IEC 62541-18:2025

IEC 62541-18 ®
Edition 1.0 2025-08
NORME
INTERNATIONALE
Architecture unifiée OPC -
Partie 18: Sécurité fondée sur les rôles
ICS 25.040  ISBN 978-2-8327-0611-4

Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et
les microfilms, sans l'accord écrit de l'IEC ou du Comité national de l'IEC du pays du demandeur. Si vous avez des
questions sur le copyright de l'IEC ou si vous désirez obtenir des droits supplémentaires sur cette publication, utilisez
les coordonnées ci-après ou contactez le Comité national de l'IEC de votre pays de résidence.

IEC Secretariat Tel.: +41 22 919 02 11
3, rue de Varembé info@iec.ch
CH-1211 Geneva 20 www.iec.ch
Switzerland
A propos de l'IEC
La Commission Electrotechnique Internationale (IEC) est la première organisation mondiale qui élabore et publie des
Normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.

A propos des publications IEC
Le contenu technique des publications IEC est constamment revu. Veuillez vous assurer que vous possédez l’édition la
plus récente, un corrigendum ou amendement peut avoir été publié.

Recherche de publications IEC -  IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Découvrez notre puissant moteur de recherche et consultez
La recherche avancée permet de trouver des publications gratuitement tous les aperçus des publications, symboles
IEC en utilisant différents critères (numéro de référence, graphiques et le glossaire. Avec un abonnement, vous aurez
texte, comité d’études, …). Elle donne aussi des toujours accès à un contenu à jour adapté à vos besoins.
informations sur les projets et les publications remplacées
ou retirées. Electropedia - www.electropedia.org
Le premier dictionnaire d'électrotechnologie en ligne au
IEC Just Published - webstore.iec.ch/justpublished monde, avec plus de 22 500 articles terminologiques en
Restez informé sur les nouvelles publications IEC. Just anglais et en français, ainsi que les termes équivalents
Published détaille les nouvelles publications parues. dans 25 langues additionnelles. Egalement appelé
Disponible en ligne et une fois par mois par email. Vocabulaire Electrotechnique International (IEV) en ligne.

Service Clients - webstore.iec.ch/csc
Si vous désirez nous donner des commentaires sur cette
publication ou si vous avez des questions contactez-
nous: sales@iec.ch.
SOMMAIRE
AVANT-PROPOS . 3
1 Domaine d'application . 5
2 Références normatives . 5
3 Termes et définitions . 5
3.1 Termes et définitions . 5
4 Modèle de Rôle . 5
4.1 Généralités . 5
4.2 RoleSetType . 6
4.2.1 Définition de RoleSetType . 6
4.2.2 Méthode AddRole . 7
4.2.3 Méthode RemoveRole . 8
4.3 RoleSet . 9
4.4 RoleType . 14
4.4.1 Définition de RoleType . 14
4.4.2 EndpointType . 16
4.4.3 IdentityMappingRuleType . 16
4.4.4 IdentityCriteriaType . 18
4.4.5 Méthode AddIdentity . 19
4.4.6 Méthode RemoveIdentity . 20
4.4.7 Méthode AddApplication . 20
4.4.8 Méthode RemoveApplication . 21
4.4.9 Méthode AddEndpoint . 21
4.4.10 Méthode RemoveEndpoint . 22
4.5 RoleMappingRuleChangedAuditEventType . 22
5 Modèle de gestion des utilisateurs . 23
5.1 Généralités . 23
5.2 UserManagementType . 24
5.2.1 Définition de UserManagementType . 24
5.2.2 PasswordOptionsMask . 25
5.2.3 UserConfigurationMask . 26
5.2.4 UserManagementDataType . 26
5.2.5 Méthode AddUser . 27
5.2.6 Méthode ModifyUser . 28
5.2.7 Méthode RemoveUser . 29
5.2.8 Méthode ChangePassword . 29
5.3 UserManagement . 31
Bibliographie . 32

Figure 1 – Vue d'ensemble de la gestion des rôles . 6
Figure 2 – Vue d'ensemble de la gestion des utilisateurs . 24

Tableau 1 – Définition de RoleSetType . 7
Tableau 2 – Définition de RoleSet . 9
Tableau 3 – Unités de Conformité RoleSet supplémentaires . 10
Tableau 4 – Définition de RoleType . 14
Tableau 5 – Structure d'EndpointType . 16
Tableau 6 – Définition d'EndpointType . 16
Tableau 7 – IdentityMappingRuleType . 17
Tableau 8 – Ordre pour les critères de nom de sujet . 18
Tableau 9 – Définition d'IdentityMappingRuleType . 18
Tableau 10 – Valeurs d'IdentityCriteriaType . 19
Tableau 11 – Définition d'IdentityCriteriaType . 19
Tableau 12 – Définition de RoleMappingRuleChangedAuditEventType . 23
Tableau 13 – Définition de UserManagementType . 24
Tableau 14 – Valeurs de PasswordOptionsMask . 25
Tableau 15 – Définition de PasswordOptionsMask . 26
Tableau 16 – Valeurs de UserConfigurationMask . 26
Tableau 17 – Définition de UserConfigurationMask . 26
Tableau 18 – Structure de UserManagementDataType . 27
Tableau 19 – Définition de DataSetMetaDataType . 27
Tableau 20 – Définition de UserManagement . 31

COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
____________
Architecture unifiée OPC -
Partie 18: Sécurité fondée sur les rôles

