RBAC přiděluje oprávnění rolím a role uživatelům; je přehledný a stabilní. ABAC rozhoduje na základě atributů uživatele, zdroje a kontextu (čas, umístění, riziko), je jemnozrnnější. V praxi se často kombinují: role definují základ, ABAC přidá kontextová omezení. Důležitá je recertifikace přístupů a evidence rozhodnutí pro audit. V integračních scénářích pomáhá standardizovaný přenos atributů mezi systémy. Správa politik má být verzovaná a testovaná jako kód. Příliš detailní politiky se bez nástrojů rychle stanou neudržitelnými. Špatně udržované role vedou k „role explosion“ a nadprávům.
