Avec un tel système, les administrateurs bénéficient dâun contrôle plus nuancé. Vous pouvez définir des autorisations basées sur un large éventail dâattributs qui participent tous à la protection des documents. En théorie, vous pourriez même attribuer à la même personne différentes autorisations selon lâorigine de sa connexion, ou les actions quâelle tente dâeffectuer différents jours de la semaine.
Dans un système ABAC, les éléments fonctionnent de façon coordonnée.
- Sujets. Qui tente dâeffectuer certaines actions?Â
- Objets. à quel fichier du réseau lâutilisateur tente-t-il dâaccéder ?
- Opération. Quelles actions lâutilisateur tente-t-il dâeffectuer sur ce fichier ?
Les relations sont définies par des instructions conditionnelles. Par exemple :
- Si lâutilisateur travaille à la comptabilité, alors il peut accéder aux fichiers comptables.Â
- Sâil sâagit dâun responsable, alors il peut accéder aux fichiers en lecture et en écriture.Â
- Si la politique de lâentreprise indique quâaucun travail ne peut être effectué le samedi et que le jour de la tentative de connexion est un samedi, alors personne ne peut accéder aux fichiers ce jour-là .
RBAC vs ABAC : avantages et inconvénients
Tous deux concernent le contrôle et lâaccès. Si les deux approches sont destinées à protéger vos systèmes, chacune possède ses propres avantages et inconvénients.
Avantages du contrôle ABAC
|
Inconvénients du contrôle ABAC
|
Contrôle bien défini
Les administrateurs peuvent définir, optimiser et gérer de nombreuses variables, et bénéficier ainsi dâun niveau de contrôle très précis. Vous pouvez créer des règles très spécifiques et granulaires pour protéger vos ressources.Â
|
Contraintes de temps
Définir les variables et configurer les règles représente une charge de travail très importante, surtout au moment du lancement du projet.Â
|
 |
Expertise
Comme les analystes lâont constaté, la configuration de règles ABAC appropriées permet une implémentation précise. Mais si vous ne configurez pas correctement le système au départ, la correction des erreurs peut prendre un temps considérable.Â
|
Â
Avantages du contrôle RBAC
|
Inconvénients du contrôle RBAC
|
Simplicité
Les règles dâun système RBAC sont simples et faciles à exécuter. La configuration est rapide et nécessite une puissance de calcul moindre.Â
|
Explosion des rôles
Pour améliorer la granularité du contrôle, certains administrateurs ajoutent des rôles supplémentaires. Cela peut conduire à ce que les analystes appellent une « explosion des rôles », avec des centaines ou des milliers de règles à gérer.Â
|
Â
5 scénarios de gestion des identités à étudierÂ
Ces exemples vous aident à mieux comprendre quand choisir un système RBAC ou préférer un système ABAC. Nous avons également inclus un exemple où les deux approches sont utilisées conjointement, ce qui peut être utile dans certains cas.
Les entreprises doivent réfléchir au choix entre RBAC ou ABAC lorsque leur environnement comporte les éléments suivants :
Â
1. Des petits groupes de travail. Le contrôle RBAC est lâoption à privilégier. La définition des tâches par rôle est simple lorsquâil sâagit dâune entreprise de petite taille et que le nombre de fichiers est réduit.
Si vous travaillez pour une entreprise de construction qui compte 15 collaborateurs, un système RBAC est normalement efficace et facile à configurer.
Â
2. Des groupes de travail géographiquement dispersés. Le contrôle ABAC est un bon choix. Vous pouvez définir lâaccès par type de collaborateurs, emplacement et heures ouvrables. Vous pouvez autoriser lâaccès uniquement pendant les heures ouvrables du fuseau horaire spécifique dâune filiale.
Â
3. Des groupes de travail assortis de contraintes de temps. Il est préférable dâutiliser un système de contrôle ABAC. Certains systèmes ou documents sensibles ne doivent pas être accessibles en dehors des heures ouvrables. Le contrôle ABAC permet de définir des règles basées sur le temps.
Â
4. Des groupes de travail avec une structure simple. Le contrôle RBAC est plus intéressant ici. Vous possédez une entreprise de grande taille, mais lâaccès est défini par la fonction des collaborateurs.
Par exemple, un cabinet médical peut donner aux réceptionnistes un accès en lecture/écriture sur les calendriers, mais cette catégorie de collaborateurs ne doit pas voir les résultats des tests médicaux, ni les données de facturation. Dans un tel cas, le RBAC est tout indiqué.
Â
5. Entreprises créatives. Le contrôle ABAC est idéal dans ce cas, car ce type dâentreprise utilise souvent les fichiers de façon unique. Parfois, tous les collaborateurs doivent pouvoir accéder à certains documents alors que, dans dâautres cas, cet accès est réservé à quelques personnes seulement. Lâaccès doit changer en fonction du document et non des rôles.
Par exemple, lâéquipe créative de votre entreprise, y compris les artistes et les rédacteurs, crée des fichiers qui sont distribués par dâautres collaborateurs. Mais ces collaborateurs, dont le personnel du service de facturation et les responsables de comptes, peuvent avoir besoin de consulter ces fichiers. De même, il est possible que lâéquipe de marketing doive les partager.
Compte tenu de la diversité des utilisateurs autorisés à consulter ces documents et de la complexité de leur gestion, une solution ABAC est préférable.
Â
Il arrive souvent quâaucune des deux approches ne convienne à tous les cas dâusage dont vous avez besoin. Câest pourquoi la plupart des entreprises implémentent un système hybride, où lâaccès général est géré par un système RBAC, et les contrôles plus granulaires au sein de cette structure sont régis par une solution ABAC.
Ainsi, vous pouvez utiliser le contrôle RBAC pour masquer des serveurs sensibles aux nouveaux collaborateurs. Ensuite, vous pouvez utiliser un système ABAC pour contrôler les possibilités de modification de ces documents une fois quâils y ont accès.
Selon les analystes, la combinaison des deux approches permet aux administrateurs dâavoir le meilleur des deux mondes. Le contrôle RBAC offre une protection « hermétique » aux fichiers sensibles, tandis que le système ABAC permet des comportements plus dynamiques. En les associant, vous bénéficiez des avantages des deux approches.Â
Faites le bon choix
Vous ne savez pas quel modèle de gestion des identités convient le mieux à votre entreprise ? Aucun problème.
Okta utilise des autorisations granulaires et des facteurs dâaccès utilisateur qui vous permettent de mettre en place un parcours sécurisé pour lâaccès et lâautorisation. Découvrez ce quâOkta peut apporter à votre entreprise.
Références
The NIST Model for Role-Based Access Control: Towards a Unified Standard. Juillet 2007. National Institute of Standards and Technology.
Policy Engineering in RBAC and ABAC. Novembre 2018. From Database to Cyber Security.
Adding Attributes to Role-Based Access Control. Juin 2010. IEEE Computing.
Role-Based ABAC Model for Implementing Least Privileges. Février 2019. ICSCA â19 : Proceedings of the 2019 8th International Conference on Software and Computer Applications.