Rolle als Business-verständliche Darstellung der Berechtigungen

Grundsätzlich haben die Benutzer konkrete Aufgaben im Unternehmen, für deren Ausführung diverse IT-Systeme zur Verfügung stehen. Sie müssen daher entsprechende Konten und Berechtigungen in den einzelnen Systemen besitzen. Man spricht vom sogenannten Berechtigungsdreieck: Wer (User) erhält was (Permissions) warum (Job). Aus dieser grundsätzlichen Dreiecksstruktur lässt sich das allgemeine Rollenmodell ableiten. Dabei tritt an Stelle der Job Function die Rolle, die alle Berechtigungen in dieser abstrakten Form kapselt. Die Semantik der Rolle soll dann den Job-Aufgaben entsprechen und somit Business-verständlich die technischen Berechtigungen aufbereiten beziehungsweise darstellen.

RBAC – Role based Access Control

Das RBAC-Modell, in dem erstmals Berechtigungen gekapselt wurden, um sie verständlicher für das Business darzustellen, prägte maßgeblich die Vorstellung von Rollen. Es wurde 1992 von Ferraiolo und Kuhn vom National Institute of Standards and Technology (NIST) in den USA beschrieben. Das sogenannte NIST-Model wurde damals bereits als (Semi-) Standard anerkannt und 2004 als ANSI-Norm (359-2004) übernommen. Es beinhaltet unter anderem die Definition von Rollenhierarchien für die Abbildung von komplexen Strukturen. Die Rollenhierarchien wurden aber sehr schnell zu umfassend hinsichtlich Design, Verständnis und Pflege und der RBAC-Standard hatte nur unzureichende praxisrelevante Use Cases. Die Erfahrung zeigte, dass sich die rein theoretische Betrachtung von Rollenmodellen in der Umsetzung eher als ungeeignet erwies.