Attribute-based access control (original) (raw)
Unter attributbasierter Zugriffskontrolle (englisch attribute-based access control, ABAC) versteht man ein Entwurfsmuster in der Informationstechnik. Bei der attributbasierten Zugriffskontrolle wird der Zugriff auf eine Ressource anhand von Attributen des Benutzers bzw. des Clients, der Ressource, dem Zustand der Systemumgebung (englisch environment state), sowie auf diese Attribute angewendeten Sicherheitsregeln (englisch policies) gesteuert. Die attributbasierte Zugriffskontrolle kommt insbesondere bei OAuth und OpenID zum Einsatz.
| Property | Value |
|---|---|
| dbo:abstract | Unter attributbasierter Zugriffskontrolle (englisch attribute-based access control, ABAC) versteht man ein Entwurfsmuster in der Informationstechnik. Bei der attributbasierten Zugriffskontrolle wird der Zugriff auf eine Ressource anhand von Attributen des Benutzers bzw. des Clients, der Ressource, dem Zustand der Systemumgebung (englisch environment state), sowie auf diese Attribute angewendeten Sicherheitsregeln (englisch policies) gesteuert. Die attributbasierte Zugriffskontrolle kommt insbesondere bei OAuth und OpenID zum Einsatz. (de) Attribute-based access control (ABAC), also known as policy-based access control for IAM, defines an access control paradigm whereby a subject's authorization to perform a set of operations is determined by evaluating attributes associated with the subject, object, requested operations, and, in some cases, environment attributes. ABAC policy rules are generated as Boolean functions of the subject's attributes, the object's attributes, and the environment attributes. Unlike role-based access control (RBAC), which defines roles that carry a specific set of privileges associated with them and to which subjects are assigned, ABAC can express complex rule sets that can evaluate many different attributes. Through defining consistent subject and object attributes into security policies, ABAC eliminates the need for explicit authorizations to individuals’ subjects needed in a non-ABAC access method, reducing the complexity of managing access lists and groups. Attribute values can be set-valued or atomic-valued. Set-valued attributes contain more than one atomic value. Examples are role and project. Atomic-valued attributes contain only one atomic value. Examples are clearance and sensitivity. Attributes can be compared to static values or to one another, thus enabling relation-based access control. Although the concept itself existed for many years, ABAC is considered a "next generation" authorization model because it provides dynamic, context-aware and risk-intelligent access control to resources allowing access control policies that include specific attributes from many different information systems to be defined to resolve an authorization and achieve an efficient regulatory compliance, allowing enterprises flexibility in their implementations based on their existing infrastructures. Attribute-based access control is sometimes referred to as policy-based access control (PBAC) or claims-based access control (CBAC), which is a Microsoft-specific term. The key standards that implement ABAC are XACML and ALFA (XACML). (en) Разграничение доступа на основе атрибутов (англ. Attribute-Based Access Control, ABAC) — модель контроля доступа к объектам, основанная на анализе правил для атрибутов объектов или субъектов, возможных операций с ними и окружения, соответствующего запросу. Системы управления доступом на основе атрибутов обеспечивают мандатное и избирательное управление доступом. Рассматриваемый вид разграничения доступа даёт возможность создать огромное количество комбинаций условий для выражения различных политик[чего?]. Главными компонентами любого механизма контроля доступа являются аутентификация и авторизация пользователя. Доступ к сети компании или её активам обычно зависит от должности сотрудника. Например, бухгалтер имеет возможность узнать как общую финансовую отчетность, так и конкретно по продажам, в то время как менеджер по продажам имеет доступ только к последней. Если сотрудник меняет должность или увольняется, администратор должен вручную поменять его роль, чтобы изменить права доступа, возможно даже в нескольких системах. Чтобы в таком и более сложных случаях упростить процесс изменения прав, фирме нужен более гибкий подход к контролю доступа. Политика на основе атрибутов делает управление доступом более эффективным, уменьшая сложность нормативных требований. Одна и та же политика, основанная на атрибутах, может использоваться в разных системах. Это помогает управлять согласованностью доступа к ресурсам в пределах одной компании или между несколькими партнёрскими. Такое централизованное управление доступом предполагает единственный авторитетный источник для правил доступа, что делает необязательными проверки на соответствие требованиям каждой конкретной системы со своей политикой. Развитием модели ABAC являются модели на основе аутентификации (англ. autheNtication-Based Access Control, NBAC) и авторизации (англ. authoriZation-Based Access Control, ZBAC), где учитывается проблема согласования значений атрибутов и уменьшается количество междоменных соглашений, но при этом требуются некоторые изменения в исходных системах. (ru) |