AVANT-PROPOS
1) La Commission Électrotechnique Internationale (IEC) est une organisation mondiale de normalisation composée
de l'ensemble des comités électrotechniques nationaux (Comités nationaux de l'IEC). L'IEC a pour objet de
favoriser la coopération internationale pour toutes les questions de normalisation dans les domaines de
l'électricité et de l'électronique. À cet effet, l'IEC – entre autres activités – publie des Normes internationales,
des Spécifications techniques, des Rapports techniques, des Spécifications accessibles au public (PAS) et des
Guides (ci-après dénommés "Publication(s) de l'IEC"). Leur élaboration est confiée à des comités d'études, aux
travaux desquels tout Comité national intéressé par le sujet traité peut participer. Les organisations
internationales, gouvernementales et non gouvernementales, en liaison avec l'IEC, participent également aux
travaux. L'IEC collabore étroitement avec l'Organisation Internationale de Normalisation (ISO), selon des
conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de l'IEC concernant les questions techniques représentent, dans la mesure du
possible, un accord international sur les sujets étudiés, étant donné que les Comités nationaux de l'IEC intéressés
sont représentés dans chaque comité d'études.
3) Les Publications de l'IEC se présentent sous la forme de recommandations internationales et sont agréées
comme telles par les Comités nationaux de l'IEC. Tous les efforts raisonnables sont entrepris afin que
l'IEC s'assure de l'exactitude du contenu technique de ses publications; l'IEC ne peut pas être tenue responsable
de l'éventuelle mauvaise utilisation ou interprétation qui en est faite par un quelconque utilisateur final.
4) Dans le but d'encourager l'uniformité internationale, les Comités nationaux de l'IEC s'engagent, dans toute la
mesure possible, à appliquer de façon transparente les Publications de l'IEC dans leurs publications nationales
et régionales. Toutes divergences entre toutes Publications de l'IEC et toutes publications nationales ou
régionales correspondantes doivent être indiquées en termes clairs dans ces dernières.
5) L'IEC elle-même ne fournit aucune attestation de conformité. Des organismes de certification indépendants
fournissent des services d'évaluation de conformité et, dans certains secteurs, accèdent aux marques de
conformité de l'IEC. L'IEC n'est responsable d'aucun des services effectués par les organismes de certification
indépendants.
6) Tous les utilisateurs doivent s'assurer qu'ils sont en possession de la dernière édition de cette publication.
7) Aucune responsabilité ne doit être imputée à l'IEC, à ses administrateurs, employés, auxiliaires ou mandataires,
y compris ses experts particuliers et les membres de ses comités d'études et des Comités nationaux de l'IEC,
pour tout préjudice causé en cas de dommages corporels et matériels, ou de tout autre dommage de quelque
nature que ce soit, directe ou indirecte, ou pour supporter les coûts (y compris les frais de justice) et les dépenses
découlant de la publication ou de l'utilisation de cette Publication de l'IEC ou de toute autre Publication de l'IEC,
ou au crédit qui lui est accordé.
8) L'attention est attirée sur les références normatives citées dans cette publication. L'utilisation de publications
référencées est obligatoire pour une application correcte de la présente publication.
9) L'IEC attire l'attention sur le fait que la mise en application du présent document peut entraîner l'utilisation d'un
ou de plusieurs brevets. L'IEC ne prend pas position quant à la preuve, à la validité et à l'applicabilité de tout
droit de brevet revendiqué à cet égard. À la date de publication du présent document, l'IEC n'avait pas reçu
notification qu'un ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois, il y a lieu
d'avertir les responsables de la mise en application du présent document que des informations plus récentes
sont susceptibles de figurer dans la base de données de brevets, disponible à l'adresse https://patents.iec.ch.
L'IEC ne saurait être tenue pour responsable de ne pas avoir identifié tout ou partie de tels droits de brevet.
L'IEC 62541-18 a été établie par le sous-comité 65E: Les dispositifs et leur intégration dans les
systèmes de l'entreprise, du comité d'études 65 de l'IEC: Mesure, commande et automation
dans les processus industriels. Il s'agit d'une Norme internationale.
Le texte de cette Norme internationale est issu des documents suivants:
Projet Rapport de vote
65E/1043/CDV 65E/1101/RVC
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à son approbation.
La langue employée pour l'élaboration de cette Norme internationale est l'anglais.
Ce document a été rédigé selon les Directives ISO/IEC, Partie 2, il a été développé selon les
Directives ISO/IEC, Partie 1 et les Directives ISO/IEC, Supplément IEC, disponibles sous
www.iec.ch/members_experts/refdocs. Les principaux types de documents développés par
l'IEC sont décrits plus en détail sous www.iec.ch/publications.
Dans l'ensemble du présent document et dans les autres parties de la série, certaines
conventions de document sont utilisées:
Le format italique est utilisé pour mettre en évidence un terme défini ou une définition qui
apparaît à l'article "Termes et définitions" dans l'une des parties de la série.
Le format italique est également utilisé pour mettre en évidence le nom d'un paramètre d'entrée
ou de sortie de service, ou le nom d'une structure ou d'un élément de structure habituellement
défini dans les tableaux.
Par ailleurs, les termes et noms en italique sont souvent écrits en camel-case (pratique qui
consiste à joindre, sans espace, les éléments des mots ou expressions composés, la première
lettre de chaque élément étant en majuscule). Par exemple, le terme défini est AddressSpace
et non Espace d'Adressage. Cela permet de mieux comprendre qu'il existe une définition unique
pour AddressSpace, et non deux définitions distinctes pour Espace et pour Adressage.
Une liste de toutes les parties de la série IEC 62541, publiées sous le titre général Architecture
unifiée OPC, se trouve sur le site web de l'IEC.
Le comité a décidé que le contenu de ce document ne sera pas modifié avant la date de stabilité
indiquée sur le site web de l'IEC sous webstore.iec.ch dans les données relatives au document
recherché. À cette date, le document sera
• reconduit,
• supprimé, ou
• révisé.
1 Domaine d'application
La présente partie de l'IEC 62541 définit un modèle d'information. Le modèle d'information
décrit l'infrastructure de base pour modéliser la sécurité fondée sur les rôles.
NOTE Dans la version précédente, la sécurité fondée sur les rôles figurait dans l'IEC 62541-5:2020, Annexe F.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie
de leur contenu, des exigences du présent document. Pour les références datées, seule
l'édition citée s'applique. Pour les références non datées, la dernière édition du document de
référence s'applique (y compris les éventuels amendements).
IEC 62541-1, Architecture unifiée OPC – Partie 1: Vue d'ensemble et concepts
IEC 62541-3, Architecture unifiée OPC – Partie 3: Modèle d'espace d'adressage
IEC 62541-4, Architecture unifiée OPC – Partie 4: Services
IEC 62541-5, Architecture unifiée OPC – Partie 5: Modèle d'information
IEC 62541-6, Architecture unifiée OPC – Partie 6: Mappings
IEC 62541-8, Architecture unifiée OPC – Partie 8: Accès aux données
IEC 62541-12, Architecture unifiée OPC – Partie 12: Services globaux et de découverte
3 Termes et définitions
3.1 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'IEC 62541-1, l'IEC 62541-3
et l'IEC 62541-5 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées
en normalisation, consultables aux adresses suivantes:
• IEC Electropedia: disponible à l'adresse https://www.electropedia.org/
• ISO Online browsing platform: disponible à l'adresse https://www.iso.org/obp
4 Modèle de Rôle
4.1 Généralités
L'OPC UA définit une approche normalisée pour la mise en œuvre de la sécurité fondée sur les
rôles. Les Serveurs peuvent choisir de mettre en œuvre l'ensemble ou une partie des
mécanismes définis ici. L'approche OPC UA attribue des Permissions aux Rôles pour chaque
Nœud dans l'AddressSpace. Des Rôles sont alors attribués aux Clients lorsqu'ils créent une
Session fondée sur les informations fournies par le Client.
Les Rôles sont utilisés pour distinguer les authentifications (qui déterminent l'identité d'un
Client au moyen d'un jeton d'utilisateur et de l'identité de l'application Client) des autorisations
(Permissions qui déterminent les actions que le Client peut réaliser). En séparant ces tâches,
les Serveurs peuvent permettre la gestion, par les services centralisés, des identités et des
informations d'accès des utilisateurs, tandis que le Serveur gère uniquement les Permissions
sur ses Nœuds attribués aux Rôles.
L'IEC 62541-3 définit les Permissions possibles et leur représentation sous forme d'Attributs
de Nœud.
La Figure 1 représente les ObjectTypes, les Objets et leurs composants utilisés pour
représenter la gestion des Rôles.

