RBAC Nedir?
İngilizce: RBAC (Role-Based Access Control)
RBAC, kullanıcı izinlerini tek tek değil görev rollerine bağlayarak uygulama ve sistemlerde erişim yönetimini sadeleştiren yetkilendirme modelidir.
RBAC Nedir?
RBAC (Role-Based Access Control), izinleri doğrudan kişilere değil rollere atayan erişim kontrol modelidir. Örneğin “Muhasebe”, “Depo Yöneticisi” veya “Destek Temsilcisi” rolleri belirli ekran, işlem ve veri kapsamlarına sahip olur; kullanıcılar bu rollere bağlanır.
Bu yapı, yeni çalışan ekleme ve görev değişikliği gibi süreçleri sadeleştirir. Kullanıcı tek tek tüm izinleri almak yerine rolü üzerinden yetkilenir. Yine de roller fazla geniş tanımlanırsa gereksiz erişim riski oluşur.
Tasarım İlkeleri
- En az ayrıcalık: Rol yalnızca iş için gereken izinleri almalıdır.
- Görev ayrılığı: Ödeme oluşturan kişi aynı ödemeyi onaylamamalı gibi kurallar korunur.
- Rol hiyerarşisi: Yönetici rolleri alt rollerin izinlerini miras alabilir.
- Denetim izi: Hangi rolün hangi işlemi yaptığı loglanmalıdır.
İş Dünyasında Kullanımı
RBAC; ERP, CRM, yönetim paneli, intranet, SaaS uygulaması ve veri raporlama araçlarında yaygındır. En sık görülen sorun rol patlamasıdır: her istisna için yeni rol açılırsa model yönetilemez hale gelir. Düzenli erişim gözden geçirme ve geçici yetki süresi bu riski azaltır.
Zero Trust yaklaşımı RBAC’i sürekli doğrulama ve bağlam kontrolleriyle tamamlar; OAuth 2.0 ise kimlik ve yetki akışının protokol tarafında sık kullanılır.
İlgili Terimler
ABAC, erişim kararını rol yerine kullanıcı, kaynak, işlem ve ortam niteliklerini birlikte değerlendiren yetkilendirme modelidir.
OAuth 2.0OAuth 2.0, üçüncü taraf uygulamaların kullanıcı şifresi olmadan kaynaklara erişmesini sağlayan yetkilendirme çerçevesidir.
Zero TrustZero Trust, ağ konumuna güvenmek yerine her kullanıcı, cihaz ve isteği kimlik, bağlam ve yetkiye göre sürekli doğrulayan güvenlik modelidir.