RBAC (Role-Based Access Control)

RBAC ist ein Zugriffskontrollmodell, das Berechtigungen nicht direkt Nutzern, sondern Rollen zuweist; Nutzer erhalten Rechte durch Rollenzugehörigkeit. Das Modell wurde 1992 von Ferraiolo und Kuhn geprägt und als ANSI-Standard 359 formalisiert. In öffentlichen IT-Systemen gilt RBAC als Best Practice zur Umsetzung des Prinzips der minimalen Rechtevergabe (Least Privilege); in Leistungsverzeichnissen ist ein nachweisbares RBAC-Konzept häufig Mindestanforderung.