在很多商业部门中，访问控制是由各个用户在部门中所担任的角色来确定的，而不是基于信息的拥有者。所谓角色，就是一个或一群用户在组织内的可执行的操作的集合。RBAC的根本特征即RBAC策略，系统定义了各种角色，不同的用户根据其职能和责任被赋予相应的角色。
RBAC通过角色沟通主体与客体，真正决定访问权限的是用户对应的角色标识。由于用户与客体无直接联系，所以他不能自主将权限授予别的用户。RBAC的系统中主要关心的是保护信息的完整性，即“谁可能对什么信息执行何种动作？”，角色控制比较灵活，根据配置可以使某些角色接近DAC，而某些角色更接近与MAC。角色由系统管理员定义，角色成员的增减也只能由系统管理员来执行，而且授权是强加给用户的，用户不能自主地将权限传给他人。