Définition - Que signifie la sécurité basée sur les rôles?
La sécurité basée sur les rôles est un principe selon lequel les développeurs créent des systèmes qui limitent l'accès ou restreignent les opérations en fonction du rôle construit par un utilisateur dans un système. Ceci est également souvent appelé contrôle d'accès basé sur les rôles, car de nombreuses entreprises et organisations utilisent ce principe pour garantir que les utilisateurs non autorisés n'ont pas accès aux informations privilégiées dans une architecture informatique.
Definir Tech explique la sécurité basée sur les rôles
Il existe de nombreuses façons de développer un système de sécurité basé sur les rôles. Tous commencent par la définition de divers rôles et de ce que les utilisateurs affectés à ces rôles peuvent et ne peuvent pas faire ou voir. Les niveaux de fonctionnalité qui en résultent doivent être codés dans le système à l'aide de paramètres spécifiques.
La programmation orientée objet implique souvent de traiter un rôle comme un objet par rapport à certains modules de code ou fonctions. Dans un paramètre de programmation Microsoft, un développeur peut utiliser un objet PrincipalPermission dans .Net pour examiner un objet contenant une désignation de rôle et effectuer des contrôles de sécurité. Dans d'autres cas, des informations sur un objet peuvent être transmises à une méthode pour un contrôle de sécurité.
Tout système de sécurité basé sur les rôles dépend de la capacité du code à contrôler correctement et complètement un utilisateur donné par le rôle qui lui est attribué et donc à se prémunir contre l'utilisation non autorisée d'identifiants propriétaires d'un rôle spécifique. Les modèles alternatifs incluent le contrôle d'accès obligatoire, où certaines spécificités sont codées dans un système d'exploitation, et le contrôle d'accès discrétionnaire, où certains éléments de sécurité peuvent être plus flexibles. Par exemple, un utilisateur plus privilégié peut être en mesure de «transmettre» l'accès à un autre utilisateur dans le cadre d'un simple événement ou processus discrétionnaire.