在企業(yè)層面，基于角色的訪問控制（Role-based Access Control，RBAC）是一種常用的服務，也是目前公認的用戶授權管理最佳實踐。盡管RBAC實施最佳實踐仍處于未成熟階段，但是多數企業(yè)已經以某種形式部署了這一技術。現在，絕大多數已部署的RBAC服務都是基于商業(yè)化的現成產品，而只有少數內部開發(fā)的RBAC服務支持自定義功能。

與此同時，開源RBAC產品方興未艾，并深受經驗豐富的身份管理人員的青睞。然而，當企業(yè)希望在內部擴展RBAC服務時，問題隨之而來：“商業(yè)化的 RBAC產品是擴展RBAC服務的唯一選擇嗎？可以使用開源RBAC產品擴展RBAC服務嗎？”要回答這一問題，企業(yè)必須清楚，開源RBAC產品與現有應用整合的難度如何，能否提供與商業(yè)化RBAC產品相同的安全性級別？

開源RBAC產品的優(yōu)勢

需要指出的是，放眼當今的商業(yè)RBAC市場，最暢銷的RBAC產品并不是出自最大的公司。這是因為RBAC的潛在功能尚未完全實現，如果一個廠商可以更快地改進RBAC產品的功能，則它就可以獲得超過其競爭對手的優(yōu)勢。正是由于這一原因，在商業(yè)RBAC市場上，一些小公司（例如Aveksa、BHOLD Company和SailPoint Technologies）反而戰(zhàn)勝了作為其競爭對手的大公司（例如CA、IBM和已被甲骨文收購的Sun Microsystems等）。

這種“船小好調頭”的靈活性在開源RBAC產品上也得到了很好的體現。與商業(yè)化的RBAC產品不同，RSBAC、USRBAC、django-rbac、grsecurity以及其他開源RBAC產品，均是由獨立開發(fā)人員在活躍的用戶社區(qū)的幫助下完成的。由于開源RBAC產品的開發(fā)人員不用考慮商業(yè)化廠商所需的開銷，所以他們可以集中更多的精力來增強其產品的性能。另外，通常情況下，開源RBAC產品的開發(fā)人員在改進和提高其產品性能時，產品的發(fā)布審查流程既正式又快速，從而可以更加迅速地將創(chuàng)新應用到其產品中。還有一點需要指出的是，開源RBAC產品的開發(fā)人員之所以自己動手開發(fā)RBAC產品，往往是因為市場上的RBAC產品達不到其嚴格的功能和性能標準。在有些情況下（例如django-rbac），一些已經開始開發(fā)自己的開源RBAC產品的開發(fā)人員會放棄自己的工作，轉而加入 django-rbac的開發(fā)團隊，以便為所有用戶提供更好的開源RBAC產品。

開源RBAC產品區(qū)別于商業(yè)化的RBAC產品的第二個不同之處是，它們通常專注于特定的問題領域。舉例來說，如果企業(yè)希望部署一種面向小規(guī)模的、專注于特定網絡領域（例如Active Directory（活動目錄）、Unix或LDAP（輕量目錄訪問協議））的RBAC授權管理機制，則對企業(yè)來說，更便宜、更合適的選擇可能是開源 RBAC產品，而不是旨在為大型企業(yè)提供RBAC服務且價格昂貴的商業(yè)RBAC產品。另外，由于開源RBAC產品一般專注于單一的問題領域，所以往往能夠提供更深入的功能，而且具有更多的配置選項，以增強部署的靈活性。

開源RBAC產品區(qū)別于商業(yè)化的RBAC產品的第三個不同之處是，它們不關心市場占有率。開源RBAC產品的代碼在全球范圍內發(fā)布，并盡可能廣泛地進行分發(fā)，因此產品中不包括意在鎖定客戶的專利功能。相反，開源RBAC產品的開發(fā)基于開放、免費的可用標準，例如美國國家標準與技術研究所（NIST）的 RBAC標準。由于開源RBAC產品完全基于開放的標準，所以往往能夠與更多的其他身份管理產品及其支持的應用進行互操作。

本文主要介紹了開源RBAC產品的優(yōu)勢，要了解開源RBAC產品的不足，請查看下文：開源RBAC產品的利與弊（下）。