Bevor das RBAC-Berechtigungskonzept in einem Unternehmen umsetzbar ist, werden die Rechte einer Rolle so detailliert wie möglich spezifiziert. Dies umfasst die präzise Festlegung der Berechtigungen in folgenden Bereichen:
- Änderungsrechte an Daten (Read, Read and Write, Full Access)
- Zugriffsrechte auf Unternehmensanwendungen
- Berechtigungen innerhalb der Anwendungen
Um die Vorteile des RBAC-Modells voll auszunutzen, steht dieErstellung des Rollen- und Berechtigungskonzepts immer an erster Stelle. Darin überführt die Organisation alle Funktionen von Mitarbeitern in Rollen, die entsprechende Zugriffsrechte definieren. Im zweiten Schritt werden die Rollen entsprechend den Aufgaben den Mitarbeitern zugeteilt. Role Based Access Control erlaubt die Zuordnung von einer oder mehreren Rollen pro Nutzer. Dies ermöglicht auch innerhalb des Rollenmodells eine individuelle Vergabe von Zugriffsberechtigungen. Ziel dieser Zuteilung ist, dass die erlaubten Zugriffe die Tätigkeiten eines Nutzers ohne weitere Anpassungen ermöglichen.
Die Implementierung und Überwachung von RBAC erfolgt über ein Identity Access Management System, kurz IAM (dt.: Identitätsmanagement-System, kurz IDM). Dieses System unterstützt vor allem Unternehmen mit großer Mitarbeiterzahl bei der Erfassung, Kontrolle und Aktualisierung aller Identitäten und Zugriffsrechte. Die Vergabe von Berechtigungen wird als „Provisioning“, der Entzug als „De-Provisioning“ bezeichnet. Voraussetzung zur Nutzung eines solchen Systems ist die Erstellung eines einheitlichen und standardisierten Rollenkonzepts.