Masalah
01Akses internal dapat sah, tetapi tetap terlalu luas.
RBAC memisahkan area berdasarkan role, namun belum otomatis membatasi data sesuai tugas dan durasi penggunaan fitur sensitif.
Judul Tugas Akhir
Implementasi kontrol akses berlapis pada backend untuk membatasi lingkup akses pengguna internal melalui assignment ticket dan membatasi fitur serta durasi akses sensitif melalui session Just-in-Time.
Ringkasan penelitian
Bagian ini sengaja dibuat singkat agar pembaca memahami posisi penelitian sebelum melihat detail teknis.
Masalah
01RBAC memisahkan area berdasarkan role, namun belum otomatis membatasi data sesuai tugas dan durasi penggunaan fitur sensitif.
Pendekatan
02Least Privilege membatasi Customer Support berdasarkan assignment ticket. JIT membuka fitur sensitif melalui session sementara yang spesifik.
Hasil
03Seluruh 19 skenario menghasilkan keputusan terima atau tolak sesuai hasil yang diharapkan pada pengujian backend.
Metode
Penelitian terapan berbasis prototipe dengan scenario-based black-box testing. Evaluasi dilakukan melalui respons API, perubahan database, serta audit log dan terminal log sebagai bukti pendukung.
Klaim yang tepat
Kombinasi RBAC, Least Privilege, dan Just-in-Time Access berhasil membatasi lingkup serta durasi akses sesuai rancangan dalam lingkungan prototipe.
Mekanisme kontrol akses
Setiap lapisan memiliki tanggung jawab sendiri dan seluruh keputusan utama ditegakkan pada backend.
RBAC
01Memisahkan endpoint User, Customer Support, dan Administrator berdasarkan role pada JWT.
Least Privilege
02Memeriksa assigned_cs_id dan konteks ticket agar CS tidak memperoleh akses global ke seluruh pengguna.
Just-in-Time Access
03Mengikat session pada CS, ticket, feature, status aktif, dan expired_at sebelum fitur sensitif dijalankan.
Alur operasional
JIT menggunakan contextual auto-approval berdasarkan kondisi backend, bukan persetujuan manual Administrator.
Hasil pengujian
Nilai 19/19 berarti hasil aktual sesuai dengan hasil yang dirancang, bukan skor keamanan absolut.
RBAC
Akses sesuai role diterima dan akses lintas role ditolak.
Least Privilege
Claim serta detail ticket dibatasi berdasarkan assignment CS.
Just-in-Time Access
Session, feature, konteks ticket, dan waktu divalidasi sebelum eksekusi.
Bukti yang diamati
Respons dan status HTTP, perubahan state database, data pada tabel jit_sessions, serta audit log dan terminal log.
Interpretasi
Bukti penting bukan hanya request yang berhasil, tetapi juga penolakan lintas role, ticket milik CS lain, session expired, feature mismatch, dan konteks ticket yang tidak valid.
Bukti visual
Klik gambar untuk memperbesar. Penjelasan dibuat satu kalimat agar halaman tetap ringan.
RBAC dasar masih berpotensi memberi lingkup akses yang terlalu luas.
Akses dipersempit ke ticket yang benar-benar ditugaskan kepada CS.
Fitur sensitif hanya dijalankan setelah session dan konteks dinyatakan valid.
Kontribusi penelitian
Penelitian memodelkan kontrol akses internal secara terbuka melalui kombinasi role, assignment ticket, status ticket, feature sensitif, session sementara, dan log. Kontribusinya bersifat implementatif dan akademik, bukan penciptaan algoritma baru.
Batas klaim
Repository dan lampiran
Backend, frontend, dan dokumen pendukung dipisahkan agar implementasi serta bukti pengujian mudah ditinjau.