Figure 1 – Vue d'ensemble de la gestion des rôles
4.2 RoleSetType
4.2.1 Définition de RoleSetType
L'Objet RoleSet défini dans l'IEC 62541-5 est un RoleSetType qui est défini de manière formelle
dans le Tableau 1.
Tableau 1 – Définition de RoleSetType
Attribut Valeur
BrowseName RoleSetType
IsAbstract False
Références Node Class BrowseName DataType TypeDefinition Modelling Rule
Sous-type du BaseObjectType défini dans l'IEC 62541-5
HasComponent Object  RoleType Optional
Placeholder
HasComponent Method AddRole Défini au 4.2.2 Mandatory
HasComponent Method RemoveRole Défini au 4.2.3. Mandatory
Unités de Conformité
Informations de base ServerType

La Méthode AddRole permet de configurer les Clients de manière à ajouter un nouveau Rôle
au Serveur.
La Méthode RemoveRole permet de configurer les Clients de manière à supprimer un Rôle du
Serveur.
4.2.2 Méthode AddRole
Cette Méthode est utilisée pour ajouter un Rôle à l'Objet RoleSet.
La combinaison des paramètres NamespaceUri et RoleName est utilisée pour construire le
BrowseName pour le nouveau Nœud. Le BrowseName doit être unique au sein de l'Objet
RoleSet.
Si les Propriétés facultatives EndpointsExclude et ApplicationsExclude sont disponibles sur
l'Objet Rôle créé avec cette Méthode, les valeurs initiales des Propriétés EndpointsExclude et
ApplicationsExclude doivent être TRUE.
Le Client doit utiliser un canal crypté et doit fournir les informations d'accès avec droits
d'administrateur comme le Rôle SecurityAdmin lorsqu'il invoque cette Méthode sur le Serveur.
L'IEC 62541-3 définit les Rôles notoires. Si cette Méthode est utilisée pour ajouter un Rôle
notoire, le nom du Rôle issu de l'IEC 62541-3 est utilisé avec l'URI d'espace de noms OPC UA.
Le Serveur doit dans ce cas utiliser les NodeIds des Rôles notoires. Les NodeIds pour les Rôles
notoires sont définis dans l'IEC 62541-6.
Signature
AddRole (
[in] String  RoleName,
[in] String  NamespaceUri,
[out] NodeId  RoleNodeId
);
Argument Description
RoleName Dénomination du Rôle.
NamespaceUri Le NamespaceUri qualifie le RoleName. Si cette valeur est nulle ou vide, le
BrowseName obtenu est qualifié par le NamespaceUri du Serveur.
RoleNodeId NodeId attribué par le Serveur au nouveau Nœud.

Codes de résultat de la Méthode
ResultCode Description
Bad_InvalidArgument Le RoleName ou le NamespaceUri n'est pas valide.
Le texte associé à l'erreur doit indiquer le problème exact.
Bad_NotSupported Le Serveur n'autorise pas l'ajout d'un plus grand nombre de Rôles.
Bad_UserAccessDenied L'appelant n'a pas les Permissions nécessaires.
Bad_AlreadyExists Le Rôle existe déjà dans le Serveur.
Bad_ResourceUnavailable Les ressources du Serveur ne sont pas suffisantes pour ajouter le rôle.

4.2.3 Méthode RemoveRole
Cette Méthode est utilisée pour retirer un Rôle de l'Objet RoleSet.
Le RoleNodeId est le NodeId de l'Objet Rôle à supprimer.
Le Serveur peut interdire la suppression de certains Rôles parce qu'ils sont nécessaires au
fonctionnement du Serveur.
Si un Rôle est supprimé, toutes les Permissions associées au Rôle sont également supprimées.
Il convient dans l'idéal que ces modifications prennent effet immédiatement, sachant qu'un
retard peut toutefois survenir.
Le Client doit utiliser un canal crypté et doit fournir les informations d'accès avec droits
d'administrateur comme le Rôle SecurityAdmin lorsqu'il invoque cette Méthode sur le Serveur.
Signature
RemoveRole (
[in] NodeId RoleNodeId
);
Argument Description
RoleNodeId NodeId de l'Objet Rôle.

Codes de résultat de la Méthode
ResultCode Description
Bad_NodeIdUnknown L'Objet Rôle spécifié n'existe pas.
Bad_NotSupported Le Serveur n'autorise pas la suppression de l'Objet Rôle.
Bad_UserAccessDenied L'appelant n'a pas les Permissions nécessaires.
Bad_RequestNotAllowed L'Objet Rôle spécifié ne peut pas être supprimé.

4.3 RoleSet
L'Objet RoleSet défini dans le Tableau 2 est utilisé pour publier tous les Rôles pris en charge
par le Serveur.
Tableau 2 – Définition de RoleSet
Attribut Valeur
BrowseName RoleSet
Références NodeClass BrowseName DataType TypeDefinition ModellingRule
ComponentOf de l'Objet ServerCapabilities défini dans l'IEC 62541-5
HasTypeDefinition ObjectType RoleSetType
HasComponent Object Anonymous RoleType
HasComponent Object AuthenticatedUser RoleType
HasComponent Object Observer RoleType
HasComponent Object Operator RoleType
HasComponent Object Engineer RoleType
HasComponent Object Supervisor RoleType
HasComponent Object ConfigureAdmin RoleType
HasComponent Object SecurityAdmin RoleType
Unités de Conformité
Sécurité Rôle de base Serveur 2

