En el control de acceso basado en roles , la jerarquía de roles define una relación de herencia entre roles. Por ejemplo, la estructura de roles de un banco puede tratar a todos los empleados como miembros del rol "empleado". Por encima de este pueden estar los roles "gerente de departamento" y "contable", que heredan todos los permisos del rol "empleado", mientras que por encima de "gerente de departamento" pueden estar "gerente de ahorros" y "gerente de préstamos".
Los modelos RBAC generalmente tratan la jerarquía de roles como un árbol (teoría de conjuntos) , como en el modelo RBAC de 1992 de Ferraiolo y Kuhn (FK), o un conjunto parcialmente ordenado en el marco RBAC de 1996 de Sandhu, Coyne, Feinstein y Youman (SCFY). En términos de programación orientada a objetos , la jerarquía de roles del árbol es de herencia simple, mientras que la jerarquía parcial permite múltiples. [1] Cuando se trata como un orden parcial, el ejemplo de jerarquía de roles dado anteriormente podría extenderse a un rol como 'gerente de sucursal' para heredar todos los permisos de 'gerente de ahorros', 'gerente de préstamos' y 'contador'.
Pueden surgir complicaciones cuando existen restricciones como la separación de funciones entre los roles. Si se utilizó la separación de funciones para prohibir que el personal desempeñara los roles de "gerente de préstamos" y "contable", entonces el "gerente de sucursal" no podría heredar los permisos de ambos. El modelo RBAC del NIST , que unificó los modelos FK y SCFY, trata la jerarquía de roles como un orden parcial, aunque los productos RBAC no han ido más allá de la jerarquía estructurada en árbol.
{{cite web}}: CS1 maint: multiple names: authors list (link)