RBAC: управление доступом через роли
RBAC (Role-Based Access Control — ролевая модель доступа) — это подход, при котором права назначаются не каждому сотруднику по отдельности, а ролям. Человек получает доступ через свою роль: «бухгалтер», «менеджер по продажам», «системный администратор». Сменилась должность — сменилась роль, и права пересобрались автоматически.
Зачем это нужно бизнесу
Когда права раздают каждому пользователю вручную, через год-два получается хаос. Новому сотруднику настраивают доступы «как у соседа», копируя в том числе лишние. При переводе старые права забывают снять, и человек накапливает доступ ко всему, к чему когда-либо прикасался. Ответить на вопрос аудитора «почему у этого менеджера доступ к финансовой системе» становится невозможно.
RBAC убирает этот хаос. Права описываются один раз — на уровне роли, а не человека. Принят бухгалтер — ему дают роль «бухгалтер», и он получает ровно тот набор доступов, который положен этой должности. Переведён в другой отдел — поменяли роль, и доступы пересобрались. Это реализует принцип минимальных привилегий: у каждого ровно столько прав, сколько нужно для работы, и ни одним больше.
Как это работает
В основе RBAC три сущности: пользователи, роли и разрешения.
Разрешение — это право на конкретное действие: «читать папку договоров», «проводить платёж», «создавать пользователей».
Роль — набор разрешений, привязанный к должностной функции. Роль «бухгалтер» объединяет разрешения на работу с финансовыми документами и отчётами.
Назначение — пользователю выдаются одна или несколько ролей. Прямых прав «в обход роли» в чистом RBAC нет — это и делает модель прозрачной.
| Уровень | Пример |
|---|---|
| Пользователь | Иванов И. И. |
| Роль | Бухгалтер |
| Разрешения роли | Доступ к 1С, чтение договоров, выгрузка отчётов |
RBAC — это ядро авторизации в более широкой системе IAM (управление идентификацией и доступом). Аутентификация отвечает «кто вошёл», а RBAC — «что ему можно».
Когда нужно компании
- Сотрудников много, и раздавать права вручную каждому стало нереально
- Нужно быстро отвечать аудиторам и регуляторам, у кого к чему есть доступ и почему
- Часты переводы и ротации — права должны пересобираться сами, без ручной чистки
- Компания внедряет принцип минимальных привилегий и движется к модели нулевого доверия
- Привилегированные администраторские доступы нужно выделить и контролировать отдельно
Что включает наша услуга
- Анализ должностей и функций — какие роли реально нужны компании
- Проектирование матрицы «роль — разрешения» под бизнес-процессы заказчика
- Настройка RBAC в ключевых системах: каталог, бизнес-приложения, инфраструктура
- Перевод существующих хаотичных прав в ролевую модель без потери доступа у пользователей
- Выделение привилегированных ролей и связка с контролем PAM
- Регулярная ревизия ролей и сопровождение из нашего NOC
Почему контроль прав напрямую снижает риск инцидентов — в статье «Как защитить компанию от утечек данных».
Связанные термины
- IAM — управление идентификацией и доступом — общий контур, в котором RBAC отвечает за авторизацию
- PAM — управление привилегированным доступом — усиленный контроль для администраторских ролей
- Zero Trust — модель нулевого доверия — подход, где RBAC помогает выдавать минимально необходимые права
Хотите перевести доступы на прозрачную ролевую модель?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП