#198 RBAC & Co: Wer darf was? Klingt banal, ist aber verdammt wichtig!

Wer darf eigentlich was? Und sollten wir alle wirklich alles
dürfen?


Jedes Tech-Projekt beginnt mit einer simplen Frage: Wer darf
eigentlich was? Doch spätestens wenn das Startup wächst, Kunden
Compliance fordern oder der erste Praktikant an die
Produktionsdatenbank rührt, wird Role Based Access Control (RBAC)
plötzlich zur Überlebensfrage – und wer das Thema unterschätzt,
hat schnell die Rechtehölle am Hals.


In dieser Folge nehmen wir das altbekannte Konzept der
rollenbasierten Zugriffskontrolle auseinander. wir klären,
welches Problem RBAC eigentlich ganz konkret löst, warum sich
hinter den harmlosen Checkboxen viel technische Tiefe und
organisatorisches Drama verbirgt und weshalb RBAC nicht gleich
RBAC ist.


Dabei liefern wir dir Praxis-Insights: Wie setzen Grafana,
Sentry, Elasticsearch, OpenSearch oder Tracing-Tools wie Jäger
dieses Rechtekonzept um? Wo liegen die Fallstricke in komplexen,
mehrmandantenfähigen Systemen?


Ob du endlich verstehen willst, warum RBAC, ABAC
(Attribute-Based), ReBAC (Relationship-Based) und Policy Engines
mehr als nur Buzzwords sind oder wissen möchtest, wie du
Policies, Edge Cases und Constraints in den Griff bekommst, darum
geht es in diesem Deep Dives.


Auch mit dabei: Open Source-Highlights wie Casbin, SpiceDB,
OpenFGA und OPA und echte Projekt- und Startup-Tipps für
pragmatischen Start und spätere Skalierung.


Bonus: Ein Märchen mit Kevin und Max, wo auch manchmal der
Praktikant trotzdem gegen den Admin gewinnt





Unsere aktuellen Werbepartner findest du auf
https://engineeringkiosk.dev/partners





Das schnelle Feedback zur Episode:


(top)  (geht
so)



Anregungen, Gedanken, Themen und Wünsche

Dein Feedback zählt! Erreiche uns über einen der folgenden Kanäle
…


EngKiosk Community:
https://engineeringkiosk.dev/join-discord 

LinkedIn: https://www.linkedin.com/company/engineering-kiosk/

Email: stehtisch@engineeringkiosk.dev

Mastodon: https://podcasts.social/@engkiosk

Bluesky:
https://bsky.app/profile/engineeringkiosk.bsky.social

Instagram: https://www.instagram.com/engineeringkiosk/




Unterstütze den Engineering Kiosk

Wenn du uns etwas Gutes tun möchtest … Kaffee schmeckt uns
immer 


Buy us a coffee: https://engineeringkiosk.dev/kaffee




Links

Engineering Kiosk Episode #101 Observability und
OpenTelemetry mit Severin Neumann:
https://engineeringkiosk.dev/podcast/episode/101-observability-und-opentelemetry-mit-severin-neumann/

Grafana - Label Based Access Control (LBAC) for data sources:
https://grafana.com/docs/grafana/latest/administration/data-source-management/teamlbac/

ElasticSearch - Document-Level Attribute-Based Access
Control:
https://www.elastic.co/blog/attribute-based-access-control-elasticsearch

ElasticSearch - Controlling access at the document and field
level:
https://www.elastic.co/docs/deploy-manage/users-roles/cluster-or-deployment-auth/controlling-access-at-document-field-level

Jaeger - Passthrough OAuth bearer token supplied to Query
service through to ES storage:
https://github.com/jaegertracing/jaeger/pull/1599

Casbin - Authorization library that supports access control
models like ACL, RBAC, ABAC: https://casbin.org/

CASL - Isomorphic Authorization JavaScript library:
https://casl.js.org/

Spring Security: https://spring.io/projects/spring-security

Apache Shiro - Easy-to-use Java security framework:
https://shiro.apache.org/

Keycloak - Open Source Identity and Access Management:
https://www.keycloak.org/

SpiceDB - Open Source, Google Zanzibar-inspired database for
scalably storing and querying fine-grained authorization data:
https://github.com/authzed/spicedb

OpenFGA - Auth0’s Open Source Fine Grained Authorization
System:
https://auth0.com/blog/auth0s-openfga-open-source-fine-grained-authorization-system/

Keto permission server: https://github.com/ory/keto

Paper “Zanzibar: Google’s Consistent, Global Authorization
System”:
https://research.google/pubs/zanzibar-googles-consistent-global-authorization-system/

CNCF - Open Policy Agent (OPA):
https://www.cncf.io/projects/open-policy-agent-opa/

Kyverno - Policy as Code, Simplified: https://kyverno.io/




Sprungmarken

(00:00:00) Einstieg & Das Märchen von RBAC


(00:03:30) Info/Werbung


(00:04:30) Einstieg & Das Märchen von RBAC


(00:10:45) Welches Problem löst RBAC eigentlich und wer braucht
es?


(00:25:47) RBAC in der Praxis: Sentry, Grafana, Elasticsearch,
OpenSearch & Jäger


(00:36:39) Implementierungsoptionen: Open Source Libraries,
externe Systeme & Google Zanzibar


(00:45:23) Attribute Based, Relationship Based Access Control,
Gruppen, Access Control Lists und Policy Engines


(01:00:04) Ab wann würdest du ein RBAC-System einführen?



Hosts

Wolfgang Gassler (https://gassler.dev) 

Andy Grunwald (https://andygrunwald.com/)