Digital Transformation
RBAC (Role-Based Access Control)
TL;DR: RBAC (Role-Based Access Control) adalah model kontrol akses yang mengelompokkan izin ke dalam peran (admin, editor, viewer, dsb) lalu memberikan peran tersebut ke pengguna. Tujuannya satu, memastikan setiap orang hanya bisa mengakses sumber daya sesuai tanggung jawabnya.
Apa itu RBAC?
RBAC bekerja dengan tiga komponen utama, pengguna, peran, dan izin. Pengguna ditugaskan ke satu atau beberapa peran, dan setiap peran membawa kumpulan izin spesifik. Pendekatan ini lebih scalable dibanding memberi izin langsung per pengguna, terutama saat tim tumbuh dari 5 menjadi 50 orang. RBAC pertama kali diformalkan oleh NIST pada tahun 1992 dan menjadi standar industri sejak.
Dalam praktik web modern, RBAC sering digabung dengan JWT untuk membawa klaim peran di setiap request, atau dengan OAuth sebagai lapisan delegasi akses.
Komponen RBAC
| Komponen | Penjelasan |
|---|---|
| User | Identitas yang login, manusia atau servis |
| Role | Kumpulan izin (admin, editor, viewer) |
| Permission | Operasi spesifik (read, write, delete) |
| Resource | Objek yang dilindungi (artikel, user, file) |
| Assignment | Pemetaan user ke role |
Kenapa Penting?
Untuk bisnis Indonesia yang mulai punya tim multi-peran (admin keuangan, editor konten, sales), RBAC mencegah skenario klasik, satu akun dipakai banyak orang dengan akses penuh. RBAC juga jadi syarat audit untuk sertifikasi keamanan dan kepatuhan PDP UU. Dalam beberapa proyek admin internal yang saya kerjakan, penerapan RBAC dari awal memotong waktu onboarding karyawan baru karena hak akses sudah ter-template per peran.
Pertanyaan Umum
Apa beda RBAC dengan ABAC?
RBAC memberi izin berbasis peran statis. ABAC (Attribute-Based Access Control) memberi izin berbasis atribut dinamis seperti waktu, lokasi, atau status dokumen. RBAC lebih sederhana, ABAC lebih fleksibel.
Apakah RBAC menggantikan zero trust?
Tidak. RBAC adalah mekanisme otorisasi, zero trust adalah filosofi keamanan menyeluruh. Keduanya saling melengkapi.
Istilah Terkait