细粒度授权在安全领域的重要性

身份和访问管理（IAM）解决方案的授权方法各不相同，首选方法通常是基于角色的访问控制（RBAC）。它 涉及定义公司所需的角色，为每个角色指定权限，然后将用户与角色进行匹配。RBAC 虽然逻辑上是合理的，但也有一些局限性。 首先，每当公司添加资源时，都必须为每个角色定义该资源的访问权限，这使得 RBAC 难以维护。其次，公司经常创建许多非常详细的角色，每个角色的不同之处在于对一个或两个资源的访问权限不同，这也使问题变得更加复杂。由于涉及大量技术细节，因此在使用 RBAC 的公司中它负责授权。这使得管理层在执行重要的业务决策时依赖于 IT。

最后，尽管 RBAC 解决方案很详细，但它们是静态且粗粒度的，忽略了诸如时间或位置等因素。越来越多的公司支持通过智能手机和云进行访问，Avi Chesla 等专家指出：“如今，网络访问必须是动态且流畅的，并支持基于身份和基于应用程序的用例。”

超越 RBAC：ABAC 和 PBAC

基于属性的访问控制（ABAC）超越了 RBAC，解决了它的许多局限性。ABAC 使用细粒度的访问控制，考虑到许多用户属性，包括请求的位置或时间来确定访问权限。

ABAC 解决方案通常使用布尔逻辑。这使 ABAC 解决方案无需使用角色即可有效地定义访问策略。例如，公司可以定义一个名为“Management”的组，并且仅允许其成员访问某些文件。使用 RBAC，这将需要为每个角色编码有关这些文件的访问规则。两种方法之间的维护差异很大。此外，ABAC 不使用角色，避免了“角色爆炸”。但是，在需要管理的角色数量减少的情况下，需要管理的规则数量成反比（规则爆炸） 。

基于策略的访问控制（Policy-Based Access Control，PBAC）结合了 RBAC 和 ABAC 的优势，又向前迈进了一步。 与 RBAC 一样，它也有角色，但是它们只是设置策略的一个因素，并且不需要像 RBAC 系统中那样对每个资源都具有特定的权限。这简化了授权策略的创建和维护。

像 ABAC 一样，PBAC 使用逻辑来定义策略。PBAC 策略可以在运行时进行更改或实施，使其成为最灵活的解决方案。使用图形用户界面，管理人员可以通过量身定制的管理工作流程与其策略进行交互，而不必依赖于 IT。因此，PBAC 不仅简化了授权，而且将 IAM 策略制定权转交给了管理者。

使用案例

当公司希望在特定情况下（例如 B2B 授权或使用公司门户）允许第三方访问某些资源时，PBAC 尤其有用。

• B2B 授权：一家公司可能希望让一个或多个其他公司使用某些服务或数据。例如，ABC 制药公司希望让不同医院的医生和其他人员查看某些数据。通过使用 PBAC，ABC 可以为每组医院人员定义一个角色，并授权每个人员访问特定的数据。

• 公司门户的使用：具有门户的公司（例如，供应商门户，合作伙伴门户）需要将多种类型的内容共享给多个用户。例如，国防承包商可以使用 PBAC 来管理访问权限。这将允许不同的供应商或客户根据其授权来出售或购买不同的产品。PBAC 是按日期或时间定义门户访问权限的理想选择。例如，可以定时访问门户网站上的新闻稿以支持产品发布。时间到了，访问将自动授予授权的用户和来宾。如果需要，时间可以随时更改。

在所有用例中，访问策略都是业务功能，而不是 IT 任务。PBAC 使负责管理的人员可以根据利益相关者的数据，通过用户界面来构建策略。然后对该策略进行测试和部署。当前可用的软件使得无需编写任何代码即可设计和实施完整的授权解决方案。此类软件使业务风险和控制所有者能够确保访问控制遵循规定的业务策略和法规。

细粒度的访问控制适合企业领导者的需要

细粒度的访问控制使企业领导者可以快速设计和实施授权计划。PBAC 解决方案的灵活性及其简单性，使其成为当今瞬息万变的商业环境的理想之选。PBAC 使管理层能够确保授权策略遵循业务逻辑，而不会占用时间和资源。

PBAC 还可以安全有效地允许授权的非员工（例如供应商）访问公司网络或数据库。这些功能结合在一起，使 PBAC 成为控制访问公司资源的最佳和最可持续的解决方案，使企业能够专注于更重要的事情，并利用与业务合作伙伴更大的互联性和协作带来的共享数据和资源的优势，而不会增加数据泄露的风险。

本文翻译自 Gal Helemski 所撰 《The Importance of Fine-Grained Authorization for Secure Content》一文。

原文链接: <https://blog.plainid.com/the-importance-of-fine-grained-authorization-for-secure-content>

关于我们

「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统，助力企业或政府拥抱 （Cloud Native First）云原生优先战略，帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施！从而实现 「数字化转型」 及 「软件行业工业化生产」 ！

主打产品：ArkOS 方舟操作系统：一个企业级办公自动化操作系统 ，结合自研低代码应用开发平台，构建产业生态，专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括：ArkID 统一身份认证，ArkIDE，ArkPlatform，App Store 等产品。截至目前，公司已经获得 15 个 软件著作权、2 个发明专利，并与 2020 年 11 月份，获得北京海淀区中关村国家高新技术企业认定。

相关链接：

官网：<https://www.longguikeji.com/>

文档：<https://docs.arkid.longguikeji.com/>

开源代码仓库地址：

<https://github.com/longguikeji>

<https://gitee.com/longguikeji>

历史文章

1. 登录的轮子，你还在造？
   

2. 企业级单点登录——信息化体系建设基础
   

3. 远程办公，你准备好了吗？
   

4. 企业信息化，怎样才算数？
   

5. 龙归科技 | 对未来的若干猜测
   

6. 龙归科技 | 企业办公自动化的未来
   

7. 龙归科技 | 软件的成本下降