在企業(yè)層面，基于角色的訪問(wèn)控制（Role-based Access Control，RBAC）是一種常用的服務(wù)，也是目前公認(rèn)的用戶授權(quán)管理最佳實(shí)踐。盡管RBAC實(shí)施最佳實(shí)踐仍處于未成熟階段，但是多數(shù)企業(yè)已經(jīng)以某種形式部署了這一技術(shù)�，F(xiàn)在，絕大多數(shù)已部署的RBAC服務(wù)都是基于商業(yè)化的現(xiàn)成產(chǎn)品，而只有少數(shù)內(nèi)部開(kāi)發(fā)的RBAC服務(wù)支持自定義功能。

與此同時(shí)，開(kāi)源RBAC產(chǎn)品方興未艾，并深受經(jīng)驗(yàn)豐富的身份管理人員的青睞。然而，當(dāng)企業(yè)希望在內(nèi)部擴(kuò)展RBAC服務(wù)時(shí)，問(wèn)題隨之而來(lái)：“商業(yè)化的 RBAC產(chǎn)品是擴(kuò)展RBAC服務(wù)的唯一選擇嗎？可以使用開(kāi)源RBAC產(chǎn)品擴(kuò)展RBAC服務(wù)嗎？”要回答這一問(wèn)題，企業(yè)必須清楚，開(kāi)源RBAC產(chǎn)品與現(xiàn)有應(yīng)用整合的難度如何，能否提供與商業(yè)化RBAC產(chǎn)品相同的安全性級(jí)別？

開(kāi)源RBAC產(chǎn)品的優(yōu)勢(shì)

需要指出的是，放眼當(dāng)今的商業(yè)RBAC市場(chǎng)，最暢銷(xiāo)的RBAC產(chǎn)品并不是出自最大的公司。這是因?yàn)镽BAC的潛在功能尚未完全實(shí)現(xiàn)，如果一個(gè)廠商可以更快地改進(jìn)RBAC產(chǎn)品的功能，則它就可以獲得超過(guò)其競(jìng)爭(zhēng)對(duì)手的優(yōu)勢(shì)。正是由于這一原因，在商業(yè)RBAC市場(chǎng)上，一些小公司（例如Aveksa、BHOLD Company和SailPoint Technologies）反而戰(zhàn)勝了作為其競(jìng)爭(zhēng)對(duì)手的大公司（例如CA、IBM和已被甲骨文收購(gòu)的Sun Microsystems等）。

這種“船小好調(diào)頭”的靈活性在開(kāi)源RBAC產(chǎn)品上也得到了很好的體現(xiàn)。與商業(yè)化的RBAC產(chǎn)品不同，RSBAC、USRBAC、django-rbac、grsecurity以及其他開(kāi)源RBAC產(chǎn)品，均是由獨(dú)立開(kāi)發(fā)人員在活躍的用戶社區(qū)的幫助下完成的。由于開(kāi)源RBAC產(chǎn)品的開(kāi)發(fā)人員不用考慮商業(yè)化廠商所需的開(kāi)銷(xiāo)，所以他們可以集中更多的精力來(lái)增強(qiáng)其產(chǎn)品的性能。另外，通常情況下，開(kāi)源RBAC產(chǎn)品的開(kāi)發(fā)人員在改進(jìn)和提高其產(chǎn)品性能時(shí)，產(chǎn)品的發(fā)布審查流程既正式又快速，從而可以更加迅速地將創(chuàng)新應(yīng)用到其產(chǎn)品中。還有一點(diǎn)需要指出的是，開(kāi)源RBAC產(chǎn)品的開(kāi)發(fā)人員之所以自己動(dòng)手開(kāi)發(fā)RBAC產(chǎn)品，往往是因?yàn)槭袌?chǎng)上的RBAC產(chǎn)品達(dá)不到其嚴(yán)格的功能和性能標(biāo)準(zhǔn)。在有些情況下（例如django-rbac），一些已經(jīng)開(kāi)始開(kāi)發(fā)自己的開(kāi)源RBAC產(chǎn)品的開(kāi)發(fā)人員會(huì)放棄自己的工作，轉(zhuǎn)而加入 django-rbac的開(kāi)發(fā)團(tuán)隊(duì)，以便為所有用戶提供更好的開(kāi)源RBAC產(chǎn)品。

開(kāi)源RBAC產(chǎn)品區(qū)別于商業(yè)化的RBAC產(chǎn)品的第二個(gè)不同之處是，它們通常專(zhuān)注于特定的問(wèn)題領(lǐng)域。舉例來(lái)說(shuō)，如果企業(yè)希望部署一種面向小規(guī)模的、專(zhuān)注于特定網(wǎng)絡(luò)領(lǐng)域（例如Active Directory（活動(dòng)目錄）、Unix或LDAP（輕量目錄訪問(wèn)協(xié)議））的RBAC授權(quán)管理機(jī)制，則對(duì)企業(yè)來(lái)說(shuō)，更便宜、更合適的選擇可能是開(kāi)源 RBAC產(chǎn)品，而不是旨在為大型企業(yè)提供RBAC服務(wù)且價(jià)格昂貴的商業(yè)RBAC產(chǎn)品。另外，由于開(kāi)源RBAC產(chǎn)品一般專(zhuān)注于單一的問(wèn)題領(lǐng)域，所以往往能夠提供更深入的功能，而且具有更多的配置選項(xiàng)，以增強(qiáng)部署的靈活性。

開(kāi)源RBAC產(chǎn)品區(qū)別于商業(yè)化的RBAC產(chǎn)品的第三個(gè)不同之處是，它們不關(guān)心市場(chǎng)占有率。開(kāi)源RBAC產(chǎn)品的代碼在全球范圍內(nèi)發(fā)布，并盡可能廣泛地進(jìn)行分發(fā)，因此產(chǎn)品中不包括意在鎖定客戶的專(zhuān)利功能。相反，開(kāi)源RBAC產(chǎn)品的開(kāi)發(fā)基于開(kāi)放、免費(fèi)的可用標(biāo)準(zhǔn)，例如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）的 RBAC標(biāo)準(zhǔn)。由于開(kāi)源RBAC產(chǎn)品完全基于開(kāi)放的標(biāo)準(zhǔn)，所以往往能夠與更多的其他身份管理產(chǎn)品及其支持的應(yīng)用進(jìn)行互操作。

本文主要介紹了開(kāi)源RBAC產(chǎn)品的優(yōu)勢(shì)，要了解開(kāi)源RBAC產(chǎn)品的不足，請(qǐng)查看下文：開(kāi)源RBAC產(chǎn)品的利與弊（下）。