#198 RBAC & Co: Wer darf was? Klingt banal, ist aber verdammt wichtig!

Wer darf eigentlich was? Und sollten wir alle wirklich alles dürfen?

Jedes Tech-Projekt beginnt mit einer simplen Frage: Wer darf eigentlich was? Doch spätestens wenn das Startup wächst, Kunden Compliance fordern oder der erste Praktikant an die Produktionsdatenbank rührt, wird Role Based Access Control (RBAC) plötzlich zur Überlebensfrage – und wer das Thema unterschätzt, hat schnell die Rechtehölle am Hals.

In dieser Folge nehmen wir das altbekannte Konzept der rollenbasierten Zugriffskontrolle auseinander. wir klären, welches Problem RBAC eigentlich ganz konkret löst, warum sich hinter den harmlosen Checkboxen viel technische Tiefe und organisatorisches Drama verbirgt und weshalb RBAC nicht gleich RBAC ist.

Dabei liefern wir dir Praxis-Insights: Wie setzen Grafana, Sentry, Elasticsearch, OpenSearch oder Tracing-Tools wie Jäger dieses Rechtekonzept um? Wo liegen die Fallstricke in komplexen, mehrmandantenfähigen Systemen?

Ob du endlich verstehen willst, warum RBAC, ABAC (Attribute-Based), ReBAC (Relationship-Based) und Policy Engines mehr als nur Buzzwords sind oder wissen möchtest, wie du Policies, Edge Cases und Constraints in den Griff bekommst, darum geht es in diesem Deep Dives.

Auch mit dabei: Open Source-Highlights wie Casbin, SpiceDB, OpenFGA und OPA und echte Projekt- und Startup-Tipps für pragmatischen Start und spätere Skalierung.

Bonus: Ein Märchen mit Kevin und Max, wo auch manchmal der Praktikant trotzdem gegen den Admin gewinnt 😉

Unsere aktuellen Werbepartner findest du auf https://engineeringkiosk.dev/partners

Das schnelle Feedback zur Episode:

👍 (top) 👎 (geht so)

Anregungen, Gedanken, Themen und Wünsche

Dein Feedback zählt! Erreiche uns über einen der folgenden Kanäle …

• EngKiosk Community: https://engineeringkiosk.dev/join-discord 
• LinkedIn: https://www.linkedin.com/company/engineering-kiosk/
• Email: [email protected]
• Mastodon: https://podcasts.social/@engkiosk
• Bluesky: https://bsky.app/profile/engineeringkiosk.bsky.social
• Instagram: https://www.instagram.com/engineeringkiosk/

Unterstütze den Engineering Kiosk

Wenn du uns etwas Gutes tun möchtest … Kaffee schmeckt uns immer 

• Buy us a coffee: https://engineeringkiosk.dev/kaffee

Links

• Engineering Kiosk Episode #101 Observability und OpenTelemetry mit Severin Neumann: https://engineeringkiosk.dev/podcast/episode/101-observability-und-opentelemetry-mit-severin-neumann/
• Grafana - Label Based Access Control (LBAC) for data sources: https://grafana.com/docs/grafana/latest/administration/data-source-management/teamlbac/
• ElasticSearch - Document-Level Attribute-Based Access Control: https://www.elastic.co/blog/attribute-based-access-control-elasticsearch
• ElasticSearch - Controlling access at the document and field level: https://www.elastic.co/docs/deploy-manage/users-roles/cluster-or-deployment-auth/controlling-access-at-document-field-level
• Jaeger - Passthrough OAuth bearer token supplied to Query service through to ES storage: https://github.com/jaegertracing/jaeger/pull/1599
• Casbin - Authorization library that supports access control models like ACL, RBAC, ABAC: https://casbin.org/
• CASL - Isomorphic Authorization JavaScript library: https://casl.js.org/
• Spring Security: https://spring.io/projects/spring-security
• Apache Shiro - Easy-to-use Java security framework: https://shiro.apache.org/
• Keycloak - Open Source Identity and Access Management: https://www.keycloak.org/
• SpiceDB - Open Source, Google Zanzibar-inspired database for scalably storing and querying fine-grained authorization data: https://github.com/authzed/spicedb
• OpenFGA - Auth0’s Open Source Fine Grained Authorization System: https://auth0.com/blog/auth0s-openfga-open-source-fine-grained-authorization-system/
• Keto permission server: https://github.com/ory/keto
• Paper “Zanzibar: Google’s Consistent, Global Authorization System”: https://research.google/pubs/zanzibar-googles-consistent-global-authorization-system/
• CNCF - Open Policy Agent (OPA): https://www.cncf.io/projects/open-policy-agent-opa/
• Kyverno - Policy as Code, Simplified: https://kyverno.io/

Sprungmarken

(00:00:00) Einstieg & Das Märchen von RBAC

(00:03:30) Info/Werbung

(00:04:30) Einstieg & Das Märchen von RBAC

(00:10:45) Welches Problem löst RBAC eigentlich und wer braucht es?

(00:25:47) RBAC in der Praxis: Sentry, Grafana, Elasticsearch, OpenSearch & Jäger

(00:36:39) Implementierungsoptionen: Open Source Libraries, externe Systeme & Google Zanzibar

(00:45:23) Attribute Based, Relationship Based Access Control, Gruppen, Access Control Lists und Policy Engines

(01:00:04) Ab wann würdest du ein RBAC-System einführen?

Hosts

• Wolfgang Gassler (https://gassler.dev) 
• Andy Grunwald (https://andygrunwald.com/)