PBAC相对于传统ABAC的优势

最新推荐文章于 2023-11-06 19:57:03 发布
最新推荐文章于 2023-11-06 19:57:03 发布
阅读量2.5k 收藏
点赞数
文章标签: 架构师 业务分析 云计算
原文链接:https://blog.plainid.com/the-advantage-of-pbac-over-the-traditional-abac
版权

厌倦了为数百个用户、管理数千个角色的IAM经理和架构师,需要一种更好的方式来控制对企业的访问。传统的基于角色的访问控制方法有很多弱点,遗留用户太多,并且容易受到“角色爆炸”的影响。需要新的方法,允许特定用户在特定时间访问特定内容。

通常考虑的第一种解决方案是基于属性的访问控制(ABAC)。ABAC是一种细粒度的访问管理方法,其中,基于已分配给用户,操作,资源或环境的已定义规则,决定批准或拒绝对特定信息的访问请求。

例如,在银行的日常工作时间内,当从分支机构的IP地址提供客户的身份证和他们的帐号时,银行出纳员需要被授予访问请求客户账户记录的权限。

为了允许其他分支机构或通过电话进行访问,可能需要提前完成其他安全流程。通常,这些流程由一系列特定于客户的问题组成,也许他们需要与具有较高安全等级级别职责的银行行长交谈。

听起来不错,对吗?好吧,差不多了。

ABAC的问题

尽管基于属性的访问控制似乎是公认的选择,但它确实有其自身的问题:

