役割ベースのアクセス制御システム (RBAC) では、組織内の役割が役割によって表されることを理解しています。各ロールには、アプリケーション内で何かを行うためのさまざまなタスク (アクセス許可) が含まれています。組織内の各ユーザーには、その職務に応じて 1 つ以上の役割が割り当てられます。
私が理解していないのは、グループが RBAC に存在するかどうかです。現在、ユーザーに 1 つ以上の役割を割り当てることができるシステムを設計しています。その後、ユーザーを 1 つ以上のグループ (たとえば、プログラマー、12 階の人、メタリカの T シャツを着ている人、チェス クラブのメンバーなど) に入れることができますが、グループには役割や役割が含まれていません。アクセス許可。
グループは RBAC にも存在しますか? その場合、グループには、グループのメンバーによって継承される権限と役割を含める必要がありますか?
理論的な側面についてはあまり語れませんが、少なくとも RBAC の実装では、ロール間の継承を使用してこの抽象的な「グループ」を実現できることがわかっていると言えます。つまり、prj_A_developers (ファイルを「コミット」したり、タスク管理システムの問題を変更したりできるなど)、prj_A_testing (問題を特定のステータス (QA 合格/拒否/再オープン) に変更できるなど) の役割を持つことができます。 /etc) など)。これで、prj_A_testing と prj_A_developers の親になるロールである prj_A_admin を持つことができます。ユーザーに割り当てられたこの役割は、この役割のすべての子要素を継承します - 他の役割、直接の「タスク」などです。
継承は、オブジェクト指向プログラミングの「継承」の概念に慣れているため、やや反対の方向にありますが、それでも明らかだと思います。
この継承を使用すると、この「グループ」の概念を実現できると思います。