RBAC は静的である
この記事は https://docs.evolveum.com/iam/myths/rbac-is-static/ の翻訳です。
ロールベースのアクセス制御(RBAC) は静的なものです。 誰もがそう知っています。 固定されたユーザーとロールの割当があり、固定されたロールと権限の集合があります。 システム管理者が変更しない限り、RBAC では何も変わりません。 RBAC はもう機能しません。
正しいこと ... そして誤り
上の主張は、技術的には正しいものです。ただし、2000年代初期の伝統的な RBAC について話している限りにおいてです。 その種の RBAC は、実際に今でも使われています。主に古いアプリケーションや単純なアプリケーションで使われています。
しかし、アイデンティティ管理システムや IGA プラットフォームについては、これは完全には正しくありません。 アイデンティティ管理は、かなり前に静的な RBAC から先へ進みました。 基本的な「ロールベースの」の原則は今も残っています。ロール、権限、その他の要素は存在します。 しかし、それは 静的 ではありません。 もはや静的ではないのです。 進化してきました。 この20年間で、進化するための時間は十分にありました。
動的 RBAC
まともな IGA プラットフォームであれば、ほぼすべて、ユーザーにロールを自動的に割り当てる(または割当を解除する)方法を持っています。 非常に単純な仕組みだけを提供するものもあれば、多くの高度な方法を持つものもありますが、いずれにせよ、ロールはユーザーに動的に割り当てられます。 最先端の IGA プラットフォームはさらに先へ進み、ロールによって付与される権限も動的に決定します。 たとえば midPoint の policy-driven RBAC モデルには、ロールの権限がポリシーやコンテキストによって影響を受ける複数の方法があります。 いずれにせよ、動的 RBAC は今後も使われ続けます。そしてそれは、21世紀の IGA に驚くほどよく適合しています。