Trong an ninh đối với các hệ thống máy tính, điều khiển truy cập trên cơ sở vai trò (tiếng Anh: Role-Based Access Control - viết tắt là RBAC) là một trong số các phương pháp điều khiển và đảm bảo quyền sử dụng cho người dùng. Đây là một phương pháp có thể thay thế Điều khiển truy cập tùy quyền (discretionary access control - DAC) và Điều khiển truy cập bắt buộc (mandatory access control - MAC).
Điều khiển truy cập trên cơ sở vai trò (RBAC) khác với hình thức MAC và DAC truyền thống. MAC và DAC trước đây là hai mô hình duy nhất được phổ biến trong điều khiển truy cập. Nếu một hệ thống không dùng MAC thì người ta chỉ có thể cho rằng hệ thống đó dùng DAC, hoặc ngược lại, mà thôi. Song cuộc nghiên cứu trong những năm 1990 đã chứng minh rằng RBAC không phải là MAC hoặc DAC.
Trong nội bộ một tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng công việc khác nhau. Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao tác một số hoạt động cụ thể ('permissions'). Các thành viên trong lực lượng cán bộ công nhân viên (hoặc những người dùng trong hệ thống) được phân phối một vai trò riêng, và thông qua việc phân phối vai trò này mà họ tiếp thu được một số những quyền hạn cho phép họ thi hành những chức năng cụ thể trong hệ thống.
Vì người dùng không được cấp phép một cách trực tiếp, song chỉ tiếp thu được những quyền hạn thông qua vai trò của họ (hoặc các vai trò), việc quản lý quyền hạn của người dùng trở thành một việc đơn giản, và người ta chỉ cần chỉ định những vai trò thích hợp cho người dùng mà thôi. Việc chỉ định vai trò này đơn giản hóa những công việc thông thường như việc cho thêm một người dùng vào trong hệ thống, hay đổi ban công tác (department) của người dùng.
RBAC khác với các danh sách điểu khiển truy cập (access control list - ACL) được dùng trong hệ thống điều khiển truy cập tùy quyền, ở chỗ, nó chỉ định các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vì tới các đối tượng dữ liệu hạ tầng. Lấy ví dụ, một danh sách điều khiển truy cập có thể được dùng để cho phép hoặc từ chối quyền truy cập viết một tập tin hệ thống (system file), song nó không nói cho ta biết phương cách cụ thể để thay đổi tập tin đó. Trong một hệ thống dùng RBAC, một thao tác có thể là việc một chương trình ứng dụng tài chính kiến tạo một giao dịch trong 'tài khoản tín dụng' (credit account transaction), hay là việc một chương trình ứng dụng y học khởi thủy một bản ghi 'thử nghiệm nồng độ đường trong máu' (blood sugar level test). Việc chỉ định quyền hạn cho phép thi hành một thao tác nhất định là một việc làm đầy ý nghĩa, vì các thao tác đã được phân định tinh tế và mỗi cá nhân thao tác có một ý nghĩa riêng trong chương trình ứng dụng.
Với khái niệm về hệ thống cấp bậc trong vai trò (role hierarchy) và khái niệm về các ràng buộc (constraints), ta có thể điều khiển RBAC để kiến tạo hoặc mô phỏng điều khiển truy cập dùng bố trí mắt lưới (Lattice-Based Access Control - LBAC). Vì thế RBAC có thể được coi như là một siêu tập (superset) của LBAC.
Khi định nghĩa một mô hình RBAC, những quy ước sau đây là những quy ước hữu dụng và cần phải cân nhắc:
- U = (User)Người dùng = Một người hoặc một tác nhân tự động.
- R = (Role)Vai trò = Chức năng công việc / Danh hiệu dùng định nghĩa một cấp bậc quyền thế.
- P = Quyềnn được cấp = Sự phê chuẩn một hình thức truy cập tài nguyên.
- S = (Session)Phiên giao dịch = Một xếp đặt liên kết giữa U, R và P
- UA = (User Assignment)Chỉ định người dùng.
- PA = (Permission Assignment)Cấp phép
- RH = (Role Hierarchy)Sắp xếp trật tự một phần nào theo thứ tự cấp bậc của vai trò. RH còn có thể được viết là >
- Một người dùng có thể có nhiều vai trò.
- Một vai trò có thể có thể có nhiều người dùng.
- Một vai trò có thể có nhiều phép được cấp cho nó.
- Một phép được cấp có thể được chỉ định cho nhiều vai trò.
Phép được cấp cho các vai trò đối lập có thể sẽ bị hạn chế khả năng thừa kế của chúng, nếu một hạn chế (constraint) nào đấy đặt một điều luật giới hạn nó. Chẳng hạn, một cá nhân không thể vừa được phép kiến tạo một trương mục đăng nhập cho một người nào đấy, vừa được phép ủy quyền thủ tục.
