Lab 24: Role Based Acess Control (RBAC)

Descripción

En esta actividad exploraremos el modelo usado como estándar internacional para el control de acceso basado en roles (RBAC), y lo aplicarás en aplicaciones web.

Modalidad

En Equipo.

Objetivos de aprendizaje

• Entender el modelo RBAC.
• Implementar el modelo RBAC.

Instrucciones

• Revisa junto con el profesor el modelo RBAC
• Analiza junto con el profesor el siguiente MER que aplica el modelo RBAC.

  

  ¿Qué capacidades le puede dar a una aplicación la implementación de este modelo de datos con respecto al control de acceso?
• Implementen en equipo el modelo RBAC en una aplicación. La recomendación es que sea en su proyecto, pero si prefieren hacerlo en otra aplicación, no hay inconveniente.
  Algunos aspectos a considerar en la implementación:
  1. 1. Primero deben soportar el modelo a nivel de la base de datos, y poblar la BD con suficientes registros para que puedan verificar la correcta aplicación del modelo.
  2. 2. A nivel de la aplicación web, es necesario obtener los permisos del usuario en el momento en el que se autentifica, esto lo pueden realizar obteniendo los roles del usuario, y luego los permisos asignados a cada rol.
  3. 3. Posteriormente pueden generar la interfaz gráfica de manera dinámica de acuerdo a los permisos del usuario.
  4. 4. Es importante, validar el permiso requerido en cada ruta.
  5. 5. El nivel más avanzado de la implementación del modelo RBAC, implica la creación de una interface de usuario con la capacidad para gestionar las asignaciones de roles y permisos. Considerando las restricciones de su aplicación, evalúen e implementen lo que consideren necesario de esta interface.

Preguntas a responder:

• ¿En qué consiste el control de acceso basado en roles?
• Investiguen y describan 2 sistemas, uno que aplique RBAC y uno que no. Realicen un análisis de las ventajas y desventajas de cada uno con respecto al control de acceso.

Recursos

• A Story of Authentication vs Authorisation. (El autor del artículo escribe en inglés británico, por ello el término authorisation con s en lugar de con z).
• Role Base Access Introduction Video
• Lectura: Consultas en SQL usando roles y Sub-consultas.
• RBAC NIST Standard.

Especificaciones de entrega

A través de Bitbucket o GitHub (Repositorio de Equipo).