| dbo:wikiPageExternalLink | http://csrc.nist.gov/projects/abac/ http://profsandhu.com/dissert/Dissertation_Xin_Jin.pdf https://plus.kuppingercole.com/article/mc71144/dynamic-authorization-management https://www.immuta.com/articles/attribute-based-access-control/ https://f5.com/about-us/blog/articles/abac-not-rbac-welcome-to-the-iot-world-of-contextual-security https://link.springer.com/chapter/10.1007%2F978-3-642-31540-4_4 |
| dbo:wikiPageID | 11353293 (xsd:integer) |
| dbo:wikiPageLength | 14367 (xsd:nonNegativeInteger) |
| dbo:wikiPageRevisionID | 1124979008 (xsd:integer) |
| dbo:wikiPageWikiLink | dbr:Lightweight_Directory_Access_Protocol dbr:OAuth dbr:Security_Assertion_Markup_Language dbr:RSBAC dbr:Classified_information dbr:Context-based_access_control dbr:Federated_identity dbr:Identity_management dbr:Data-centric_security dbr:Lattice-based_access_control dbr:Location-based_authentication dbr:ALFA_(XACML) dbr:Access_control_list dbr:Discretionary_access_control dbr:Graph-based_access_control dbr:User_provisioning_software dbc:Access_control dbc:Computer_access_control dbr:Big_data dbr:Identity_driven_networking dbr:Identity_management_system dbr:Organisation-based_access_control dbr:Capability-based_security dbr:RBAC dbr:XACML dbr:Mandatory_access_control dbr:Security_token_service dbr:Single_sign-on dbr:Risk-based_authentication dbr:PERMIS dbr:Role-based_access_control |
| dbp:wikiPageUsesTemplate | dbt:Code dbt:Columns-list dbt:Reflist |
| dct:subject | dbc:Access_control dbc:Computer_access_control |
| rdfs:comment | Unter attributbasierter Zugriffskontrolle (englisch attribute-based access control, ABAC) versteht man ein Entwurfsmuster in der Informationstechnik. Bei der attributbasierten Zugriffskontrolle wird der Zugriff auf eine Ressource anhand von Attributen des Benutzers bzw. des Clients, der Ressource, dem Zustand der Systemumgebung (englisch environment state), sowie auf diese Attribute angewendeten Sicherheitsregeln (englisch policies) gesteuert. Die attributbasierte Zugriffskontrolle kommt insbesondere bei OAuth und OpenID zum Einsatz. (de) Attribute-based access control (ABAC), also known as policy-based access control for IAM, defines an access control paradigm whereby a subject's authorization to perform a set of operations is determined by evaluating attributes associated with the subject, object, requested operations, and, in some cases, environment attributes. ABAC policy rules are generated as Boolean functions of the subject's attributes, the object's attributes, and the environment attributes. (en) Разграничение доступа на основе атрибутов (англ. Attribute-Based Access Control, ABAC) — модель контроля доступа к объектам, основанная на анализе правил для атрибутов объектов или субъектов, возможных операций с ними и окружения, соответствующего запросу. Системы управления доступом на основе атрибутов обеспечивают мандатное и избирательное управление доступом. Рассматриваемый вид разграничения доступа даёт возможность создать огромное количество комбинаций условий для выражения различных политик[чего?]. (ru) |
| rdfs:label | Attributbasierte Zugriffskontrolle (de) Attribute-based access control (en) Разграничение доступа на основе атрибутов (ru) |
| owl:sameAs | freebase:Attribute-based access control wikidata:Attribute-based access control dbpedia-de:Attribute-based access control dbpedia-ru:Attribute-based access control https://global.dbpedia.org/id/4Tnzy |
| prov:wasDerivedFrom | wikipedia-en:Attribute-based_access_control?oldid=1124979008&ns=0 |
| foaf:isPrimaryTopicOf | wikipedia-en:Attribute-based_access_control |
| is dbo:wikiPageDisambiguates of | dbr:ABAC |
| is dbo:wikiPageRedirects of | dbr:Attribute_Based_Access_Control dbr:Policy-based_access_control dbr:Attribute-Based_Access_Control dbr:Policy_Based_Access_Control dbr:Dynamic_Authorization dbr:Attribute_based_access_control dbr:Label-based_access_control dbr:Externalized_Authorization |
| is dbo:wikiPageWikiLink of | dbr:Attribute_Based_Access_Control dbr:Paywall dbr:OAuth dbr:RSBAC dbr:Context-based_access_control dbr:Comparison_of_relational_database_management_systems dbr:Computer_security_model dbr:Identity_management dbr:Policy-based_access_control dbr:Lattice-based_access_control dbr:Access_control dbr:Discretionary_access_control dbr:Graph-based_access_control dbr:ABAC dbr:Attribute-Based_Access_Control dbr:Relationship-based_access_control dbr:Distributed_Access_Control_System dbr:Policy_Based_Access_Control dbr:Identity-based_security dbr:XACML dbr:Mandatory_access_control dbr:Risk-based_authentication dbr:Web_API_security dbr:Role-based_access_control dbr:Dynamic_Authorization dbr:Attribute_based_access_control dbr:Label-based_access_control dbr:Externalized_Authorization |
| is foaf:primaryTopic of | wikipedia-en:Attribute-based_access_control |