Der Begriff Role-Based Access Control (RBAC) bezieht sich auf eine Autorisierungsstrategie, die Privilegien auf der Grundlage einer Rolle organisiert (daher auch die Bezeichnung „Rollenbasiert“). Die RBAC-Autorisierungsstrategie wird häufig von mittleren bis großen Organisationen genutzt, die ihre Mitarbeiter mithilfe von Rollenzuweisungen in Kategorien einteilen. Den Rollen werden Zugriffsrechte und Berechtigungen zur Nutzung von Ressourcen zugewiesen. Wird einem Nutzer eine Rolle zugewiesen, ist sichergestellt, dass er nur die Berechtigungen hat, die zur Erledigung seiner Aufgaben erforderlich sind. Dies ist ein wichtiger Bestandteil einer generellen Cybersicherheitsstrategie.

Die Rollen können der Organisationsstruktur entsprechen und beziehen sich häufig auf unterschiedliche Abteilungen. Anders ausgedrückt: Einem Mitarbeiter einer bestimmten Abteilung können Systemzugriffsrechte auf der Grundlage der Anforderungen der Rolle zugewiesen werden, damit er auf die Informationen zugreifen kann, die für seine alltäglichen Arbeitsaufgaben relevant sind. Beispiel:

• Ein Mitarbeiter in der Personalabteilung hat Zugriffsrechte für Lohnbuchhaltungsdaten, die als sensible Daten gelten. Das Unternehmen beschränkt diesen Zugriff vermutlich auf Personen innerhalb der Personalabteilung und sperrt ihn für andere Mitarbeiter.

• Ein Vertriebsleiter hat hingegen vermutlich Zugriffsrechte für Vertriebsberichte, zu denen Mitarbeiter der Personalabteilung keinen Zugang haben.

RBAC ist jedoch nicht ausdrücklich abteilungsbezogen. Es geht hier vielmehr um Rollen und um die diesen Rollen zugewiesenen Berechtigungen. Beispielsweise kann die Rolle „Prokura“ Privilegien beinhalten, die für die Vertretung des Unternehmens zu juristischen Zwecken erforderlich sind. Allen Nutzern aus der Rechtsabteilung wird also die „Prokura“-Rolle zugewiesen. Allerdings können auch andere Personen (z. B. der CEO und der Vorstand) diese Rolle innehaben.

Die rollenbasierte Zugriffskontrolle ist Bestandteil einer weiter gefassten Identitäts- und Zugriffsmanagementstrategie (IAM-Strategie). Im Folgenden befassen wir uns mit rollenbasiertem Zugriffsmanagement (RBAC) und erklären, wie sich damit Berechtigungen für den Zugriff auf betriebliche Ressourcen und sensible Informationen regeln lassen.

Hier beschreiben wir, wie Sie mithilfe von RBAC Privilegien in einem System regeln würden, das Spesenverwaltung unterstützt. Dieses fiktive System ermöglicht es den Mitarbeitern, Folgendes auszuführen:

• Spesenabrechnungen ansehen

• Spesenabrechnungen erstellen

• Spesenabrechnungen genehmigen

• Spesenabrechnungen bezahlen

Diese Schritte entsprechen den Berechtigungen der Systemnutzer.

Wir können diese Berechtigungen in folgenden Rollen zusammenfassen:

• Einreicher von Spesenabrechnungen (darf Spesenabrechnungen ansehen und erstellen)
• Genehmiger von Spesenabrechnungen (darf Spesenabrechnungen ansehen und genehmigen)
• Zahler von Spesenabrechnungen (darf Spesenabrechnungen ansehen und bezahlen)

Ein RBAC-System ermöglicht es uns, diese Rollen mit den entsprechenden Berechtigungen zum Zugriff auf betriebliche Ressourcen anzulegen. Nachdem diese Rollen mit den entsprechenden Berechtigungen konfiguriert wurden, können Systemmanager ihnen Nutzer zuweisen.

Der wichtigste Vorteil der RBAC-Strategie besteht darin, unterschiedliche Berechtigungen so zusammenzufassen, dass sie kollektiv zugewiesen und entzogen werden können. Indem man die mit einer Rolle verbundenen Berechtigungen ändert, kann man außerdem die Berechtigungen für eine komplette Nutzergruppe auf einmal ändern. Dies verringert den Aufwand, der mit der Verwaltung der Berechtigungen im System verbunden ist.

Stellen Sie sich vor, Ihr Unternehmen beschließt, keine neuen Spesenabrechnungen mehr anzunehmen (vielleicht weil die betroffenen Mitarbeiter jetzt betriebliche Kreditkarten haben). In dieser Lage würde ein Systemmanager lediglich die Berechtigung „Spesenabrechnungen erstellen“ aus der Rolle „Einreicher von Spesenabrechnungen“ entfernen, um Nutzer daran zu hindern, neue Spesenabrechnungen einzureichen. Die Nutzer könnten weiterhin die bisher von ihnen eingereichten Spesenabrechnungen ansehen, aber keine neuen einreichen.

Ein weiterer Vorteil der rollenbasierten Zugriffskontrolle besteht darin, dass die Überprüfung der Nutzerprivilegien vereinfacht wird. Wenn Sie Probleme bei den Nutzern zugewiesenen Berechtigungen aufdecken, müssen Sie zu deren Lösung nur eine einzige Rolle bearbeiten. Müssten Sie dagegen die Berechtigungen auf Nutzerbasis überprüfen, dann müssten Sie Hunderte oder sogar Tausende von Nutzern einzeln prüfen. Mit einer gut geplanten Rollendefinition geht das fast von alleine.

Auth0 ist eine Identitätsplattform, die von Tausenden von Kunden aller Marktsektoren genutzt wird und bei der RBAC bereits integriert ist. Auth0 vereinfacht die Implementierung von RBAC zur Verwaltung rollenbasierter Berechtigungen.

Um beispielsweise Ihre Anwendungs-API mit RBAC und Auth0 so zu sichern, dass nur Nutzer mit einer bestimmten Rolle auf die API zugreifen können, müssen Sie lediglich vier einfache Schritte ausführen:

1. Als Erstes müssen Sie die API in Ihrem Auth0-Dashboard registrieren.

2. Anschließend müssen Sie die Berechtigungen für diese API definieren.

3. Als Nächstes erstellen Sie die Rollen, in denen diese Berechtigungen zusammengefasst werden.

4. Zu guter Letzt müssen Sie nur noch die Nutzer den entsprechenden Rollen zuweisen.

Computerwissenschaftler haben viele Autorisierungsstrategien zur Sicherung ihrer Zugriffskontrollsysteme entwickelt. RBAC ist nur eine davon. Eine Alternative wäre beispielsweise die attributbasierte Zugriffskontrolle (ABAC. Bei dieser Strategie regelt ein Nutzerattribut (z. B. eine Qualifikation) die Berechtigung zum Zugriff auf Ressourcen, nicht die Rolle. Ein Anwendungsfall wäre beispielsweise ein Auftragnehmer, der nachweisen muss, dass er mit der Ausführung von Arbeiten im Unternehmen beauftragt wurde. Die Beauftragung wäre das Attribut, das dem Nutzer bestimmte Zugriffsberechtigungen erteilt.

Wenn Sie mehr über Authentifizierung oder Autorisierung erfahren möchten, legen wir Ihnen die folgenden Artikel ans Herz:

• Was ist Authentifizierung?
• Was ist Autorisierung?

Lesen Sie unsere Einführung in IAM, um sich über weitere Themen rund um das Identitäts- und Zugriffsmanagement zu informieren.