Problemstilling
Autentisering av en brukere er ofte på plass og fungerer bra i store organisasjoner. Brukere er tilordnet til roller som gis tilgang til data og handlinger, s.k. rollebasert tilgangskontroll (RBAC). Autorisasjon, med bruk av roller, utføres i hver enkelt applikasjon eller tjeneste og er ofte en del av kodebasen til applikasjonene og tjenestene.
Det er vanskelig å få innsikt i en organisasjons sin totale autorisasjon og hva en brukere egentlig har tilgang til av data og hva en brukere kan utføre for handlinger. Det er en utfordring at ikke ha den helhetlige oversikten for å kunne se om det er noen data som ikke er godt nok eller riktig beskyttet. Med prinsippet "tjenstlig behov" så skal kun den dataen en bruker trenger være tilgjengelig.
Hypotese
Med Relationship-Based Access Control (ReBAC) kan autorisasjon gjøres uavhengig av applikasjonen og dekke et mer fingranulert behov enn hva som er mulig med RBAC. En sentralisert løsning kan også gi en totaloversikt over tilgangskontroll og hvordan disse påvirker en bruker uten at være nødt til å ha innsikt i kodebasen til alle applikasjoner. Dette er en tilgangskontroll modell som gir bedre oversikt, mer helhetlig samtidig som den er sikker og robust.
Fremgangsmåte
- Beskrive problemstillingen og utfordringer for store organisasjoner med tilgangskontroll.
- Forklare teori om tilgangskontroll og forskjellige modeller som RBAC, ABAC, ReBAC.
- Lage en modell for en organisasjon som baseres på Googles paper: Zanzibar: Google’s Consistent, Global Authorization System (research.google)
- Lage en implementasjon av tilgangskontroll for noen applikasjoner/tjenester. Baseres på OpenFGA
- Evaluere resultat opp mot problemstillingen.