Zusammenfassung.
In diesem Beitrag wird ein formaler Ansatz zur Ableitung von Zugriffsrechten auf der Basis eines formalen Organisationsmodells vorgestellt. Hierzu wird der Ansatz der rollenbasierten Zugriffskontrolle (engl. Role-Based Access Control, kurz RBAC) um die Möglichkeit erweitert, Aufbauorganisationen zu modellieren. Der Vorteil gegenüber rollenbasierten Ansätzen mit einfachen Rollenhierarchien ist die klare Struktur, die einem Zugriffskontrollmodell durch die Organisationsform aufgeprägt wird. Des Weiteren können organisatorische Regelungen, wie z.B. Urlaubsvertretung oder Weisungsbefugnis, direkt im Modell hinterlegt werden. Aufwendig zu pflegende und häufig inkonsistente Rollenkataloge werden obsolet. Sicherheitsstrategien mit unpräzisen Vorgaben lassen sich mittels der vorgestellten Technik der sog. `Kompetenzerweiterung' umsetzen. Das zugrundeliegende Paradigma des vorgestellten Ansatzes unterscheidet sich stark von anderen Ansätzen mit statischer Autorisation. Nutzer können sich Zugriffsrechte in fest definierten Grenzen selbstverantwortlich zuteilen, wobei jedoch eine nachträgliche Kontrolle stark vereinfacht und damit praktikabel wird.
Abstract.
This article presents a formal model for derivation of access rights founded on a formal organization model. To obtain this new model, the role-based access control model (RBAC model) is extended by the possibility of modeling organizations. The advantage compared to role-based models with simple role hierachies is the clear structure of the resulting access control scheme based on the organization structure. It is also possible to specify organizational exceptions directly, e.g. substitutions for vacation or order based exceptions. Role catalogues, which are often expensive to update or inconsitent, become obsolete. Security policies with imprecise guidelines can be stated with the introduced technique of the so-called 'competence expansion'. The underlying paradigm of the introduced model differs very much from other models with static authorization. Users can obtain additional access rights under their personal responsibility within statically defined limits. However, the subsequent security audit is being much improved and thus becomes more feasible.
Author information
Authors and Affiliations
Additional information
Eingegangen am 22. Februar 2001 / Angenommen am 22. Mai 2001
Rights and permissions
About this article
Cite this article
Seufert, S. Der Entwurf strukturierter rollenbasierter Zugriffskontrollmodelle . Informatik Forsch Entw 17, 1–11 (2002). https://doi.org/10.1007/s004500100083
Published:
Issue Date:
DOI: https://doi.org/10.1007/s004500100083