Attribute Based Access – Fremtidens Tilgangsstyring

I en tid hvor virksomheter drukner i data, hvor ansatte jobber fra flere steder enn noen gang, og hvor cybertrusselbildet er i kontinuerlig endring, er behovet for smartere tilgangsstyring større enn noen gang. Tradisjonelle rollebaserte modeller (RBAC) begynner å knake i sammenføyningene. Roller er ofte for grove, for mange og for vanskelige å vedlikeholde.

Løsningen mange organisasjoner nå vender seg mot, er Attribute Based Access – Fremtidens Tilgangsstyring, bedre kjent som ABAC.

Hva er ABAC?

ABAC er en fleksibel og dynamisk metode for tilgangsstyring som baserer seg på attributter, altså egenskaper ved brukeren, ressursen, miljøet og selve handlingen som forsøkes utført. I stedet for å spørre “Hvilken rolle har du?”, spør ABAC:

“Hvem er du, hva prøver du å gjøre, hvor er du, og hva er det du forsøker å få tilgang til?”

Resultatet er en langt mer presis og kontekstuell tilgangsstyring.

Hvordan fungerer ABAC?

ABAC vurderer fire kategorier av attributter:

• Brukerattributter

• Ressursattributter

• Miljøattributter

  
  

1. Brukerattributter

Dette er egenskaper knyttet til brukeren.

Eksempler:

• Avdeling

• Sikkerhetsklarering

• Sertifiseringer

• Ansettelsesstatus

2. Ressursattributter

Disse beskriver ressursen det forsøkes å få tilgang til.

Eksempler:

• Dokumentklassifisering

• Eier av ressursen

• Sensitivitetsnivå

3. Miljøattributter

Kontekstuelle forhold som påvirker risiko.

Eksempler:

• Tidspunkt

• Geografisk posisjon

• Sikkerhetsstatus

• Risikonivå

Ved å kombinere disse attributtene i policies kan man oppnå svært presis tilgangsstyring.

Hvorfor Attribute Based Access – Fremtidens Tilgangsstyring ?

✔ Mer presis tilgangsstyring

ABAC gir tilgang basert på kontekst, ikke bare roller.

✔ Mindre administrasjon

Du slipper å vedlikeholde stadig flere roller som “HR‑lese”, “HR‑skriv”, “HR‑remote”, “HR‑mobil”, osv.

✔ Bedre sikkerhet

Ved å kombinere brukerdata, risikosignaler og ressursinformasjon kan man redusere overflødig tilgang og stoppe mistenkelig aktivitet automatisk.

✔ Ideell for moderne arbeidsmåter

Eksterne konsulenter, leverandører, hybrid arbeid, skyressurser – alt dette passer dårlig i en rigid RBAC‑modell, men fungerer utmerket med ABAC.

ABAC i Microsofts økosystem

Mange organisasjoner ser ABAC som komplisert – men mye av teknologien finnes allerede i Microsoft Entra ID (Azure AD) og Microsoft 365.

I Entra ID brukes ABAC‑prinsipper i:

Conditional Access

(miljøattributter, risikosignaler, enhetsstatus)

Custom Security Attributes

(egendefinerte bruker-attributter)

Azure Storage ABAC

(bruker-/ressurs-attributter for blob, fil m.m.)

PIM

(policybasert tildeling av privilegert tilgang)

I Microsoft 365 brukes ABAC‑prinsipper i:

Sensitivitetsetiketter

DLP-regler

Automatisert innholdsbeskyttelse

SharePoint conditional access

Med andre ord: Mange organisasjoner er allerede på vei mot ABAC – de har bare ikke brukt ordet.

Gammel vs. Moderne sikkerhet

Er du intressert i RBAK eller ABAK bør du komme til INTEGRERT SIKKERHET – FORENKLET den 16. april 2026.

Et praktisk eksempel

La oss si at en organisasjon ønsker å sikre at kun ansatte i Økonomiavdelingen skal a tilgang til arkivrommet – og kun i arbeidstiden.

Hvis:
  bruker.avdeling == "Økonomi"
  OG miljø.tid mellom 08:00 og 16:00
Tillat tilgang

Dette er både presist og fleksibelt. Den samme policyen fungerer selv om organisasjonen vokser og nye ansatte kommer til.

Fremtidens tilgangsstyring

ABAC er mer enn en teknologi – det er en filosofi for hvordan tilgang bør fungere i en moderne virksomhet. Det handler om å gi riktig person riktig tilgang til riktig tid, basert på faktiske behov og risikobaserte vurderinger.

Med stadig strengere krav til sikkerhet og personvern, og med stadig mer distribuert arbeid, er ABAC ikke bare et «nice to have», men en naturlig utvikling av hvordan vi beskytter data.