，滿足相關法規需求。
• 降低企業或組織**身份管理*8和通路控制成本等。

RBAC 也并非适用所有的組織機構，對于大型組織機構或者有特殊權限通路控制需求的企業，RBAC 并不能全然滿足。例如：

• RBAC模型沒有提供操作順序的控制機制，這一缺陷使得 RBAC 模型很難适應哪些對操作次序有嚴格要求的系統。
• 無法做到對資源細粒度地授權，無法授權具體的資源。
• 角色爆炸風險，當新需求中需要建立更多臨時角色來滿足特殊權限的管理，一些團隊會定義越來越細粒度的角色來作為臨時解決方案，這存在當某一程度下，這些臨時角色數量過大沒被有效管理，容易導緻權限混亂。

RBAC 權限管理模型足以滿足大多數中小微企業的權限管理需求，并且我們還提供快速內建 RBAC 權限模型至你的應用系統中的方案，點選文章底部閱讀原文即可了解。另外如果你在一個擁有衆多使用者的大型組織中，或者你的組織需要有特定通路控制功能，我們的身份專家也能為您提供最可靠完備的解決方案。

關于 Authing

Authing 是國内唯一以開發者為中心的全場景身份雲産品，為企業和開發者提供高安全、高性能、高生産力的使用者認證和通路管理服務。

Authing 目前已經服務包括可口可樂、招商銀行、三星集團、中國石油、元氣森林在内的 30000+ 企業和開發者。