- 26
- มีนาคม
RBAC คืออะไร? — Role-Based Access Control การกำหนดสิทธิ์ตามบทบาทในระบบ ERP
RBAC (Role-Based Access Control) คือระบบกำหนดสิทธิ์การเข้าถึงข้อมูลและฟังก์ชันในระบบตาม บทบาทหน้าที่ ของผู้ใช้งาน ไม่ใช่ตามตัวบุคคล เช่น เจ้าหน้าที่พัสดุเห็นเฉพาะเมนูพัสดุ ฝ่ายบัญชีเห็นเฉพาะเมนูบัญชี — ทำให้ข้อมูลปลอดภัยและจัดการง่าย
สรุปสั้น: RBAC = กำหนดสิทธิ์ตาม "บทบาท" (Role) ไม่ใช่ตาม "คน" (User) ทำให้เพิ่ม-ลดคนได้ง่าย แค่กำหนด Role ให้ตรง สิทธิ์ทั้งหมดจะตามมาอัตโนมัติ
ทำไมต้องใช้ RBAC ในระบบ ERP?
ระบบ ERP มีข้อมูลสำคัญหลายประเภท ตั้งแต่ข้อมูลทางการเงิน ข้อมูลพนักงาน ไปจนถึงข้อมูลจัดซื้อจัดจ้าง หากทุกคนเข้าถึงข้อมูลทุกอย่างได้ ความเสี่ยงด้าน ความปลอดภัย จะสูงมาก RBAC ช่วยแก้ปัญหานี้โดยให้แต่ละคนเห็นเฉพาะข้อมูลที่เกี่ยวข้องกับหน้าที่ของตน ทำให้เป็นไปตามหลัก Least Privilege (สิทธิ์น้อยที่สุดเท่าที่จำเป็น)
องค์ประกอบของ RBAC
RBAC ประกอบด้วย 3 องค์ประกอบหลัก ที่ทำงานร่วมกัน:
| องค์ประกอบ | ความหมาย | ตัวอย่าง |
|---|---|---|
| User (ผู้ใช้งาน) | บุคคลที่มีบัญชีในระบบ แต่ละคนถูกกำหนด Role อย่างน้อย 1 บทบาท | นายสมชาย (เจ้าหน้าที่พัสดุ), นางสาวสมหญิง (นักบัญชี) |
| Role (บทบาท) | กลุ่มสิทธิ์ที่รวมกันตามหน้าที่การทำงาน 1 คนมีได้หลาย Role | เจ้าหน้าที่พัสดุ, นักบัญชี, ผู้อนุมัติ, ผู้ดูแลระบบ |
| Permission (สิทธิ์) | การอนุญาตให้ทำกิจกรรมเฉพาะในระบบ กำหนดไว้ใน Role | ดูรายงาน, สร้างใบขอซื้อ, อนุมัติเอกสาร, ลบข้อมูล |
ตัวอย่าง RBAC ใน Saeree ERP
ตัวอย่างการกำหนดสิทธิ์ตามบทบาทในระบบ Saeree ERP สำหรับหน่วยงานรัฐ:
| บทบาท (Role) | ดูรายงาน | สร้างเอกสาร | อนุมัติ | ตั้งค่าระบบ |
|---|---|---|---|---|
| เจ้าหน้าที่พัสดุ | เฉพาะพัสดุ | ใบขอซื้อ, ใบรับของ | ไม่ได้ | ไม่ได้ |
| นักบัญชี | เฉพาะบัญชี | ใบแจ้งหนี้, Journal Entry | ไม่ได้ | ไม่ได้ |
| หัวหน้างาน | ของฝ่ายตนเอง | ได้ | วงเงินไม่เกิน 100,000 บาท | ไม่ได้ |
| ผู้อำนวยการ | ทุกฝ่าย | ได้ | ทุกวงเงิน | ไม่ได้ |
| ผู้ดูแลระบบ (Admin) | ทั้งหมด | ได้ | ไม่ได้ (แยกหน้าที่) | ได้ |
สังเกตว่าผู้ดูแลระบบ (Admin) สามารถตั้งค่าระบบได้ แต่ ไม่มีสิทธิ์อนุมัติเอกสาร — นี่คือหลักการ Separation of Duties ที่ป้องกันการทุจริต
RBAC vs DAC vs MAC — เปรียบเทียบรูปแบบการกำหนดสิทธิ์
| ประเด็น | RBAC | DAC | MAC |
|---|---|---|---|
| ย่อมาจาก | Role-Based Access Control | Discretionary Access Control | Mandatory Access Control |
| ใครกำหนดสิทธิ์ | ผู้ดูแลระบบ กำหนดตาม Role | เจ้าของข้อมูล กำหนดเอง | นโยบายส่วนกลาง บังคับใช้ |
| ความยืดหยุ่น | ปานกลาง — ยืดหยุ่นและควบคุมได้ | สูง — แต่ควบคุมยาก | ต่ำ — เข้มงวดมาก |
| เหมาะกับ | องค์กรทั่วไป, ระบบ ERP | ระบบไฟล์ส่วนตัว | หน่วยงานทหาร, หน่วยงานลับ |
| ตัวอย่างระบบ | Saeree ERP, SAP, Oracle | Windows File Sharing | SELinux, ระบบทหาร |
ประโยชน์ของ RBAC ในหน่วยงานรัฐ
- ลดความเสี่ยงด้านข้อมูลรั่วไหล — แต่ละคนเห็นเฉพาะข้อมูลที่เกี่ยวข้องกับงาน ข้อมูลเงินเดือนหรือข้อมูลจัดซื้อไม่หลุดไปคนที่ไม่เกี่ยวข้อง
- รองรับการตรวจสอบ (Audit) — ระบบบันทึกว่าใคร (User) มี Role อะไร ทำอะไรในระบบ ตรวจสอบย้อนหลังได้ทุกรายการ
- จัดการง่ายเมื่อคนย้ายตำแหน่ง — แค่เปลี่ยน Role ไม่ต้องตั้งค่าสิทธิ์ทีละรายการ เช่น คนย้ายจากฝ่ายพัสดุไปฝ่ายบัญชี แค่เปลี่ยน Role จาก "เจ้าหน้าที่พัสดุ" เป็น "นักบัญชี"
- สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) — RBAC ช่วยให้องค์กรจำกัดการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่มีความจำเป็น
- ใช้ร่วมกับ Two-Factor Authentication (2FA) — RBAC กำหนด "เห็นอะไรได้บ้าง" ส่วน 2FA กำหนด "ยืนยันตัวตนอย่างไร" ใช้คู่กันเพื่อความปลอดภัยสูงสุด
บทความที่เกี่ยวข้อง
- คำศัพท์ IT ที่ต้องรู้ในระบบ ERP ผู้ใช้งาน
- คำศัพท์ ERP ที่ต้องรู้ — 20 คำสำคัญ ผู้ใช้งาน
- ความปลอดภัยของข้อมูลในระบบ ERP บทความ
- Two-Factor Authentication (2FA) คืออะไร? บทความ
- เปลี่ยนจาก Dynamics AX มา Saeree ERP บทความ