Il convient que les Serveurs prennent en charge les Rôles notoires définis dans l'IEC 62541-3.
Il convient que les Identités par défaut pour le Rôle Anonymous soient des Identités avec le
criteriaType IdentityCriteriaType.Anonymous et le criteriaType
IdentityCriteriaType.AuthenticatedUser.
Il convient que les Identités par défaut pour le Rôle AuthenticatedUser soient une identité avec
le criteriaType IdentityCriteriaType.AuthenticatedUser.
La définition supplémentaire pour les unités de conformité des instances est donnée dans le
Tableau 3.
Tableau 3 – Unités de Conformité RoleSet supplémentaires
BrowsePath Unités de Conformité
AddRole Sécurité Rôle Serveur Gestion
RemoveRole Sécurité Rôle Serveur Gestion
ConfigureAdmin Sécurité Rôle bien connu
SecurityAdmin Sécurité Rôle bien connu
Anonymous Sécurité Rôle bien connu Groupe 2
AuthenticatedUser Sécurité Rôle bien connu Groupe 2
Observer Sécurité Rôle bien connu Groupe 3
Operator Sécurité Rôle bien connu Groupe 3
Engineer Sécurité Rôle bien connu Groupe 3
Supervisor Sécurité Rôle bien connu Groupe 3
Anonymous Sécurité Rôle Serveur IdentityManagement
AddIdentity
Anonymous Sécurité Rôle Serveur IdentityManagement
RemoveIdentity
Anonymous Sécurité Rôle Serveur Restreindre Applications
ApplicationsExclude
Anonymous Sécurité Rôle Serveur Restreindre Applications
Applications
Anonymous Sécurité Rôle Serveur Restreindre Applications
AddApplication
Anonymous Sécurité Rôle Serveur Restreindre Applications
RemoveApplication
Anonymous Sécurité Rôle Serveur Restreindre Points
d'extrémité
EndpointsExclude
Anonymous Sécurité Rôle Serveur Restreindre Points
d'extrémité
Endpoints
Anonymous Sécurité Rôle Serveur Restreindre Points
d'extrémité
AddEndpoint
Anonymous Sécurité Rôle Serveur Restreindre Points
d'extrémité
RemoveEndpoint
AuthenticatedUser Sécurité Rôle Serveur IdentityManagement
AddIdentity
AuthenticatedUser Sécurité Rôle Serveur IdentityManagement
RemoveIdentity
AuthenticatedUser Sécurité Rôle Serveur Restreindre Applications
ApplicationsExclude
AuthenticatedUser Sécurité Rôle Serveur Restreindre Applications
Applications
AuthenticatedUser Sécurité Rôle Serveur Restreindre Applications
AddApplication
AuthenticatedUser Sécurité Rôle Serveur Restreindre Applications
RemoveApplication
BrowsePath Unités de Conformité
AuthenticatedUser Sécurité Rôle Serveur Restreindre Points
d'extrémité
EndpointsExclude
AuthenticatedUser Sécurité Rôle Serveur Restreindre Points
d'extrémité
Endpoints
AuthenticatedUser Sécurité Rôle Serveur Restreindre Points
d'extrémité
AddEndpoint
AuthenticatedUser Sécurité Rôle Serveur Restreindre Points
d'extrémité
RemoveEndpoint
Observer Sécurité Rôle Serveur IdentityManagement
AddIdentity
Observer Sécurité Rôle Serveur IdentityManagement
RemoveIdentity
Observer Sécurité Rôle Serveur Restreindre Applications
ApplicationsExclude
Observer Sécurité Rôle Serveur Restreindre Applications
Applications
Observer Sécurité Rôle Serveur Restreindre Applications
AddApplication
Observer Sécurité Rôle Serveur Restreindre Applications
RemoveApplication
Observer Sécurité Rôle Serveur Restreindre Points
d'extrémité
EndpointsExclude
Observer Sécurité Rôle Serveur Restreindre Points
d'extrémité
Endpoints
Observer Sécurité Rôle Serveur Restreindre Points
d'extrémité
AddEndpoint
Observer Sécurité Rôle Serveur Restreindre Points
d'extrémité
RemoveEndpoint
Operator Sécurité Rôle Serveur IdentityManagement
AddIdentity
Operator Sécurité Rôle Serveur IdentityManagement
RemoveIdentity
Operator Sécurité Rôle Serveur Restreindre Applications
ApplicationsExclude
Operator Sécurité Rôle Serveur Restreindre Applications
Applications
Operator Sécurité Rôle Serveur Restreindre Applications
AddApplication
Operator Sécurité Rôle Serveur Restreindre Applications
RemoveApplication
Operator Sécurité Rôle Serveur Restreindre Points
d'extrémité
EndpointsExclude
Operator Sécurité Rôle Serveur Restreindre Points
d'extrémité
Endpoints
BrowsePath Unités de Conformité
Operator Sécurité Rôle Serveur Restreindre Points
d'extrémité
AddEndpoint
Operator Sécurité Rôle Serveur Restreindre Points
d'extrémité
RemoveEndpoint
Engineer Sécurité Rôle Serveur IdentityManagement
AddIdentity
Engineer Sécurité Rôle Serveur IdentityManagement
RemoveIdentity
Engineer Sécurité Rôle Serveur Restreindre Applications
ApplicationsExclude
Engineer Sécurité Rôle Serveur Restreindre Applications
Applications
Engineer Sécurité Rôle Serveur Restreindre Applications
AddApplication
Engineer Sécurité Rôle Serveur Restreindre Applications
RemoveApplication
Engineer Sécurité Rôle Serveur Restreindre Points
d'extrémité
EndpointsExclude
Engineer Sécurité Rôle Serveur Restreindre Points
d'extrémité
Endpoints
Engineer Sécurité Rôle Serveur Restreindre Points
d'extrémité
AddEndpoint
Engineer Sécurité Rôle Serveur Restreindre Points
d'extrémité
RemoveEndpoint
Supervisor Sécurité Rôle Serveur IdentityManagement
AddIdentity
Supervisor Sécurité Rôle Serveur IdentityManagement
RemoveIdentity
Supervisor Sécurité Rôle Serveur Restreindre Applications
ApplicationsExclude
Supervisor Sécurité Rôle Serveur Restreindre Applications
Applications
Supervisor Sécurité Rôle Serveur Restreindre Applications
AddApplication
Supervisor Sécurité Rôle Serveur Restreindre Applications
RemoveApplication
Supervisor Sécurité Rôle Serveur Restreindre Points
d'extrémité
EndpointsExclude
Supervisor Sécurité Rôle Serveur Restreindre Points
d'extrémité
Endpoints
Supervisor Sécurité Rôle Serveur Restreindre Points
d'extrémité
AddEndpoint
Supervisor Sécurité Rôle Serveur Restreindre Points
d'extrémité
RemoveEndpoint
BrowsePath Unités de Conformité
ConfigureAdmin Sécurité Rôle Serveur IdentityManagement
AddIdentity
ConfigureAdmin Sécurité Rôle Serveur IdentityManagement
RemoveIdentity
ConfigureAdmin Sécurité Rôle Serveur Restreindre Applications
ApplicationsExclude
ConfigureAdmin Sécurité Rôle Serveur Restreindre Applications
Applications
ConfigureAdmin Sécurité Rôle Serveur Restreindre Applications
AddApplication
ConfigureAdmin Sécurité Rôle Serveur Restreindre Applications
RemoveApplication
ConfigureAdmin Sécurité Rôle Serveur Restreindre Points
d'extrémité
EndpointsExclude
ConfigureAdmin Sécurité Rôle Serveur Restreindre Points
d'extrémité
Endpoints
ConfigureAdmin Sécurité Rôle Serveur Restreindre Points
d'extrémité
AddEndpoint
ConfigureAdmin Sécurité Rôle Serveur Restreindre Points
d'extrémité
RemoveEndpoint
SecurityAdmin Sécurité Rôle Serveur IdentityManagement
AddIdentity
SecurityAdmin Sécurité Rôle Serveur IdentityManagement
RemoveIdentity
SecurityAdmin Sécurité Rôle Serveur Restreindre Applications
ApplicationsExclude
SecurityAdmin Sécurité Rôle Serveur Restreindre Applications
Applications
SecurityAdmin Sécurité Rôle Serveur Restreindre Applications
AddApplication
SecurityAdmin Sécurité Rôle Serveur Restreindre Applications
RemoveApplication
SecurityAdmin Sécurité Rôle Serveur Restreindre Points
d'extrémité
EndpointsExclude
SecurityAdmin Sécurité Rôle Serveur Restreindre Points
d'extrémité
Endpoints
SecurityAdmin Sécurité Rôle Serveur Restreindre Points
d'extrémité
AddEndpoint
SecurityAdmin Sécurité Rôle Serveur Restreindre Points
d'extrémité
RemoveEndpoint
4.4 RoleType
4.4.1 Définition de RoleType
Chaque Objet Rôle dispose des Propriétés et Méthodes définies par le RoleType qui est défini
de manière formelle dans le Tableau 4.
Tableau 4 – Définition de RoleType
Attribut Valeur
BrowseName RoleType
IsAbstract False
Références NodeClass BrowseName DataType TypeDefinition ModellingRule
Sous-type de BaseObjectType
HasProperty Variable Identities IdentityMapping PropertyType Mandatory
RuleType []
HasProperty Variable Applications Boolean PropertyType Optional
Exclude
HasProperty Variable Applications String [] PropertyType Optional
HasProperty Variable Endpoints Boolean PropertyType Optional
Exclude
HasProperty Variable Endpoints EndpointType [] PropertyType Optional
HasProperty Variable Custom Boolean PropertyType Optional
Configuration
HasComponent Method AddIdentity Défini au 4.4.5. Optional
HasComponent Method RemoveIdentity Défini au 4.4.6. Optional
HasComponent Method AddApplication Défini au 4.4.7. Optional
HasComponent Method Remove Défini au 4.4.8. Optional
Application
HasComponent Method AddEndpoint Défini au 4.4.9. Optional
HasComponent Method RemoveEndpoint Défini au 4.4.10. Optional
Unités de Conformité
Informations de base ServerType

