Skip to main content

Skillber v1.0 is here!

Learn more

Modèles d'Autorisation

Checking access...

Si l’authentification répond à la question « Qui êtes-vous ? », l’autorisation répond à « Qu’avez-vous le droit de faire ? ». L’autorisation est le processus d’application des politiques d’accès.

Présentation des Modèles

ModèleNomGranularité
DACContrôle d’accès discrétionnairePar objet
MACContrôle d’accès obligatoirePar étiquette
RBACContrôle d’accès basé sur les rôlesPar rôle
ABACContrôle d’accès basé sur les attributsPar attribut
ReBACContrôle d’accès basé sur les relationsPar relation

RBAC — Contrôle d’Accès Basé sur les Rôles

Le RBAC attribue des permissions à des rôles, et des rôles aux utilisateurs.

Règles RBAC (NIST)

  1. Attribution de rôle — Un sujet doit avoir un rôle assigné
  2. Autorisation de rôle — Le rôle actif doit être autorisé pour le sujet
  3. Autorisation de permission — La permission doit être autorisée pour le rôle actif

Tip

Le RBAC est le modèle d’autorisation le plus déployé dans l’IAM en entreprise car il équilibre efficacité administrative et contrôle de sécurité.

ABAC — Contrôle d’Accès Basé sur les Attributs

L’ABAC évalue les décisions d’accès en fonction des attributs de l’utilisateur, de la ressource, de l’action et de l’environnement.

RBAC vs ABAC

AspectRBACABAC
GranularitéLarge-moyenneFine
Impact des changementsRedéfinition des rôlesMise à jour des règles
Idéal pourFonctions stablesAccès contextuels dynamiques

ReBAC — Contrôle d’Accès Basé sur les Relations

Le ReBAC modélise l’accès comme des relations entre entités dans un graphe. Popularisé par Google Zanzibar (Google Drive, YouTube, Gmail).

Points Clés

  • L’autorisation détermine ce qu’un utilisateur authentifié est autorisé à faire
  • Le RBAC est le standard de l’industrie — permissions aux rôles, rôles aux utilisateurs
  • L’ABAC ajoute une évaluation contextuelle fine basée sur les attributs
  • Le ReBAC modélise l’accès comme des relations (modèle Google Zanzibar)
  • Choisir le modèle selon l’échelle, la complexité et les besoins réglementaires