RBAC là một công nghệ mở và rất phong phú, có phạm vi từ rất đơn giản đến phức tạp, tinh vi. RBAC là một phương pháp quan trọng cho việc quản lý định danh người dùng và đang được chấp nhận rộng rãi. RBAC có những ưu điểm dưới đây.
Khả năng thay đổi chính sách để đáp ứng nhu cầu thay đổi của một tổ chức là một lợi ích quan trọng của RBAC. Khi các vai trò trong một tổ chức thường
xuyên có sự thay đổi nhân sự và phải phân công lại công việc, RBAC cung cấp
một cơ chế mạnh mẽ để giảm độ phức tạp, chi phí, và giảm các lỗi tiềm tàng trong việc phân công cho người dùng các quyền hạn trong tổ chức. Điều này
được minh họa trong hình 2.8. Độ phức tạp của việc quản trị hệ thống được
giảm thông qua việc phân công người dùng vào vai trò, giao quyền hạn cho các
vai trò và tổ chức các vai trò theo mô hình phân cấp.
RBAC hỗ trợ sự phân cấp vai trò (Role Hierarchies) với mối quan hệ cha - con, theo đó tất cả quyền hạn của vai trò cha được kế thừa bởi vai trò con. Điều này ngăn cản sự bùng nổ vai trò và tăng khả năng sử dụng lại trong mô hình RBAC.
Sơ đồ vai trò có tính tự nhiên đối với nghiệp vụ và cơ cấu tổ chức của một
xí nghiệp. Điều này làm cho việc định nghĩa các chính sách an ninh và thực thi
chúng dễ dàng hơn các cơ chế kiểm soát trực tiếp.
Chính sách được thực thi trong một hệ thống cụ thể là kết quả việc cấu hình chính xác của các thành phần RBAC khác nhau theo sự quản lý của chủ sở hữu hệ thống. Các thành phần RBAC có thể được cấu hình trực tiếp bởi chủ sở hữu hệ thống hoặc gián tiếp bởi vai trò thích hợp được ủy quyền bởi chủ sở hữu hệ thống. Chính sách điều khiển truy cập được thể hiện trong nhiều thành phần của RBAC như các mối quan hệ vai trò – quyền hạn, mối quan hệ người dùng – vai trò, mối quan hệ vai trò – vai trò. Các thành phần RBAC cùng quyết định liệu một người dùng cụ thể có được phép truy cập vào một phần cụ thể trong hệ thống hay không.
RBAC là chính sách trung lập, cho phép nó hỗ trợ các chính sách an ninh khác nhau. RBAC hỗ trợ trực tiếp ba nguyên tắc an ninh: quyền tối thiểu (Least Privilege), phân chia trách nhiệm (Separation of Duties), và sự trừu tượng dữ
liệu (Data Abstraction). Quyền tối thiểu được hỗ trợ vì RBAC có thể được cấu hình để chỉ những quyền hạn cần thiết cho công việc được thực hiện bởi các thành viên của vai trò thì mới được giao cho vai trò. Phân chia trách nhiệm được thực hiện bằng cách đảm bảo rằng các vai trò xung đột phải được thu hồi để hoàn thành một công việc có tính nhạy cảm. Sự trừu tượng dữ liệu được hỗ trợ bởi các phương tiện của các quyền hạn trừu tượng như là ghi có và ghi nợ một tài khoản chứ không chỉ là quyền đọc hay viết dữ liệu được cung cấp bởi các hệ quản trị. Mức độ trừu tượng dữ liệu sẽ được xác định bởi những chi tiết thực hiện.
RBAC cung cấp khả năng hành chính cấp cao liên quan đến nội dung của
vai trò hoặc cập nhật quyền cho người sử dụng. Thay vì phân công lại quyền cho
một số lượng lớn người sử dụng, việc cập nhật nội dung của vai trò tiết kiệm
thời gian và nguồn lực hơn.
Các vai trò thu hẹp khoảng cách truyền thông giữa nghiệp vụ và công nghệ
thông tin liên quan đến các định nghĩa truy cập phức tạp.
RBAC cho phép đánh giá việc truy cập thông qua vai trò hiệu quả hơn các đánh giá thực tế, đặc biệt giá trị cho các đội kiểm toán trong một tổ chức.
Trên đây là một số lợi ích của việc thực hiện điều khiển truy cập dựa vai
trò. Rõ ràng, việc áp dụng RBAC có giá trị về mặt thời gian và tính hiệu quả.