Chính vì vậy, bằng việc sử dụng ký hiệu của lý thuyết tập hợp (set theory), chúng ta có thể viết:
- PA là một tiểu tập của (hoặc bằng) P x R và là một phép cấp có mối quan hệ nhiều đối nhiều (many to many) với chỉ định vai trò.
- UA là một tiểu tập của (hoặc bằng) U x R và có mối quan hệ nhiều đối nhiều (many to many) với chỉ định vai trò.
- RH là một tiểu tập của (hoặc bằng) R x R
Ký hiệu: x > y có nghĩa là y thừa kế các phép cấp của x.
Một người dùng có thể cùng một lúc có một bội số các phiên giao dịch với nhiều phép được cấp khác nhau (multiple simultaneous sessions with different permissions).
Việc sử dụng RBAC để quản lý các đặc quyền của người dùng trong một hệ thống duy nhất hay trong một chương trình ứng dụng là một thực hành tốt nhất được rộng rãi chấp thuận. Các hệ thống bao gồm thư mục năng động (Active Directory) của Microsoft, SELinux, Oracle DBMS, PostgreSQL 8.1, SAP R/3 và nhiều cái khác đều hầu như thực thi một trong những hình thức của RBAC.
Tuy nhiên, việc sử dụng RBAC để quản lý quyền lợi của người dùng, trên toàn thể các chương trình ứng dụng, là một việc làm còn nhiều tranh luận. Sở dĩ như vậy là vì người dùng thường là một đơn vị đặc hữu (unique), cho nên nhiệm vụ định nghĩa các vai trò tương ứng (defining sufficient roles) và chỉ định các tư cách hội viên cho các vai trò một cách phù hợp, trong một tổ chức với hạ tầng cơ sở kỹ thuật thông tin (IT) không đồng nhất, hòng nắm bắt các nhu cầu về quyền lợi, trong khi các nhu cầu này có tầm trải rộng trên hàng chục, hằng trăm hệ thống và trên các chương trình ứng dụng, là một việc hết sức phức tạp. Vấn đề này, và những chiến lược thay thế, hiện đang được bàn luận trên bạch thư (white paper): [http://www.idsynch.com/docs/beyond-roles.html Beyond Roles: A Practical Approach to Enterprise User Provisioning] (Bên ngoài giới hạn của các vai trò: Một tiếp cận thực tiễn trong Kinh doanh Cung cấp Người dùng).
👁️
1 | 🔗 | 💖 | ✨ | 🌍 | ⌚
Trong an ninh đối với các hệ thống máy tính, **điều khiển truy cập trên cơ sở vai trò** (_tiếng Anh: Role-Based Access Control - viết tắt là RBAC_) là một trong số các phương
nhỏ|điểu khiển truy cập Trong lĩnh vực an ninh, cụ thể là trong an ninh trên hiện trường (_physical security_), thuật ngữ **điểu khiển truy cập** (_access control_) ám chỉ đến các thi hành nhằm
Trong khoa học máy tính, kỹ thuật **điều khiển truy cập bắt buộc** (_tiếng Anh: mandatory access control - viết tắt là MAC_) được dùng để bảo vệ và ngăn chặn các quy trình máy
thumb|Một ví dụ về lấy dữ liệu đầu ra từ truy vấn cơ sở dữ liệu SQL. **Cơ sở dữ liệu** () là một tập hợp các dữ liệu có tổ chức liên quan đến
**Có thể điều khiển được** là một thuộc tính quan trọng của một hệ thống điều khiển và thuộc tính có thể điều khiển được đóng một vai trò quan trọng trong nhiều bài toán
nhỏ|PIC 1655A nhỏ|Các dòng PIC khác **PIC** là một họ vi điều khiển RISC được sản xuất bởi công ty Microchip Technology. Dòng PIC đầu tiên là PIC1650 được phát triển bởi Microelectronics Division thuộc
Một PDA đang hiển thị [[biểu trưng của Wikipedia.]] **Thiết bị kỹ thuật số hỗ trợ cá nhân** thường được gọi theo viết tắt tiếng Anh là **PDA** (_Personal Digital Assistant_), là các thiết bị
**Android** là một hệ điều hành dựa trên nền tảng Linux được thiết kế dành cho các thiết bị di động có màn hình cảm ứng như điện thoại thông minh và máy tính bảng.
