Tiếp cận dựa trên vai có một số u điểm. Trớc hết, các chính sách dựa trên vai có u điểm là tính độc lập logic trong việc đặc tả các cấp quyền của ngời dùng bằng cách chia nhiệm vụ này thành hai phần: một phần gán ngời dùng vào vai và phần kia gán cho vaiquyền truy nhập tới các đối tợng. Điều này làm cho việc quản trị an toàn đơn giản hơn rất nhiều, ví dụ: một ngời dùng thay đổi trách nhiệm do thăng chức. Trong mô hình RBAC, các vai hiện tại của ngời dùng này có thể đợc lấy đi và các vai mới đợc gán để phù hợp với các trách nhiệm mới. ở các mô hình kiểm soát truy nhập khác, nếu tất cả các cấp quyền là trực tiếp giữa ngời dùng và các đối tợng, cần rút bỏ các quyền truy nhập của ngời dùng và gán cho họ các quyền truy nhập mới. Đây là một nhiệm vụ nặng nề và tiêu tốn thời gian.
• Các vai phân cấp: Trong nhiều ứng dụng, có một sự phân cấp vai tự nhiên
dựa trên cơ sở các nguyên lý quen thuộc về việc sản sinh và đặc tả. Một ngời dùng đợc gán vào một vai cấp trên thì sẽ kế thừa các đặc quyền và sự cấp phép đợc gán cho các vai cấp dới của nó. Việc phân cấp vai làm cho quản trị cấp quyền đơn giản đi rất nhiều.
• Đặc quyền tối thiểu: Các vai cho phép một ngời dùng ký xác nhận với đặc quyền tối thiểu đợc yêu cầu cho một nhiệm vụ cụ thể tại một thời điểm. Ngời dùng đợc cấp quyền các vai mạnh không cần thực hiện chúng cho đến khi các đặc quyền thực sự cần đến. Điều này giảm thiểu mối nguy cơ gây ra do các lỗi vô tình hoặc do những kẻ xâm nhập giả mạo nh những ngời dùng hợp lệ.
• Sự phân ly trách nhiệm Sự phân ly trách nhiệm dựa trên nguyên tắc không : nên cho ngời dùng đầy đủ đặc quyền để lạm dụng hệ thống mà họ đợc sở hữu. Chẳng hạn, ngời cho phép thanh toán tiền séc thì cũng không nên là ngời có thể chuẩn bị chúng. Việc phân ly trách nhiệm có thể đợc thực thi hoặc theo cách tĩnh bằng việc xác định các vai mâu thuẫn- (conflicting
roles), tức là các vai không thể do cùng một ngời dùng thực hiện, hoặc theo cách động bằng việc thực thi kiểm soát tại thời điểm truy nhập. Một ví dụ - về việc phân ly trách nhiệm động là luật hai ng ời- . Ngời dùng thứ nhất thực hiện hoạt động hai ng ời- có thể là một ngời dùng đợc cấp quyền nào đó, trong khi ngời dùng thứ hai có thể là một ngời dùng đợc cấp quyền khác với ngời dùng thứ nhất.
• Các lớp đối tợng: Các chính sách dựa trên vai thực thiphân lớp ngời dùng căn cứ theo các hoạt động mà họ thực hiện. Tơng tự, sự phân lớp sẽ đợc thực thi cho các đối tợng. Chẳng hạn, khách hàng nói chung cần có sự truy nhập vào tài khoản ngân hàng, và ngời th ký sẽ truy nhập vào th tín và bộ ghi nhớ hoặc một tập con nào đó của chúng. Các đối tợng có thể đợc phân lớp căn cứ theo kiểu của chúng nh là: th đánh máy, th viết tay hoặc theo lĩnh vực ứng dụng của chúng nh là: th thơng mại, th quảng cáo. Thế thì sự cấp quyền truy nhập của các vai sẽ dựa trên cơ sở các lớp đối tợng, chứ không phải các đối tợng cụ thể. Chẳng hạn, vai th ký có thể đợc cấp quyền đọc và ghi toàn bộ lớp th, thay vì đợc cấp quyền về từng th cụ thể. Cách tiếp cận này có u điểm làm cho quản trị cấp quyền đợc kiểm soát dễ dàng và tốt hơn rất nhiều. Hơn thế nữa, các truy nhập đợc cấp quyền trên từng đối tợng đợc xác định tự động căn cứ theo kiểu của đối tợng mà không cần các cấp quyền đặc tả mỗi lần tạo ra đối tợng.
Kiểm soát truy nhập dựa trên vai có một miền lớn các chính sách quản trị. Trong trờng hợp này, các vai cũng có thể đợc sử dụng để quản lý và kiểm soát các cơ chế quản trị [38]. Trong các tổ chức lớn với nhiều đơn vị chức năng, có nhiều miền quản trị với những yêu cầu cấp quyền đa dạng, các chính sách kiểm soát truy nhập dựa trên vai biểu diễn các yêu cầu này nh là các ràng buộc cấp quyền. Đòi hỏi bắt buộc đó là các ràng buộc này không bị đụng độ trong toàn bộ chính sách ở môi trờng đa miền của tổ chức Khi đó. , vấn đề quản trị không chỉ bao gồm quản trị cấp quyền cho ngời dùng và các tài nguyên bên trong một miề , mà còn phải n giải quyết đụng độ giữa các chính sách kiểm soát truy nhập không thuần nhất của nhiều miền cho phép tơng tác an toàn bên trong , tổ chức này [5] Dựa trên mô hình .
RBAC, ngời ta phát triển đợc nhiều mô hình quản trị hiệu quả các phép gán ngời dùng vào vai nh mô hình URA97, các phép gán giấy phép cho vai nh mô hình PRA97 và thực thi chúng trong môi trờng ứng dụng thực tế [35], [37] [38], , [39]. Dựa trên RBAC có thể xây dựng các hệ thống quản trị cấ, p quyền mềm dẻo, trong đó ngời dùng có thể uỷ quyền toàn bộ giấy phép hay chỉ một phần giấy phép trong vai mà họ đợc gán cho ngời dùng khác một cách linh hoạt [45].