RBAC Nedir?

İngilizce: RBAC (Role-Based Access Control)

RBAC, kullanıcı izinlerini tek tek değil görev rollerine bağlayarak uygulama ve sistemlerde erişim yönetimini sadeleştiren yetkilendirme modelidir.

RBAC Nedir?

RBAC (Role-Based Access Control), izinleri doğrudan kişilere değil rollere atayan erişim kontrol modelidir. Örneğin “Muhasebe”, “Depo Yöneticisi” veya “Destek Temsilcisi” rolleri belirli ekran, işlem ve veri kapsamlarına sahip olur; kullanıcılar bu rollere bağlanır.

Bu yapı, yeni çalışan ekleme ve görev değişikliği gibi süreçleri sadeleştirir. Kullanıcı tek tek tüm izinleri almak yerine rolü üzerinden yetkilenir. Yine de roller fazla geniş tanımlanırsa gereksiz erişim riski oluşur.

Tasarım İlkeleri

  • En az ayrıcalık: Rol yalnızca iş için gereken izinleri almalıdır.
  • Görev ayrılığı: Ödeme oluşturan kişi aynı ödemeyi onaylamamalı gibi kurallar korunur.
  • Rol hiyerarşisi: Yönetici rolleri alt rollerin izinlerini miras alabilir.
  • Denetim izi: Hangi rolün hangi işlemi yaptığı loglanmalıdır.

İş Dünyasında Kullanımı

RBAC; ERP, CRM, yönetim paneli, intranet, SaaS uygulaması ve veri raporlama araçlarında yaygındır. En sık görülen sorun rol patlamasıdır: her istisna için yeni rol açılırsa model yönetilemez hale gelir. Düzenli erişim gözden geçirme ve geçici yetki süresi bu riski azaltır.

Zero Trust yaklaşımı RBAC’i sürekli doğrulama ve bağlam kontrolleriyle tamamlar; OAuth 2.0 ise kimlik ve yetki akışının protokol tarafında sık kullanılır.