NIST RBAC 模型 —— 向统一标准化的努力（6）

第6节 Symmetric RBAC

维护合适恰当的许可-角色关系是任何授权管理机制的核心。旧的许可-角色关系可能会由于条件的不断改变而变得过时，甚至损害组织的策略目标。对于分布式的管理，维护用户和角色许可关系会变得困难，而管理者之间的协调配合就变得非常重要。

要有效的维护分配许可，组织必须提供相关功能去对角色所拥有的许可进行查询和管理。当维护许可时，应该以最小权力原则为中心。挑战就在于如何根据企业内各用户团体的工作和职责，恰当地分配权限来满足他们的需求。

很多情况下会需要重新对许可进行检查分配。当一个用户离开了企业，或者岗位职责发生了变动，或者许可已过时，大量的时间和精力将要用于进行检查，并有选择地进行清理。如果是用户离开了企业，那么已分配给该用户的许可将需要被所有收回。删除所有用户帐户或许是一个处理方法。但是这样会在系统内留下垃圾数据，可能造成潜在的危险。当员工变动岗位，管理员需要非常小心的对不需要的许可进行回收。如果错误删除了用户的必要许可，影响到他的工作，可能会破坏其工作积极性。如果没有及时回收用户不需要的许可，就违背了最小许可的原则，那么可能会造成许可滥用。

从第一级开始，RBAC模型就要求支持多对多的用户-角色，许可-角色的关联。在第一，二级RBAC模型中，对用户-角色关系的查询支持提出了一定要求。第一级模型要求支持由用户查询其关联的所有角色。第二级模型不单要求可以查询用户关联的角色，而且可以查询通过继承关系所获得的角色。

第四级的RBAC模型提出更高要求，要求根据指定用户或者角色可查询最终获取的许可。这些要求都是为了满足管理员在许可管理中所需要的数据，获取直接或间接的许可授权情况，以及在分布式系统中针对特定系统进行检查的能力。

第四级或者 Symmetric RBAC 要求许可-角色查询接口起码能提供两种结果之一：特定用户或角色的关联许可所涉及的对象，或者操作-对象结对。Symmetric RBAC 进一步提出了一个可选功能，支持直接和间接许可分配。直接许可，指直接分配给用户或者分配到用户所拥有的角色上的许可。间接许可，指除了直接许可的内容外，还包括通过角色继承所获得的许可。再有一个可选功能，是要求许可查询可以指定特定系统范围。