Control de acceso

Control de acceso define qué recursos y acciones están disponibles para un usuario según sus permisos o su rol en el sistema.

El proceso empieza con la autenticación, que verifica la identidad del usuario, y continúa con la autorización : comprobar si el usuario tiene permitido realizar una acción concreta.

Existen distintos modelos de control de acceso. En este artículo veremos los más comunes: modelos basados en roles (RBAC) y basados en atributos (ABAC).

Control de acceso basado en roles (RBAC)

Una forma de restringir el acceso de usuarios a un sistema es el control de acceso basado en roles.

Imagina que tienes una página en una red social.

Como propietario de la página, puedes crear, ver, editar y eliminar contenido.

Amigo puede ver tu contenido.

Invitado no tiene acceso a tu contenido.

Moderador puede ver y eliminar contenido no deseado.

Así obtenemos actores y las operaciones que pueden realizar:

Roles

Propietario
Amigo
Invitado
Moderador

Acciones

C Crear
R Leer
U Actualizar
D Eliminar

Estas acciones estándar se llaman operaciones CRUD (Create, Read, Update, Delete).

Ejemplo de restricciones de acceso basadas en roles

La tabla muestra cómo se divide el acceso al contenido de la página personal de un usuario entre distintos grupos de usuarios. Esta estructura de permisos se llama modelo de roles.

Recurso	Propietario	Amigo	Invitado	Moderador
/my-page	C R U D	R	—	R D

Control de acceso basado en atributos (ABAC)

Otro enfoque para restringir el acceso de usuarios a un sistema es el control de acceso basado en atributos.

Atributos del sujeto: características del usuario que afectan el acceso

Rol
Edad
Grupo de usuarios
Estado (activo/inactivo)

Atributos de la acción: operaciones que el usuario puede realizar

C Crear
R Leer
U Actualizar
D Eliminar

Atributos del objeto: propiedades del objeto al que se accede

Nivel de confidencialidad
Propietario
Categoría del objeto
Etiquetas

🌍

Atributos del entorno: contexto en el que ocurre el acceso

Tipo de dispositivo
Sistema operativo
Ubicación
Hora de la solicitud

Ejemplo de restricciones de acceso basadas en atributos

División del acceso al contenido de la página personal de un usuario para usuarios con distintos atributos:

Recurso	Atributos del sujeto	Atributos de la acción
/my-page	Rol: Propietario	Acción: C R U D
/my-page	Rol: Amigo	Acción: R
/my-page	Rol: Invitado	Acción: —
/my-page	Rol: Moderador	Acción: R D
/my-page	Rol: Moderador	Acción: R U D

Ahora dos moderadores tienen acceso a distintos conjuntos de operaciones.

El uso de ABAC hace que la gestión del acceso sea más flexible y puede combinarse con el modelo RBAC.

Tarea

Una tarea importante para un ingeniero QA puede ser comprobar que el modelo de roles implementado coincide con el descrito en los requisitos.

Requisitos para el modelo de roles de la «Lista de registros».

Sección	Usuario	Analista	Administrador
Lista de registros	C R U	R	C R U D

Durante las pruebas, quien prueba cambia su rol por su cuenta o pide ayuda a colegas.

Cambia el «Rol en el sistema» y comprueba que la implementación del modelo de roles para la sección «Lista de registros» coincide con los requisitos.

Rol en el sistema

Selecciona en nombre de quién actúas ahora y comprueba qué operaciones están disponibles.

Usuario Analista Administrador

Lista de registros

Texto del registro

Los botones no realizan ninguna operación: trabajar con la lista de registros no forma parte de este ejercicio.