ロールは、現実世界の「一般従業員」や「国内営業」といった所属や役割をもとに作成し、それを各利用者の情報に割り当てます。一方、業務サーバのWebベースのサービスで公開するHTMLやCGIなどの資源(リソース)には、それにアクセスするために必要なロールを設定します。利用者があるリソースにアクセスするには、認証に成功したうえで、そのリソースに設定されているロールが割り当てられている必要があるということになります。

  上図の例では、

• 経理担当には一般従業員、経理部というロールが割り当てられています。

• 一般従業員というロールに対してアクセスを許可しているリソースは就業規則だけです。

• 経理部というロールに対してアクセスを許可しているリソースは決裁情報だけです。

• 経理担当がアクセスできるリソースは、就業規則と決裁情報ということになります。

  複数のロールをロールセットにまとめて運用することもできます。上図の例では、

• 営業部というロールセットは、海外営業と国内営業という複数のロールを含んでいます。

• 営業情報というリソースは、海外営業にも国内営業にもアクセスを許可するので、このリソースには営業部というロールセットを設定すればよいことになります。

• 国内営業向けアプリケーションは国内営業だけにアクセスを許可したいので、このリソースには国内営業だけを割り当てます。

  このように、ロールを使用することにより柔軟な認可を実現することができます。