ロールは、現実世界の「一般従業員」や「国内営業」といった所属や役割をもとに作成し、それを各利用者の情報に割り当てます。一方、業務サーバのWebベースのサービスで公開するHTMLやCGIなどの資源(リソース)には、それにアクセスするために必要なロールを設定します。利用者があるリソースにアクセスするには、認証に成功したうえで、そのリソースに設定されているロールが割り当てられている必要があるということになります。
上図の例では、
経理担当には一般従業員、経理部というロールが割り当てられています。
一般従業員というロールに対してアクセスを許可しているリソースは就業規則だけです。
経理部というロールに対してアクセスを許可しているリソースは決裁情報だけです。
経理担当がアクセスできるリソースは、就業規則と決裁情報ということになります。
複数のロールをロールセットにまとめて運用することもできます。上図の例では、
営業部というロールセットは、海外営業と国内営業という複数のロールを含んでいます。
営業情報というリソースは、海外営業にも国内営業にもアクセスを許可するので、このリソースには営業部というロールセットを設定すればよいことになります。
国内営業向けアプリケーションは国内営業だけにアクセスを許可したいので、このリソースには国内営業だけを割り当てます。
このように、ロールを使用することにより柔軟な認可を実現することができます。