Google Senin Arkadaşın :)
Her neyse, rol ve grup arasındaki ayrım, bilgisayar güvenliği kavramlarından kaynaklanıyor (basitçe kaynak yönetiminin aksine). Prof. Ravi Sandhu, roller ve gruplar arasındaki anlamsal farkın ufuk açıcı bir kapsamını sağlar.
http://profsandhu.com/workshop/role-group.pdf
Grup, gruba (ve kullanıcılara geçişli olarak) atanmış belirli bir izin kümesine sahip kullanıcılar topluluğudur. Rol, bir izinler koleksiyonudur ve bir kullanıcı, bu rol altında hareket ettiğinde bu izinleri etkin bir şekilde devralır.
Tipik olarak, grup üyeliğiniz oturum açma süreniz boyunca kalır. Diğer yandan bir rol, belirli koşullara göre etkinleştirilebilir. Mevcut göreviniz 'tıbbi personel' ise, belirli bir hastanın tıbbi kayıtlarından bazılarını görebilirsiniz. Bununla birlikte, rolünüz aynı zamanda 'hekim' ise, sadece 'tıbbi personel' rolüne sahip bir kişinin görebileceğinin ötesinde ek tıbbi bilgileri görebilirsiniz.
Roller günün saatine, erişim yerine göre etkinleştirilebilir. Roller ayrıca özniteliklerle geliştirilebilir / ilişkilendirilebilir. 'Hekim' olarak ameliyat ediyor olabilirsiniz, ancak benimle bir 'birincil hekim' niteliğiniz veya ilişkiniz yoksa ('hasta' rolü olan bir kullanıcı), o zaman tıbbi geçmişimin tamamını göremezsiniz.
Tüm bunları gruplarla yapabilirsiniz, ancak yine gruplar rol veya aktiviteye değil kimliğe odaklanma eğilimindedir. Ve az önce açıklanan türden güvenlik unsurları, kendilerini öncekinden çok sonraya daha iyi uyma eğilimindedir.
Çoğu durumda, bir şeyleri birlikte sınıflandırmak için (ve daha fazlası değil), gruplar ve roller aynı şekilde çalışır. Bununla birlikte, gruplar kimliğe dayalıdır, oysa roller, etkinliği sınırlandırmak içindir. Ne yazık ki, işletim sistemleri, rolleri gruplar olarak ele alarak farkı bulanıklaştırma eğilimindedir.
İşletim sistemi düzeyinde uygulanan (tipik olarak gruplarla eşanlamlı olan) `` roller '' yerine uygulama veya sisteme özgü anlambilim ( Oracle rollerinde olduğu gibi) taşıyan uygulama veya sistem düzeyindeki rollerle çok daha net bir ayrım görürsünüz .
Rollerde ve rol tabanlı erişim kontrol modellerinde sınırlamalar olabilir (tabii ki herhangi bir şeyde olduğu gibi):
http://www.lhotka.net/weblog/CommentView,guid,9efcafc7-68a2-4f8f-bc64-66174453adfd.aspx
Yaklaşık on yıl önce, rol tabanlı erişim denetiminden çok daha iyi ayrıntı düzeyi sağlayan öznitelik tabanlı ve ilişkiye dayalı erişim denetimi üzerine bazı araştırmalar gördüm. Ne yazık ki, bu alemde yıllardır pek etkinlik görmedim.
Roller ve gruplar arasındaki en önemli fark, rollerin tipik olarak zorunlu bir erişim denetimi (MAC) mekanizması uygulamasıdır. Kendinizi (veya başkalarını) rollere atayamazsınız. Bir rol yöneticisi veya rol mühendisi bunu yapar.
Bu, yüzeysel olarak, bir kullanıcının kendisini bir gruba atayabileceği / atayabileceği (tabii ki sudo aracılığıyla) UNIX gruplarına benzer. Gruplar bir güvenlik mühendisliği sürecine göre atandığında, ayrım biraz bulanıklaşır.
Bir diğer önemli özellik, gerçek RBAC modellerinin karşılıklı olarak dışlayıcı roller kavramını sağlayabilmesidir. Bunun aksine, kimliğe dayalı gruplar eklemelidir - bir müdürün kimliği, grupların toplamıdır (veya birleşimidir).
Gerçek RBAC tabanlı bir güvenlik modelinin bir başka özelliği, belirli bir rol için oluşturulan öğelere, bu rol altında hareket etmeyen biri tarafından tipik olarak geçişli olarak erişilememesidir.
Öte yandan, isteğe bağlı erişim denetimi (DAC) modeli altında (Unix'teki varsayılan model), bu tür garantiyi yalnızca gruplarla alamazsınız. BTW, bu grupların veya Unix'in bir sınırlaması değil, kimliğe dayalı (ve geçişli olarak, kimliğe dayalı gruplarla) DAC modellerinin bir sınırlamasıdır.
Umarım yardımcı olur.
=======================
Simon'ın iyi yanıtını gördükten sonra biraz daha eklemek. Roller, izinleri yönetmenize yardımcı olur. Gruplar, nesneleri ve konuları yönetmenize yardımcı olur. Dahası, roller 'bağlamlar' olarak düşünülebilir. 'X' rolü, Y öznesinin Z nesnesine nasıl eriştiğini (veya erişmediğini) yöneten bir güvenlik bağlamını tanımlayabilir.
Bir diğer önemli ayrım (veya ideal), bir uygulama, sistem veya işletim sisteminde gerekli ve / veya açık olan rolleri, bağlamları düzenleyen bir rol mühendisinin, bir kişinin olmasıdır. Bir rol mühendisi tipik olarak aynı zamanda bir rol yöneticisidir (veya sistem yöneticisi). Dahası, bir rol mühendisinin gerçek rolü (amaçlanan değildir) yönetim değil, güvenlik mühendisliği alanındadır.
Bu, RBAC tarafından resmileştirilmiş yeni bir gruptur (nadiren kullanılsa bile), tipik olarak grup yetenekli sistemlerde bulunmayan bir gruptur.