Google คือเพื่อนของคุณ :)
อย่างไรก็ตามการแบ่งระหว่างบทบาทและกลุ่มมาจากแนวคิดเกี่ยวกับความปลอดภัยของคอมพิวเตอร์ (ตรงข้ามกับการจัดการทรัพยากรเพียงอย่างเดียว) ศ. ราวีแซนด์ฮูให้เนื้อหาเกี่ยวกับความแตกต่างทางความหมายระหว่างบทบาทและกลุ่มต่างๆ
http://profsandhu.com/workshop/role-group.pdf
กลุ่มคือกลุ่มของผู้ใช้ที่มีชุดของสิทธิ์ที่กำหนดให้กับกลุ่ม (และส่งผ่านไปยังผู้ใช้) บทบาทคือชุดของสิทธิ์และผู้ใช้จะสืบทอดสิทธิ์เหล่านั้นได้อย่างมีประสิทธิภาพเมื่อเขาดำเนินการภายใต้บทบาทนั้น
โดยปกติการเป็นสมาชิกกลุ่มของคุณจะยังคงอยู่ในช่วงระยะเวลาของการเข้าสู่ระบบของคุณ ในทางกลับกันบทบาทสามารถเปิดใช้งานได้ตามเงื่อนไขเฉพาะ หากหน้าที่ปัจจุบันของคุณคือ "บุคลากรทางการแพทย์" คุณอาจสามารถดูเวชระเบียนของผู้ป่วยรายหนึ่งได้ อย่างไรก็ตามหากบทบาทของคุณคือ 'แพทย์' เช่นกันคุณอาจสามารถดูข้อมูลทางการแพทย์เพิ่มเติมนอกเหนือจากที่บุคคลที่มีบทบาทเพียงแค่ 'เจ้าหน้าที่ทางการแพทย์' สามารถมองเห็นได้
สามารถเปิดใช้งานบทบาทได้ตามช่วงเวลาของวันสถานที่เข้าถึง นอกจากนี้ยังสามารถเพิ่มบทบาท / เชื่อมโยงกับแอตทริบิวต์ คุณอาจดำเนินการในฐานะ "แพทย์" แต่ถ้าคุณไม่มีคุณลักษณะหรือความสัมพันธ์ "แพทย์หลัก" กับฉัน (ผู้ใช้ที่มีบทบาท "ผู้ป่วย") คุณจะไม่เห็นประวัติทางการแพทย์ทั้งหมดของฉัน
คุณสามารถทำทุกอย่างกับกลุ่มได้ แต่อีกครั้งกลุ่มมักจะมุ่งเน้นไปที่ตัวตนไม่ใช่บทบาทหรือกิจกรรม และประเภทของแง่มุมด้านความปลอดภัยที่อธิบายไว้มักจะสอดคล้องกับความปลอดภัยมากกว่าในอดีต
สำหรับหลาย ๆ กรณีสำหรับการใช้การจัดประเภทสิ่งต่าง ๆ เข้าด้วยกัน (และไม่มีอะไรเพิ่มเติม) กลุ่มและบทบาทจะทำงานเหมือนกัน อย่างไรก็ตามกลุ่มจะขึ้นอยู่กับเอกลักษณ์ในขณะที่บทบาทมีไว้เพื่อแบ่งเขตกิจกรรม น่าเสียดายที่ระบบปฏิบัติการมักจะเบลอความแตกต่างโดยปฏิบัติตามบทบาทเป็นกลุ่ม
คุณจะเห็นความแตกต่างที่ชัดเจนมากขึ้นกับแอปพลิเคชันหรือบทบาทระดับระบบซึ่งถือแอปพลิเคชันหรือความหมายเฉพาะระบบ (เช่นในบทบาทของ Oracle ) ซึ่งตรงข้ามกับ 'บทบาท' ที่ใช้งานในระดับระบบปฏิบัติการ (ซึ่งโดยทั่วไปจะมีความหมายเหมือนกันกับกลุ่ม)
อาจมีข้อ จำกัด สำหรับบทบาทและรูปแบบการควบคุมการเข้าถึงตามบทบาท (เช่นเดียวกับทุกอย่าง):
http://www.lhotka.net/weblog/CommentView,guid,9efcafc7-68a2-4f8f-bc64-66174453adfd.aspx
