NISTによると、RBACモデルは500以上の企業で最も広く使用されているスキームです。企業の規模が関係する個人の数ではるかに大きい場合はどうなりますか。言い換えると、RBACモデルの主な欠点は何ですか?
RBACの主な欠点は、「ロール爆発」と呼ばれることが最も多いことです。さまざまな(現実の)役割の数が増えるため(違いはごくわずかな場合もあります)、適切にカプセル化するには(RBAC)の役割の数が増える必要があります。権限(RBACの権限は、オブジェクト/エンティティに対するアクション/操作です)。これらすべての役割を管理することは、複雑な作業になる可能性があります。
RBACの基盤を形成する抽象化の選択のため、個人の権利を管理するのにもあまり適していませんが、これは通常、問題が少ないと見なされます。
一般的に提案されている代替手段は、ABAC(属性ベースのアクセス制御)です。 ABACには役割がないため、役割の急増はありません。しかし、ABACを使用すると、人々が現在「属性爆発」と呼んでいるものを手に入れることができます。 2つの問題は詳細は異なりますが、より抽象的なレベルではほとんど同じです。 (皮肉なことは、RBACソリューションの市場の飽和と、その結果としての「より新しい」「より良い」アクセス制御ソリューションの必要性を指摘するかもしれませんが、それは別の議論です。)
RBACにはさまざまな問題がありますが、Jaccoが言うように、すべては役割の爆発に帰着します。
ABAC-属性ベースのアクセス制御-は、承認を処理する次世代の方法です。 [〜#〜] nist [〜#〜] と [〜#〜] oasis [〜#〜] のようなものとオープンソースによって駆動されますコミュニティ(Apache)およびIAMベンダー(Oracle、IBM、 Axiomatics )。