RBAC + ABAC混合访问控制模型

Question

我正在研究各种类型的访问控制模型。到目前为止，我遇到了MAC，ABAC和RBAC，其中RBAC和ABAC是流行的。但它们都不适合作为所有现实生活场景的完整解决方案。

这就是为什么人们多次提出RBAC和ABAC混合模型的原因。我仍然无法理解这个混合模型，以及这个模型如何克服RBAC和ABAC的缺点。

Answer 1

ABAC本身是唯一的，因为它可以用于实现RBAC策略。当人们引用混合RBAC/ABAC模型时，他们意味着角色和权限仍然是在身份管理系统(例如LDAP )中管理的，但是现在您需要依赖策略(例如XACML)来驱动实际的授权。

应用程序仍然可以直接使用这些角色，但可能会依赖PEP进行授权决策。

Answer 2

这不是一个容易回答的问题。缺点在持有人的眼中。但是，对于RBAC的局限性，有一些普遍的看法。例如，“角色爆炸”问题。本文由我编写，描述了这个问题，以及如何在解决方案中解决这个问题。免责声明，我是Apache堡垒项目的贡献者之一。

https://iamfortress.net/2018/07/07/towards-an-attribute-based-role-based-access-control-system/