**_Mass Effect_** là một trò chơi điện tử nhập vai hành động phát triển bởi BioWare cho Xbox 360 sau đó được chuyển đến Microsoft Windows bởi Demiurge Studios. Phiên bản Xbox 360 đã được
**_Xenoblade Chronicles_** là trò chơi thuộc thể loại hành động nhập vai, thế giới mở do Monolith Soft phát triển và Nintendo phát hành cho hệ máy Wii. Trò chơi ban đầu được phát hành
**Dịch vụ thư mục** đơn giản chỉ là phần mềm hệ thống mà lưu trữ, tổ chức và cung cấp quyền truy cập vào thông tin trong một thư mục. ## Giới thiệu chung Trong
**Hệ điều hành** (tiếng Anh: Operating system, viết tắt: OS) là phần mềm hệ thống quản lý tài nguyên phần cứng máy tính, phần mềm và cung cấp các dịch vụ chung cho các chương
Một **công dân kỹ thuật số** () là người có kỹ năng sử dụng công nghệ thông tin để giao tiếp với người khác, tham gia vào các hoạt động xã hội, kinh doanh và
**_Thần điêu hiệp lữ_** () hay **_Thần điêu đại hiệp_** là một tiểu thuyết võ hiệp của Kim Dung. Tác phẩm được đăng tải lần đầu tiên trên tờ Minh báo vào ngày 20 tháng
Trong lĩnh vực thư viện và lưu trữ, **lưu trữ số** là quá trình đảm bảo thông tin kỹ thuật số quan trọng có thể được truy cập và sử dụng trong tương lai. Quá
**Black Mesa** là một trò chơi bắn súng góc nhìn thứ nhất (FPS) được phát triển cũng như phát hành bởi Crowbar Collective - một studio game độc lập từ năm 2005. Đây là phiên
**Nỗ Nhĩ Cáp Xích** (chữ Hán: 努爾哈赤, bính âm: _Nǔ'ěrhāchì_; chữ Mãn: , âm Mãn: _Nurhaci_), (1559 – 1626), Hãn hiệu** Thiên Mệnh Hãn** (天命汗), là một thủ lĩnh của bộ tộc Nữ Chân vào
**PC game** còn gọi là **trò chơi máy tính**, là thể loại trò chơi video được chơi trên các máy tính cá nhân (PC), thay vì chơi trên máy chơi trò chơi điện tử tại
phải|nhỏ|Huy hiệu của NSA **Cơ quan An ninh Quốc gia Hoa Kỳ**/**Cục An ninh Trung ương** (tiếng Anh: _National Security Agency_/C_entral Security Service_, viết tắt _NSA_/_CSS_) là cơ quan thu thập các tin tức tình
nhỏ|phải|Giáp trụ của chiến binh Mông Cổ thumb|Cung thủ kỵ binh Mông Cổ. Ảnh trong tác phẩm [[Jami' al-tawarikh của Rashid-al-Din Hamadani.]] **Tổ chức và chiến thuật quân sự của quân đội Đế quốc Mông
**Vai trò của Kitô giáo với nền văn minh nhân loại** rất lớn và phức tạp. Nó đan xen với lịch sử và sự hình thành của xã hội phương Tây, và nó đã đóng
Website là nơi quảng cáo, PR, SEO tốt nhất và hiệu quả nhất, nhưng nếu bạn không đầu tư đúng thì website sẽ có lượng truy cập thấp, khiến cho nó không phát triển được.Có
**Mông Cổ** là một quốc gia nội lục nằm tại nút giao giữa ba khu vực Trung, Bắc và Đông của châu Á. Lãnh thổ Mông Cổ gần tương ứng với vùng Ngoại Mông trong
**Cookie** (hay còn gọi là **HTTP cookie**, **web cookie**, **Internetie**, **cookie trình duyệt**) là những tập tin một trang web gửi đến máy người dùng và được lưu lại thông qua trình duyệt khi người
**Sở giao dịch chứng khoán Úc** (ASX) là sở giao dịch chứng khoán sơ cấp của Úc. Nó được tạo thành bởi sự sáp nhập của Sở giao dịch cổ phiếu Úc và Sở giao
**_Grand Theft Auto_** là một trò chơi điện tử hành động phiêu lưu do DMA Design phát triển và BMG Interactive phát hành. Đây là tựa đầu tiên của loạt _Grand Theft Auto_ và phát
**_Devotion_** () là một trò chơi điện tử kinh dị tâm lý góc nhìn thứ nhất do hãng Red Candle Games từ Đài Loan phát triển và phát hành cho nền tảng Microsoft Windows thông
**Điều chế tần số** (hay **biến điệu tần số**, tiếng Anh: **Frequency modulation** viết tắt là "**FM**") được áp dụng trong kỹ thuật vô tuyến điện và kỹ thuật xử lý tín hiệu. Người ta
Bài viết này cung cấp cho bạn một lượng thông tin về tầm quan trọng của việc số hóa nói chung và đặc biệt là số hóa sản phẩm nói riêng khi kinh doanh online