Les Propriétés et Méthodes du RoleType contiennent des informations sensibles sur la sécurité
et ne doivent pouvoir être parcourues, lues, modifiées et appelées que par des administrateurs
autorisés à travers un canal chiffré.
La configuration des Rôles est effectuée par des appels de Méthode. Les seules exceptions
sont les Propriétés ApplicationsExclude et EndpointsExclude. Les deux Propriétés sont
configurées à l'aide du Service Write. Toutes les autres Propriétés sont configurées à l'aide des
appels de Méthode correspondants. Le bit CurrentWrite de l'Attribut AccessLevel pour les
Propriétés Identities, Applications et Endpoints doit être FALSE.
La Propriété Identities spécifie les règles actuellement configurées pour le mapping d'un
UserIdentityToken vers le Rôle. Si cette Propriété est une matrice vide et que
CustomConfiguration n'est pas TRUE, le Rôle ne peut alors être attribué à aucune Session.
Le Rôle doit uniquement être attribué à la Session si l'ensemble des conditions suivantes sont
vraies:
• le UserIdentityToken est conforme à Identities;
• la Propriété Applications n'est pas configurée ou le Certificat Client est conforme aux
paramètres Applications;
• la Propriété Endpoints n'est pas configurée ou le Point d'extrémité utilisé est conforme aux
paramètres Endpoints.
La Propriété ApplicationsExclude définit la Propriété Applications comme étant une liste
d'inclusion ou d'exclusion. Si la Propriété ApplicationsExclude n'est pas fournie ou a une valeur
FALSE, alors seuls les Certificats ApplicationInstance inclus dans la Propriété Applications
doivent être inclus dans ce Rôle. Aucun autre Certificat ApplicationInstance ne doit être inclus
dans ce Rôle. Si cette Propriété a une valeur TRUE, tous les Certificats ApplicationInstance
inclus dans la Propriété Applications doivent alors être exclus de ce Rôle. Tous les autres
Certificats ApplicationInstance doivent être inclus dans ce Rôle. Si la Propriété Applications est
fournie avec une matrice vide et s'il convient d'inclure tous les Certificats ApplicationInstance,
la Propriété ApplicationsExclude doit être présente et la valeur doit être TRUE.
La Propriété Applications spécifie les Certificats ApplicationInstance de Clients qui doivent être
inclus dans ou exclus de ce Rôle. Chaque élément de la matrice est un ApplicationUri d'un
Certificat de Client jugé fiable par le Serveur. Si les Applications sont configurées de manière
à inclure ou à exclure, le Rôle ne doit être attribué que si la Session utilise au moins un canal
de communication signé.
La Propriété EndpointsExclude définit la Propriété Endpoints comme étant une liste d'inclusion
ou d'exclusion. Si cette Propriété n'est pas fournie ou a une valeur FALSE, alors seuls les
Points d'extrémité inclus dans la Propriété Endpoints doivent être inclus dans ce Rôle. Aucun
autre Point d'extrémité ne doit être inclus dans ce Rôle. Si cette Propriété a une valeur TRUE,
tous les Points d'extrémité inclus dans la Propriété Endpoints doivent alors être exclus de ce
Rôle. Tous les autres Endpoints doivent être inclus dans ce Rôle. Si la Propriété Endpoints est
fournie avec une matrice vide et s'il convient d'inclure tous les points d'extrémité, la Propriété
EndpointsExclude doit être présente et la valeur doit être TRUE.
La Propriété Endpoints spécifie les Points d'extrémité qui doivent être inclus dans ou exclus de
ce Rôle. Chaque élément de la matrice est un EndpointType qui contient une description de
Point d'extrémité. L'EndpointUrl et les autres paramètres Endpoint sont comparés au Point
d'extrémité configuré qui est utilisé par le SecureChannel pour la Session. Le DataType
EndpointType est défini au 4.4.2. Les champs ayant des valeurs par défaut définies dans le
DataType EndpointType sont ignorés durant la comparaison.
La Propriété CustomConfiguration indique que la configuration du Rôle et son attribution aux
Sessions sont spécifiques au fournisseur. Les Rôles sont nécessaires pour la prise en charge de
l'Attribut RolePermissions. Si un Serveur souhaite prendre en charge les RolePermissions, mais
n'est pas en mesure de prendre en charge la fonctionnalité standard de Rôle, il peut l'indiquer à l'aide
de la Propriété CustomConfiguration. Si CustomConfiguration est TRUE, le Serveur peut cacher
complètement les options de configuration ou le Serveur peut fournir des options de
configuration supplémentaires spécifiques au fournisseur.
La Méthode AddIdentity ajoute une règle utilisée pour mapper un UserIdentityToken au Rôle.
Si le Serveur n'autorise pas la modification des règles de mapping, alors la Méthode n'est pas
présente. Il convient qu'un Serveur empêche certaines règles d'être ajoutées à des Rôles
particuliers. Il convient par exemple qu'un Serveur refuse d'autoriser l'ajout d'une règle de
mapping ANONYMOUS_5 (voir 4.4.2) aux Rôles ayant des privilèges d'administrateur.
La Méthode RemoveIdentity supprime une règle de mapping utilisée pour mapper un
UserIdentityToken au Rôle. Si le Serveur n'autorise pas la modification des règles de mapping,
alors la Méthode n'est pas présente.
La Méthode AddApplication ajoute un Certificat ApplicationInstance à la liste d'Applications. Si
le Serveur n'applique pas de restrictions d'application ou n'autorise pas la modification des
règles de mapping pour le Rôle, la Méthode n'est pas présente.
La Méthode RemoveApplication retire un Certificat ApplicationInstance de la liste
d'Applications. Si le Serveur n'applique pas de restrictions d'application ou n'autorise pas la
modification des règles de mapping pour le Rôle, la Méthode n'est pas présente.
4.4.2 EndpointType
Cette structure décrit un Point d'extrémité. L'EndpointType est défini de manière formelle dans
le Tableau 5.
Tableau 5 – Structure d'EndpointType
Nom Type Description
EndpointType structure
endpointUrl String URL du Point d'extrémité.
securityMode MessageSecurityMode Type de sécurité du message.
Le type MessageSecurityMode est défini dans l'IEC 62541-4.
La valeur par défaut est MessageSecurityMode Invalid. Ce
champ est ignoré pour la comparaison si la valeur par défaut
est adoptée.
securityPolicyUri String URI de la SecurityPolicy.
La valeur par défaut est une Chaîne vide ou nulle. Ce champ
est ignoré pour la comparaison si la valeur par défaut est
adoptée.
transportProfileUri String URI du Profil de Transport.
La valeur par défaut est une Chaîne vide ou nulle. Ce champ
est ignoré pour la comparaison si la valeur par défaut est
adoptée.
La représentation de la Structure EndpointType dans l'AddressSpace est définie dans le
Tableau 6.
Tableau 6 – Définition d'EndpointType
Attributs Valeur
BrowseName EndpointType
IsAbstract False
Références NodeClass BrowseName IsAbstract Description
Sous-type de Structure défini dans l'IEC 62541-5.
Unités de Conformité
Informations de base ServerType