问题1:部署和系统维护需要IT团队

  • 当采用基于属性的访问控制方法时,随着属性数量的不断增加,定义与单个用户相关联的每个属性的复杂性也随之增加,从而增加了管理整个企业的访问管理的难度。

问题2:业务团队孤立,可见度有限

  • 业务领导人处于非循环状态࿰
最低0.47元/天 解锁文章
龙归CEO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于属性的访问控制(ABAC)有哪些优势
yuzijiang11111的博客
03-04 1339
对IT管理员来说,用微软 Active Directory(活动目录)管理访问控制存在一些问题。一是在用户生命周期管理方面Active Directory容易滞后,例如员工已离职,但 AD 账号未及时冻结,存在离职人员依旧可以访问内网资源的情况,对企业而言存在安全隐患。二是 AD 运维需要专人专职,有技术门槛,运维代价高。 现如今更流行的是基于属性的访问控制(ABAC),它最大的优势在于可以通过将各种更丰富的属性信息进行组合形成访问控制条件,从而灵活适应各种资源访问场景。ABAC 本质上比传统目录访问
权限系统设计模型分析(DAC,MAC,RBAC,ABAC
勇往直前的专栏
10-08 6680
此篇文章主要尝试将世面上现有的一些权限系统设计做一下简单的总结分析,个人水平有限,如有错误请不吝指出。 术语 这里对后面会用到的词汇做一个说明,老司机请直接翻到常见设计模式。 用户 发起操作的主体。 对象(Subject) 指操作所针对的客体对象,比如订单数据或图片文件。 权限控制表 (ACL: Access Control List) 用来描述权限规则或用户和权限之间关系的数据表...
权限系统的设计模式 ACL RBAC ABAC
m0_37163942的博客
11-02 2万+
ACL(Access Control List):访问权限列表  如:   user1-->AC1 user1-->AC2 user2-->AC1    此时权限汇总成一个列表 这种设计最常见的应用就是文件系统的权限设计,如微软的NTFS 对权限控制比较分散,不便于管理,比如无法简单地将一组文件设置统一的权限开放给指定的一群用户 RBAC(Role Base A...
浅聊权限模型
zhangkaixuan456的博客
07-24 757
权限关术语英文名称中文名称描述Subject主体通常是用户或用户组Object对象权限所作用的对象,通常指各类资源Action操作对Object的操作,如:创建、删除、查询、修改等Effect结果/效力规则匹配后的限制操作,如:Allow/ DenyCondition限制条件权限生效的条件Permission权限用来指代是否允许某人在某种条件下对某种资源做某种操作Role角色权限集合,包含一个或多个权限(Permission)Policy策略。
访问控制、RBAC和ABAC模型
最新发布
dreamsofa的专栏
11-06 407
ABAC 的思想基于属性的、可扩展的、可灵活定制的一种访问控制规则引擎、类似如groovy、drools、js等执行引擎可以作为规则引擎的一种实现方式。而基于关系型数据库的数据控制可以将访问策略转换为SQL的属性查询条件, 如对象A的创建者可读策略对应的检查条件可能为:where A.creatorId=Subject.id。
权限系统设计二: DAC、MAC、RBAC、ABAC模型
10-09 1472
1 基于角色的访问控制 (RBAC: Role-Based Access Control) 在DAC、MAC的基础上, RBAC出现了,RBAC是迄今为止最为普及的权限设计模型。RBAC模型中在用户、权限之间引入“角色(Role)”概念。 RBAC把权限管理过程抽象为“判断逻辑表达式的值是否为True”的求解过程,而逻辑表达式为: Who是否可以对What进...
基于PBAC和ABE的云数据访问控制研究
04-14
基于PBAC和ABE的云数据访问控制研究
论文研究-基于PBAC和ABE的云数据访问控制研究.pdf
09-12
针对云计算环境下云数据库中个人隐私数据的不合理的访问以及关乎个人敏感信息泄露的问题,提出了一种基于PBAC(Purpose-Based Access Control)和ABE(Attribute-Based Encryption)结合的云数据访问控制模型。...
JavaFX-Budget-Calculator:该项目利用了连接到Java Spring Boot API(PBAC和身份验证)的PostgreSQL数据库,JavaFX GUI客户端可以访问该数据库
04-21
JavaFX预算计算器该项目利用了连接到Java Spring Boot API的PostgreSQL数据库,JavaFX GUI客户端可以访问该数据库。 目的是跟踪多个不同用户的多个“钱包”,资金流日志。
论文研究-基于PURPOSE的隐私数据访问控制模型 .pdf
08-16
基于PURPOSE的隐私数据访问控制模型,刘逸敏,王智慧,随着各行业对隐私数据访问指导规范的颁布,如HIPAA,OECD,隐私数据的访问控制逐渐成为隐私数据管理领域的一个研究热点。关系数据库中�
Apache_Shiro开发文档PDF
01-17
它可以基于角色(Role-Based Access Control, RBAC)或者权限(Permission-Based Access Control, PBAC)进行权限管理。开发者可以通过在 Realm 中配置角色和权限,或者使用注解、配置文件等方式进行动态授权。此外...
Casbin权限模型
热门推荐
lk2684753的博客
08-16 2万+
权限框架casbin 1.概述 Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。 Casbin支持以下编程语言: Casbin可以做到: 支持自定义请求的格式,默认的请求格式为{subject, object, action}。 具有访问控制模型model和策略policy两个核心概念。 支持RBAC中的多层角色继承,不止主体可以有角色,资源也可以具...
基于属性的访问控制(ABAC
每天都要开心呀(#^.^#)
05-26 2626
基于属性的访问控制ABAC,表示使用用户配置的授权规则对用户请求进行匹配和控制!
ABAC基于属性的访问控制
blog_empire的专栏
08-20 1万+
一、简单介绍     常用的基于角色的访问控制,最近研究关于基于属性的访问控制,感觉这个东西确实是个好东西,把自己的研究内容拿出来跟大家分享下。先简单了解下    用户在携带自身的属性值包括主题属性,资源属性,环境属性,然后向资源发送请求,授权引擎 会根据subject所携带的属性进行判断,然后会给出拒绝或者同意的结果给用户,然后就可以访问资源。   二、详细步骤  ABAC授权的...
【安全】技术干货 | 基于PBAC模型构建零信任IAM平台
Japathy
08-06 814
要想了解PBAC访问控制模型,就必须得先了解在此之前已有的访问控制模型。最早的访问控制采用ACL(Access Control Lists)进行授权,以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。目前仍较多应用于路由器或交换器上。而最常见的是RBAC(Role-Based Access Control)模型。目前大部分系统仍主要基于RBAC模型设计权限管理功能。该授权模型将权限与角色关联,用户通过成为适当角色的成员而得到这些角色的权限。
权限控制模型—RBAC
大鹏
03-10 8890
RBAC(Role-Based AccessControl,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。 与ACL实现的区别在于,不能直接为用户分配权限,只能从角色那里继承而来。 1.    RBAC权限模型   在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。
RBAC权限管理技术应用
gavinzhang_5的博客
04-14 1039
一、简介:RBAC是商业系统中最常用的权限管理系统。RBAC是一种思想,任何编程语言都能够实现。 二、常见的权限模型: 权限模型 ACL 访问控制列表 RBAC 基于角色的权限控制 ABAC 基于属性的权限控制 PBAC 基于策略的权限控制 三、ACl和RBAC对比 ACL:用户→权限 RBAC:用户
权限管理RBAC、ABACPBAC
09-12
权限管理是一种用于控制系统访问权限的方法。RBAC(Role-Based Access Control)、ABAC(Attribute-Based Access Control)和PBAC(Policy-Based Access Control)是三种常见的权限管理模型。 1. RBAC(基于角色的访问控制)模型是一种将权限分配给角色,再将角色分配给用户的方法。每个角色具有一组权限,用户通过分配适当的角色来获取应的权限。RBAC模型简化了权限管理,使得管理员可以根据角色来管理用户访问,而无需为每个用户单独分配权限。 2. ABAC(基于属性的访问控制)模型是一种基于用户和资源的属性进行访问控制的方法。ABAC模型使用属性来定义和控制访问策略,这些属性可以包括用户的身份、资源的属性以及环境条件等。ABAC模型提供了更细粒度的访问控制,并且可以根据实际需求动态地进行访问控制决策。 3. PBAC(基于策略的访问控制)模型是一种基于预定义的策略进行访问控制的方法。PBAC模型使用事先定义好的策略来控制用户对资源的访问权限。策略可以使用规则、逻辑表达式等方式来定义,并且可以根据具体情况进行灵活调整。 这三种模型在权限管理方面各有优势和适用场景,选择适合的模型取决于系统的需求和安全要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值