ประมาณทศวรรษที่แล้วฉันได้เห็นงานวิจัยเกี่ยวกับการควบคุมการเข้าถึงตามแอตทริบิวต์และตามความสัมพันธ์ซึ่งให้รายละเอียดที่ดีกว่าการควบคุมการเข้าถึงตามบทบาท น่าเสียดายที่ฉันไม่ได้เห็นกิจกรรมมากมายในดินแดนนั้นมาหลายปีแล้ว
ความแตกต่างที่สำคัญที่สุดระหว่างบทบาทและกลุ่มคือโดยทั่วไปแล้วบทบาทจะใช้กลไกบังคับการเข้าถึง (MAC) คุณไม่ต้องมอบหมายบทบาทให้ตัวเอง (หรือคนอื่น ๆ ) ผู้ดูแลบทบาทหรือวิศวกรบทบาททำเช่นนั้น
สิ่งนี้คล้ายกับกลุ่ม UNIX อย่างผิวเผินที่ผู้ใช้สามารถ / อาจสามารถกำหนดตัวเองให้กับกลุ่มได้ (ผ่าน sudo แน่นอน) เมื่อกลุ่มถูกกำหนดตามกระบวนการวิศวกรรมความปลอดภัยความแตกต่างจะพร่าเลือนเล็กน้อย
ลักษณะสำคัญอีกประการหนึ่งคือแบบจำลอง RBAC ที่แท้จริงสามารถให้แนวคิดของบทบาทที่ไม่เหมือนกัน ในทางตรงกันข้ามกลุ่มตามเอกลักษณ์เป็นส่วนเสริม - เอกลักษณ์ของหลักคือผลรวม (หรือการรวม) ของกลุ่ม
ลักษณะเฉพาะอีกประการหนึ่งของรูปแบบการรักษาความปลอดภัยที่ใช้ true-RBAC คือองค์ประกอบที่สร้างขึ้นสำหรับบทบาทเฉพาะโดยทั่วไปไม่สามารถเข้าถึงได้โดยบุคคลที่ไม่ได้ทำหน้าที่ภายใต้บทบาทนั้น
ในทางกลับกันภายใต้โมเดลการควบคุมการเข้าถึง (DAC) ตามดุลยพินิจ (โมเดลเริ่มต้นใน Unix) คุณไม่สามารถรับการรับประกันประเภทนั้นด้วยกลุ่มเพียงอย่างเดียว BTW นี่ไม่ใช่ข้อ จำกัด ของกลุ่มหรือ Unix แต่เป็นข้อ จำกัด ของโมเดล DAC ตามเอกลักษณ์ (และสกรรมกริยากับกลุ่มตามเอกลักษณ์)
หวังว่าจะช่วยได้
=======================
เพิ่มอีกบางส่วนหลังจากเห็นการตอบสนองที่ดีของ Simon บทบาทช่วยคุณจัดการสิทธิ์ กลุ่มช่วยคุณจัดการวัตถุและหัวเรื่อง ยิ่งไปกว่านั้นเราอาจคิดว่าบทบาทเป็น 'บริบท' บทบาท 'X' สามารถอธิบายบริบทความปลอดภัยที่กำหนดวิธีการเข้าถึงวัตถุ Y (หรือไม่เข้าถึง) วัตถุ Z
ความแตกต่างที่สำคัญอีกประการหนึ่ง (หรือในอุดมคติ) คือมีบทบาทวิศวกรบุคคลที่วิศวกรกำหนดบทบาทบริบทที่จำเป็นและ / หรือเห็นได้ชัดในแอปพลิเคชันระบบหรือระบบปฏิบัติการ โดยทั่วไปแล้ว Role Engineer จะเป็น (แต่ไม่จำเป็นต้องเป็น) เช่นเดียวกับผู้ดูแลระบบ (หรือ sysadmin) ยิ่งไปกว่านั้นบทบาทที่แท้จริง (ไม่ได้ตั้งใจจะเล่นสำนวน) ของวิศวกรที่มีบทบาทอยู่ในขอบเขตของวิศวกรรมความปลอดภัยไม่ใช่การบริหาร
นี่คือกลุ่มนวนิยายที่เป็นทางการโดย RBAC (แม้ว่าจะไม่ค่อยมีใครใช้) ซึ่งโดยทั่วไปแล้วจะไม่ปรากฏในระบบที่รองรับกลุ่มได้