4.4.3 IdentityMappingRuleType
La structure IdentityMappingRuleType définit une seule règle pour choisir un
UserIdentityToken. La structure est décrite dans le Tableau 7.
Tableau 7 – IdentityMappingRuleType
Nom Type Description
IdentityMappingRuleType Structure Spécifie une règle utilisée pour mapper un
UserIdentityToken vers un Rôle.
criteriaType Enumeration Type des critères contenus dans la règle de mapping
d'identité. L'IdentityCriteriaType est défini au 4.4.4.
IdentityCriteriaType
criteria String Critères qu'il importe que le UserIdentityToken respecte afin
de permettre le mapping d'une Session vers le Rôle. La
signification de ces critères dépend du criteriaType. Les
critères sont une chaîne nulle ou vide pour Anonymous et
AuthenticatedUser.
Si le criteriaType est UserName, le critère est le nom d'un utilisateur connu du Serveur. Par
exemple, l'utilisateur peut être le nom d'un compte de système d'exploitation local ou d'un
utilisateur géré par le serveur, comme cela est défini au 5.2.
Si le criteriaType est Thumbprint, le critère est une empreinte d'un Certificat d'utilisateur
immédiat ou d'un Certificat d'émetteur dans sa chaîne, considéré comme fiable par le Serveur.
Pour les critères, l'empreinte doit être codée sous la forme d'une chaîne hexadécimale avec
des caractères majuscules et sans espaces.
Si le criteriaType est Role, le critère est le nom d'une restriction trouvée dans le Jeton d'accès.
Par exemple, le Rôle "subscriber" peut seulement être autorisé à avoir accès aux Nœuds liés
à PubSub.
Si le criteriaType est GroupId, le critère est un identificateur de texte générique pour un groupe
d'utilisateurs spécifique au Service d'autorisation. Par exemple, un Service d'autorisation
assurant l'accès à un Répertoire actif peut ajouter un ou plusieurs Groupes de sécurité Windows
au Jeton d'accès. L'IEC 62541-6 définit la manière d'ajouter des groupes aux Jetons d'accès.
Si le criteriaType est Anonymous, le critère est une chaîne nulle ou vide qui indique qu'aucun
authentifiant d'utilisateur n'a été fourni.
Si le criteriaType est AuthenticatedUser, le critère est une chaîne nulle ou vide qui indique tout
authentifiant d'utilisateur valide fourni.
Si le criteriaType est Application, le critère est l'ApplicationUri du Certificat Client utilisé pour
la Session. Le Certificat Client doit être jugé fiable par le Serveur et la Session doit utiliser au
moins un canal de communication signé. Ce type de critère est utilisé s'il convient d'attribuer
un Rôle à une Session pour l'Authentification de l'Application avec un UserIdentityToken
Anonymous. S'il convient d'accorder un Rôle à une Session pour une Authentification
d'Application combinée à une Authentification d'Utilisateur, la Propriété Applications sur le
RoleType est combinée avec la Propriété Identities sur le RoleType, comme cela est défini
au 4.4.1.
Si le criteriaType est X509Subject, le critère est le nom de sujet X509 du Certificat d'un
utilisateur jugé fiable par le Serveur. Le format du critère du nom de sujet est composé d'une
séquence de paires nom-valeur séparées par le symbole "/". Le nom doit être l'une des entrées
du Tableau 8 et doit être suivi du symbole "=", puis de la valeur, qui est toujours entourée de
guillemets ('"'). L'ordre doit être celui indiqué dans le Tableau 8, en commençant par le plus
petit numéro. Toutes les valeurs du Tableau 8 présentes dans le Certificat doivent être incluses
dans les critères, les autres ne doivent pas être incluses. La valeur peut être tout caractère
affichable, sauf '"'. Par exemple: CN="User Name"/O="Company".
...

IEC 62541-18 ®
Edition 1.0 2025-08
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
OPC unified architecture -
Part 18: Role-Based Security
Architecture unifiée OPC -
Partie 18: Sécurité fondée sur les rôles
ICS 25.040  ISBN 978-2-8327-0611-4

All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or
by any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either
IEC or IEC's member National Committee in the country of the requester. If you have any questions about IEC copyright
or have an enquiry about obtaining additional rights to this publication, please contact the address below or your local
IEC member National Committee for further information.

Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et
les microfilms, sans l'accord écrit de l'IEC ou du Comité national de l'IEC du pays du demandeur. Si vous avez des
questions sur le copyright de l'IEC ou si vous désirez obtenir des droits supplémentaires sur cette publication, utilisez
les coordonnées ci-après ou contactez le Comité national de l'IEC de votre pays de résidence.

IEC Secretariat Tel.: +41 22 919 02 11
3, rue de Varembé info@iec.ch
CH-1211 Geneva 20 www.iec.ch
Switzerland
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.

About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigendum or an amendment might have been published.

IEC publications search - IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Discover our powerful search engine and read freely all the
The advanced search enables to find IEC publications by a publications previews, graphical symbols and the glossary.
variety of criteria (reference number, text, technical With a subscription you will always have access to up to date
committee, …). It also gives information on projects, content tailored to your needs.

replaced and withdrawn publications.
Electropedia - www.electropedia.org
IEC Just Published - webstore.iec.ch/justpublished The world's leading online dictionary on electrotechnology,
Stay up to date on all new IEC publications. Just Published containing more than 22 500 terminological entries in English
details all new publications released. Available online and and French, with equivalent terms in 25 additional languages.
Also known as the International Electrotechnical Vocabulary
once a month by email.
(IEV) online.
IEC Customer Service Centre - webstore.iec.ch/csc
If you wish to give us your feedback on this publication or
need further assistance, please contact the Customer
Service Centre: sales@iec.ch.
A propos de l'IEC
La Commission Electrotechnique Internationale (IEC) est la première organisation mondiale qui élabore et publie des
Normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.

A propos des publications IEC
Le contenu technique des publications IEC est constamment revu. Veuillez vous assurer que vous possédez l’édition la
plus récente, un corrigendum ou amendement peut avoir été publié.

Recherche de publications IEC -  IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Découvrez notre puissant moteur de recherche et consultez
La recherche avancée permet de trouver des publications gratuitement tous les aperçus des publications, symboles
IEC en utilisant différents critères (numéro de référence, graphiques et le glossaire. Avec un abonnement, vous aurez
texte, comité d’études, …). Elle donne aussi des toujours accès à un contenu à jour adapté à vos besoins.
informations sur les projets et les publications remplacées
ou retirées. Electropedia - www.electropedia.org
Le premier dictionnaire d'électrotechnologie en ligne au
IEC Just Published - webstore.iec.ch/justpublished monde, avec plus de 22 500 articles terminologiques en
Restez informé sur les nouvelles publications IEC. Just anglais et en français, ainsi que les termes équivalents
Published détaille les nouvelles publications parues. dans 25 langues additionnelles. Egalement appelé
Disponible en ligne et une fois par mois par email. Vocabulaire Electrotechnique International (IEV) en ligne.