Bài viết này cung cấp cho bạn một lượng thông tin về tầm quan trọng của việc số hóa nói chung và đặc biệt là số hóa sản phẩm nói riêng khi kinh doanh online
Bài viết này cung cấp cho bạn một lượng thông tin về tầm quan trọng của việc số hóa nói chung và đặc biệt là số hóa sản phẩm nói riêng khi kinh doanh online
## Sơ lược **RNC** (**Radio Network Controller**) là một thành phần của UMTS nằm trong mạng truy cập vô tuyến (UTRAN - hệ thống thông tin di động thế hệ ba). RNC kiểm soát các
**Security-Enhanced Linux** (**SELinux**) là một module bảo mật của Linux kernel cung cấp một cơ chế hỗ trợ các chính sách bảo mật kiểm soát truy cập, bao gồm kiểm soát truy cập bắt buộc
**WiMAX** (viết tắt của _Worldwide Interoperability for Microwave Access_) là tiêu chuẩn IEEE 802.16 cho việc kết nối Internet băng thông rộng không dây ở khoảng cách lớn. Theo Ray Owen, giám đốc sản phẩm
**_Anh hùng xạ điêu_** (; Hán Việt: **Xạ điêu anh hùng truyện**) là một trong những tiểu thuyết võ hiệp của Kim Dung được đánh giá cao, được _Hương Cảng Thương Báo_ xuất bản năm
Tổng hợp các bài viết mang đến kiến thức cơ bản về website, giúp người được có cái nhìn tổng quan và hiểu thêm được nhiều kiến thức về website hơn.Có những khoản phí mà
Tổng hợp các bài viết mang đến kiến thức cơ bản về website, giúp người được có cái nhìn tổng quan và hiểu thêm được nhiều kiến thức về website hơn.Có những khoản phí mà
Tổng hợp các bài viết mang đến kiến thức cơ bản về website, giúp người được có cái nhìn tổng quan và hiểu thêm được nhiều kiến thức về website hơn.Có những khoản phí mà
**_Trò chơi con mực_** (Hangul: , tiếng Anh: _Squid Game_) là một bộ phim truyền hình Hàn Quốc do Hwang Dong-hyuk viết kịch bản và đạo diễn. Phim được Netflix phát hành trực tuyến vào
**Vụ sai phạm tại Công ty cổ phần Công nghệ Việt Á**, hay còn gọi ngắn gọn là **vụ Việt Á** hoặc **đại án Việt Á,** là một vụ án hình sự điển hình về
Bộ binh Auxilia đang vượt sông, có lẽ là [[sông Donau|sông Danube, bằng cầu phao trong Cuộc chiến Chinh phục Dacia của Hoàng đế Trajan (101 - 106 CN). Có thể nhận ra họ từ
Các hệ điều hành máy tính cung cấp một tập chức năng cần thiết và được dùng ở hầu hết các chương trình trên máy tính, và các liên kết cần để kiểm soát và
**Cuộc xâm lược châu Âu của người Mông Cổ** vào thế kỷ 13 là một loạt các cuộc chiến nhằm chinh phục mảnh đất này của người Mông Cổ, bằng con đường tiêu diệt các
**Quyền riêng tư trên Internet** (tiếng Anh là **Internet privacy**) là quyền riêng tư cá nhân (personal privacy) liên quan đến việc lưu trữ, hiển thị và cung cấp cho bên thứ ba thông tin
phải|Lãnh thổ Việt Nam thời nhà Lê sơ ([[1428-1527).]] **Nhà Lê sơ** (chữ Nôm: 茹黎初 chữ Hán: 黎初朝, Hán Việt: _Lê sơ triều_) là giai đoạn đầu của triều đại quân chủ nhà Hậu Lê.
**_Need for Speed: Most Wanted_** (thường được viết tắt là **_NFS: MW_**) là trò chơi điện tử thuộc thể loại đua xe, được phát triển bởi EA Black Box. Hướng theo thể loại đua xe
**Các cuộc xâm lược của Mông Cổ** đã được tiến hành trong suốt thế kỷ 13, kết quả là tạo ra một Đế quốc Mông Cổ vô cùng rộng lớn bao phủ phần lớn châu
**Hải âu cổ rụt Đại Tây Dương** (danh pháp khoa học: **_Fratercula arctica_**) là một loài chim biển trong họ Alcidae. Đây là loài hải âu cổ rụt bản địa duy nhất của Đại Tây
**_Grand Theft Auto: Chinatown Wars_** là tựa game hành động phiêu lưu do hãng Rockstar Leeds phát triển kết hợp với Rockstar North và được Rockstar Games phát hành. Trò chơi được phát hành cho
Thuật ngữ **Người bản địa kỹ thuật số** được đề cập lần đầu tiên trong bài nghiên cứu của Marc Prensky với tựa đề "Digital Natives, Digital Immigrants" (Người bản địa kỹ thuật số và