Như đã đề cập trong mục 1.2.4.1, ta cần mở rộng RBAC theo ngữ cảnh, hay nói cách khác quyết định chấp nhận hay từ chối không chỉ dựa vào vai trò của người dùng mà còn kết hợp với các thông tin khác của người dùng. Vì thế, chúng tôi đề xuất kết hợp giữa RBAC với điều khiển truy cập theo luật.
Chúng tôi đề xuất đặc tảmở rộng điều khiển truy cập RBAC với luật như sau:
<?xmlversion="1.0"encoding="utf-8" ?> <AccessControl>
<Rules>
<RuleId="r1"Description="Date of birth is greater than 1/1/1980"> <ConditionsOperator="GreaterThan">
<Parameter>
<ClaimItemClaimType="DateOfBirth"DataType="DateTime" /> </Parameter>
<ParameterType="DateTime">
<ConstantValue="1/1/1980"DataType="DateTime" /> </Parameter>
</Conditions>
<Action>Allow</Action> </Rule>
<RuleId="r2"Description="Accept who is came from VN and DoB>1/1/1980"> <ConditionsOperator="And">
26
<Parameter>
<ConditionsOperator="Equal"> <Parameter>
<ClaimItemClaimType="Country" /> </Parameter>
<Parameter>
<ConstantValue="VietNam" /> </Parameter>
</Conditions> </Parameter> <Parameter>
<ConditionsOperator="GreaterThan"> <Parameter>
<ClaimItemClaimType="DateOfBirth"DataType="DateTime" /> </Parameter>
<Parameter>
<ConstantValue="1/1/1980"DataType="DateTime" /> </Parameter>
</Conditions> </Parameter> </Conditions>
<Action>Allow</Action> </Rule>
<RuleId="r3"Description="Does not allow who is in 'HaNoi (StateOrProvince)"> <ConditionsOperator="Equal">
<Parameter>
<ClaimItemClaimType="StateOrProvince" /> </Parameter>
<Parameter>
<ConstantValue="HaNoi" /> </Parameter>
</Conditions>
<Action>Deny</Action> </Rule>
</Rules> <Resources>
<ResourceName="File"> <OperationName="View"> <RoleName="Admin"></Role>
<RoleName="Guest, HR"></></Role> </Operation>
<OperationName="Update">
<RoleName="Admin"RuleId="r1"></Role> <RoleName="HR"RuleId="r2, r3"></Role> </Operation>
</Resource>
<ResourceName="Printer"> <OperationName="Print">
<RoleName="HR"RuleId="r3"></Role> </Operation>
</Resource> </Resources>
27
</AccessControl>
Điểm khác biệt giữa đặc tả này với đặc tả trong mục 2.1và 2.2 là thẻ Role của Operation bao gồm hai thuộc tính Name và RuleId cho biết vai trò nào, luật nào cần được kiểm tra khi thực hiện phép toán trên tài nguyên.
Đặc tả này cho phép ta định nghĩa các tài nguyên cần bảo vệ, các thao tác trên tài nguyên, các vai trò và các luậtgắn với mỗi vai trò. Với cách tiếp cận này quyết định chấp nhận hay từ chối dựa vào cả vai trò lẫn các luật. Hay nói cách khác ngoài thông tin về vai trò của người dùng, ta còn dựa vào thông tin ngữ cảnh khác của người dùng.