Service Clients - webstore.iec.ch/csc
Si vous désirez nous donner des commentaires sur cette
publication ou si vous avez des questions contactez-
nous: sales@iec.ch.
CONTENTS
FOREWORD. 3
1 Scope . 5
2 Normative references . 5
3 Terms and definitions . 5
3.1 Terms and definitions . 5
4 Role Model . 5
4.1 General . 5
4.2 RoleSetType . 6
4.2.1 RoleSetType definition . 6
4.2.2 AddRole Method . 7
4.2.3 RemoveRole Method . 8
4.3 RoleSet . 8
4.4 RoleType . 13
4.4.1 RoleType definition . 13
4.4.2 EndpointType . 15
4.4.3 IdentityMappingRuleType . 16
4.4.4 IdentityCriteriaType . 18
4.4.5 AddIdentity Method . 18
4.4.6 RemoveIdentity Method . 19
4.4.7 AddApplication Method . 19
4.4.8 RemoveApplication Method . 20
4.4.9 AddEndpoint Method . 21
4.4.10 RemoveEndpoint Method . 21
4.5 RoleMappingRuleChangedAuditEventType . 22
5 User Management Model . 22
5.1 General . 22
5.2 UserManagementType . 23
5.2.1 UserManagementType definition . 23
5.2.2 PasswordOptionsMask . 24
5.2.3 UserConfigurationMask . 25
5.2.4 UserManagementDataType . 25
5.2.5 AddUser Method . 26
5.2.6 ModifyUser Method . 27
5.2.7 RemoveUser Method . 27
5.2.8 ChangePassword Method . 28
5.3 UserManagement . 29
Bibliography . 30

Figure 1 – Role management overview . 6
Figure 2 – User management overview . 23

Table 1 – RoleSetType definition . 6
Table 2 – RoleSet definition . 9
Table 3 – RoleSet Additional Conformance Units . 9
Table 4 – RoleType definition . 14
Table 5 – EndpointType Structure . 16
Table 6 – EndpointType definition . 16
Table 7 – IdentityMappingRuleType . 16
Table 8 – Order for subject name criteria . 17
Table 9 – IdentityMappingRuleType definition . 18
Table 10 – IdentityCriteriaType Values . 18
Table 11 – IdentityCriteriaType Definition . 18
Table 12 – RoleMappingRuleChangedAuditEventType definition . 22
Table 13 – UserManagementType definition . 23
Table 14 – PasswordOptionsMask values . 24
Table 15 – PasswordOptionsMask definition . 24
Table 16 – UserConfigurationMask values . 25
Table 17 – UserConfigurationMask definition . 25
Table 18 – UserManagementDataType structure . 25
Table 19 – DataSetMetaDataType definition . 26
Table 20 – UserManagement definition . 29

INTERNATIONAL ELECTROTECHNICAL COMMISSION
____________
OPC unified architecture -
Part 18: Role-Based Security
FOREWORD
1) The International Electrotechnical Commission (IEC) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of IEC is to promote international
co-operation on all questions concerning standardization in the electrical and electronic fields. To this end and
in addition to other activities, IEC publishes International Standards, Technical Specifications, Technical Reports,
Publicly Available Specifications (PAS) and Guides (hereafter referred to as "IEC Publication(s)"). Their
preparation is entrusted to technical committees; any IEC National Committee interested in the subject dealt with
may participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. IEC collaborates closely with the International Organization for
Standardization (ISO) in accordance with conditions determined by agreement between the two organizations.
2) The formal decisions or agreements of IEC on technical matters express, as nearly as possible, an international
consensus of opinion on the relevant subjects since each technical committee has representation from all
interested IEC National Committees.
3) IEC Publications have the form of recommendations for international use and are accepted by IEC National
Committees in that sense. While all reasonable efforts are made to ensure that the technical content of IEC
Publications is accurate, IEC cannot be held responsible for the way in which they are used or for any
misinterpretation by any end user.
4) In order to promote international uniformity, IEC National Committees undertake to apply IEC Publications
transparently to the maximum extent possible in their national and regional publications. Any divergence between
any IEC Publication and the corresponding national or regional publication shall be clearly indicated in the latter.
5) IEC itself does not provide any attestation of conformity. Independent certification bodies provide conformity
assessment services and, in some areas, access to IEC marks of conformity. IEC is not responsible for any
services carried out by independent certification bodies.
6) All users should ensure that they have the latest edition of this publication.
7) No liability shall attach to IEC or its directors, employees, servants or agents including individual experts and
members of its technical committees and IEC National Committees for any personal injury, property damage or
other damage of any nature whatsoever, whether direct or indirect, or for costs (including legal fees) and
expenses arising out of the publication, use of, or reliance upon, this IEC Publication or any other IEC
Publications.
8) Attention is drawn to the Normative references cited in this publication. Use of the referenced publications is
indispensable for the correct application of this publication.
9) IEC draws attention to the possibility that the implementation of this document may involve the use of (a)
patent(s). IEC takes no position concerning the evidence, validity or applicability of any claimed patent rights in
respect thereof. As of the date of publication of this document, IEC had not received notice of (a) patent(s), which
may be required to implement this document. However, implementers are cautioned that this may not represent
the latest information, which may be obtained from the patent database available at https://patents.iec.ch. IEC
shall not be held responsible for identifying any or all such patent rights.
IEC 62541-18 has been prepared by subcommittee 65E: Devices and integration in enterprise
systems, of IEC technical committee 65: Industrial-process measurement, control and
automation. It is an International Standard.
The text of this International Standard is based on the following documents:
Draft Report on voting
65E/1043/CDV 65E/1101/RVC
Full information on the voting for its approval can be found in the report on voting indicated in
the above table.
The language used for the development of this International Standard is English.
This document was drafted in accordance with ISO/IEC Directives, Part 2, and developed in
accordance with ISO/IEC Directives, Part 1 and ISO/IEC Directives, IEC Supplement, available
at www.iec.ch/members_experts/refdocs. The main document types developed by IEC are
described in greater detail at www.iec.ch/publications.
Throughout this document and the other Parts of the series, certain document conventions are
used:
Italics are used to denote a defined term or definition that appears in the "Terms and definitions"
clause in one of the parts of the series.
Italics are also used to denote the name of a service input or output parameter or the name of
a structure or element of a structure that are usually defined in tables.
The italicized terms and names are also often written in camel-case (the practice of writing
compound words or phrases in which the elements are joined without spaces, with each
element's initial letter capitalized within the compound). For example, the defined term is
AddressSpace instead of Address Space. This makes it easier to understand that there is a
single definition for AddressSpace, not separate definitions for Address and Space.
A list of all parts in the IEC 62541 series, published under the general title OPC Unified
Architecture, can be found on the IEC website.
The committee has decided that the contents of this document will remain unchanged until the
stability date indicated on the IEC website under webstore.iec.ch in the data related to the
specific document. At this date, the document will be
• reconfirmed,
• withdrawn, or
• revised.
1 Scope
This part of IEC 62541 defines an Information Model. The Information Model describes the basic
infrastructure to model role-based security.
NOTE In the previous version, Role-Based Security was in IEC 62541-5:2020, Annex F.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies.
For undated references, the latest edition of the referenced document (including any
amendments) applies.
IEC 62541-1, OPC Unified Architecture – Part 1: Overview and Concepts
IEC 62541-3, OPC Unified Architecture – Part 3: Address Space Model
IEC 62541-4, OPC Unified Architecture – Part 4: Services
IEC 62541-5, OPC Unified Architecture – Part 5: Information Model
IEC 62541-6, OPC Unified Architecture – Part 6: Mappings
IEC 62541-8, OPC Unified Architecture – Part 8: Data Access
IEC 62541-12, OPC Unified Architecture – Part 12: Discovery and Global Services
3 Terms and definitions
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in IEC 62541-1, IEC 62541-3
and IEC 62541-5 apply.
ISO and IEC maintain terminology databases for use in standardization at the following
addresses:
• IEC Electropedia: available at https://www.electropedia.org/
• ISO Online browsing platform: available at https://www.iso.org/obp
4 Role Model
4.1 General
OPC UA defines a standard approach for implementing role-based security. Servers can choose
to implement part or all of the mechanisms defined here. The OPC UA approach assigns
Permissions to Roles for each Node in the AddressSpace. Clients are then granted Roles when
they create a Session based on the information provided by the Client.
Roles are used to separate authentication (determining who a Client is with a user token and
Client application identity) from authorization (Permissions determining what the Client is
allowed to do). By separating these tasks Servers can allow centralized services to manage
user identities and credentials while the Server only manages the Permissions on its Nodes
assigned to Roles.
IEC 62541-3 defines the possible Permissions and the representation as Node Attributes.
Figure 1 depicts the ObjectTypes, Objects and their components used to represent the Role
management.
Figure 1 – Role management overview
4.2 RoleSetType
4.2.1 RoleSetType definition
The RoleSet Object defined in IEC 62541-5 is a RoleSetType which is formally defined in
Table 1.
Table 1 – RoleSetType definition
Attribute Value
BrowseName RoleSetType
IsAbstract False
References Node Class BrowseName DataType TypeDefinition Modelling Rule
Subtype of BaseObjectType defined in IEC 62541-5
HasComponent Object  RoleType OptionalPlacehold
er
HasComponent Method AddRole Defined in 4.2.2 Mandatory
HasComponent Method RemoveRole Defined in 4.2.3. Mandatory
Conformance Units
Base Info ServerType
The AddRole Method allows configuration Clients to add a new Role to the Server.
The RemoveRole Method allows configuration Clients to remove a Role from the Server.
4.2.2 AddRole Method
This Method is used to add a Role to the RoleSet Object.
The combination of the NamespaceUri and RoleName parameters are used to construct the
BrowseName for the new Node. The BrowseName shall be unique within the RoleSet Object.
If the optional Properties EndpointsExclude and ApplicationsExclude are available on the Role
Object created with this Method, the initial values of the EndpointsExclude and
ApplicationsExclude Properties shall be TRUE.
The Client shall use an encrypted channel and shall provide user credentials with administrator
rights like SecurityAdmin Role when invoking this Method on the Server.
IEC 62541-3 defines well-known Roles. If this Method is used to add a well-known Role, the
name of the Role from IEC 62541-3 is used together with the OPC UA namespace URI. The
Server shall use the NodeIds for the well-known Roles in this case. The NodeIds for the well-
known Roles are defined in IEC 62541-6.
Signature
AddRole (
[in] String  RoleName,
[in] String  NamespaceUri,
[out] NodeId  RoleNodeId
);
Argument Description
RoleName The name of the Role.
NamespaceUri The NamespaceUri qualifies the RoleName. If this value is null or empty then the
resulting BrowseName will be qualified by the Server's NamespaceUri.
RoleNodeId The NodeId assigned by the Server to the new Node.

