役割とIDベースの認証？違いはなんですか？

ロールを認証するのではなく、IDを認証するため、ロールはIDに添付される傾向があります。 IDを許可し、役割を許可することができます。ここには混乱があるかもしれません。

ロールはIDの拡張であり、通常は（たとえば）ユーザー「Admin」がロール「Administrator」を持つように機能します。 「管理者」の役割を持つユーザーは、「標準ユーザー」の役割を持つユーザーとは異なる権限を持っています。 IDは通常、複数の役割を持つことができるため、管理ユーザーには「管理者」と「標準ユーザー」の役割があり、したがって両方の役割に関連付けられた権限があります。

パスワードは通常IDに関連付けられているため、IDに対してパスワードを認証します。ユーザー名フィールドがない場合、パスワード検証を実行するバックエンドシステムは、おそらくすべてのパスワードを、関連するユーザーと比較する（またはおそらくパスワードのプレーンテキストを検索する）ルックアップを持っています。

これは、ロールが使用されていることを前提としています。役割が使用されていない場合、承認は単にアイデンティティ自体に対するものです。例えばuser == 'administrator'の場合、管理を許可します。

「ロールベースの認証」は業界用語ではありません。 役割ベースのアクセス制御 と混同している可能性があります。これは、ユーザーのIDではなく、ユーザーの「役割」に基づいて機能へのアクセスを制御する方法です。

たとえば、ブログシステムでは、「作成者」ロールと「編集者」ロールを定義できます。 「作成者」は、新しいストーリーを作成することはできても、公開することはできない場合があります。編集者は、既存の記事を確認、変更、および公開する権限を持ちます。

特定のユーザーは、1つ以上のロールに永続的に「属している」か、特定のセッション中に一時的にロール承認を付与される場合があります。

ただし、重要なことに、アクセス許可と機能はusersに直接割り当てられることはなく、常にrolesに割り当てられます。ユーザーは、特定の役割を引き受けることにより、間接的にその権限を取得します。同様に、個人の認証情報はuser accountに関連付けられており、notthe役割。このような：

+-------+    +------+    +------+    +------------+
| human |===>| User |===>| Role |===>| permission |
+-------+    +------+    +------+    +------------+

説明しているシステムは、IDとアクセスのみがパスワードによって決定されるため、ロールベースのシステムではなく、単にユーザー名のないユーザーベースのシステムです。特に悪い考えのようです。

ここでは用語の混乱があると思います。

ほとんどの場合、これは承認なので、それほど認証ではありません。具体的には、アクセス許可が役割ベース（管理者のアクセス許可セットとユーザーのアクセス許可セット）であり、チャレンジ/レスポンス認証メカニズムによって保護されているシナリオがあります。検証は共有パスワードであるため、個人を認証するわけではないので、アイデンティティやロールメンバーシップの概念はありません。少なくとも、この特定のシステムに実装されている概念はありません。

IDベースの認証は絶対に「用語」です。

ここでのコンテキストは、PKI操作用のHSM（HWセキュリティモジュール）です。ロールベースの認証では、ロールを認証する「パスワード」またはスマートカードなどがあります（暗号化担当者、ユーザーなど）。 IDベースの認証はさらに一歩進んで、個々のユーザーに役割を割り当てます。例えば。 「ユーザー」ロールを取得する複数の個別ユーザーを持つことができます。ほとんどのIDベースのHSM操作には、M of N認証も含まれます。例えば合計5人のユーザーがいて、操作を実行するには3人が存在する必要があります。例えばM(3) of N（5）。