Method Result Codes
ResultCode Description
Bad_InvalidArgument The RoleName or NamespaceUri is not valid.
The text associated with the error shall indicate the exact problem.
Bad_NotSupported The Server does not allow more Roles to be added.
Bad_UserAccessDenied The caller does not have the necessary Permissions.
Bad_AlreadyExists The Role already exists in the Server.
Bad_ResourceUnavailable The Server does not have enough resources to add the role.

4.2.3 RemoveRole Method
This Method is used to remove a Role from the RoleSet Object.
The RoleNodeId is the NodeId of the Role Object to remove.
The Server can prohibit the removal of some Roles because they are necessary for the Server
to function.
If a Role is removed all Permissions associated with the Role are deleted as well. Ideally these
changes should take effect immediately; however, some lag can occur.
The Client shall use an encrypted channel and shall provide user credentials with administrator
rights like SecurityAdmin Role when invoking this Method on the Server.
Signature
RemoveRole (
[in] NodeId RoleNodeId
);
Argument Description
RoleNodeId The NodeId of the Role Object.

Method Result Codes
ResultCode Description
Bad_NodeIdUnknown The specified Role Object does not exist.
Bad_NotSupported The Server does not allow the Role Object to be removed.
Bad_UserAccessDenied The caller does not have the necessary Permissions.
Bad_RequestNotAllowed The specified Role Object cannot be removed.

4.3 RoleSet
The RoleSet Object defined in Table 2 is used to publish all Roles supported by the Server.
Table 2 – RoleSet definition
Attribute Value
BrowseName RoleSet
References Node Class BrowseName DataType TypeDefinition Modelling Rule
ComponentOf the ServerCapabilities Object defined in IEC 62541-5
HasTypeDefinition ObjectType RoleSetType
HasComponent Object Anonymous RoleType
HasComponent Object AuthenticatedUser RoleType
HasComponent Object Observer RoleType
HasComponent Object Operator RoleType
HasComponent Object Engineer RoleType
HasComponent Object Supervisor RoleType
HasComponent Object ConfigureAdmin RoleType
HasComponent Object SecurityAdmin RoleType
Conformance Units
Security Role Server Base 2
Servers should support the well-known Roles which are defined in IEC 62541-3.
The default Identities for the Anonymous Role should be Identities with the criteriaType
IdentityCriteriaType.Anonymous and the criteriaType IdentityCriteriaType.AuthenticatedUser.
The default Identities for the AuthenticatedUser Role should be an identity with the criteriaType
IdentityCriteriaType.AuthenticatedUser.
The additional definition for the conformance units of the instances is defined in Table 3.
Table 3 – RoleSet Additional Conformance Units
BrowsePath Conformance Units
AddRole Security Role Server Management
RemoveRole Security Role Server Management
ConfigureAdmin Security Role Well Known
SecurityAdmin Security Role Well Known
Anonymous Security Role Well Known Group 2
AuthenticatedUser Security Role Well Known Group 2
Observer Security Role Well Known Group 3
Operator Security Role Well Known Group 3
Engineer Security Role Well Known Group 3
Supervisor Security Role Well Known Group 3
Anonymous Security Role Server IdentityManagement
AddIdentity
Anonymous Security Role Server IdentityManagement
RemoveIdentity
Anonymous Security Role Server Restrict Applications
ApplicationsExclude
BrowsePath Conformance Units
Anonymous Security Role Server Restrict Applications
Applications
Anonymous Security Role Server Restrict Applications
AddApplication
Anonymous Security Role Server Restrict Applications
RemoveApplication
Anonymous Security Role Server Restrict Endpoints
EndpointsExclude
Anonymous Security Role Server Restrict Endpoints
Endpoints
Anonymous Security Role Server Restrict Endpoints
AddEndpoint
Anonymous Security Role Server Restrict Endpoints
RemoveEndpoint
AuthenticatedUser Security Role Server IdentityManagement
AddIdentity
AuthenticatedUser Security Role Server IdentityManagement
RemoveIdentity
AuthenticatedUser Security Role Server Restrict Applications
ApplicationsExclude
AuthenticatedUser Security Role Server Restrict Applications
Applications
AuthenticatedUser Security Role Server Restrict Applications
AddApplication
AuthenticatedUser Security Role Server Restrict Applications
RemoveApplication
AuthenticatedUser Security Role Server Restrict Endpoints
EndpointsExclude
AuthenticatedUser Security Role Server Restrict Endpoints
Endpoints
AuthenticatedUser Security Role Server Restrict Endpoints
AddEndpoint
AuthenticatedUser Security Role Server Restrict Endpoints
RemoveEndpoint
Observer Security Role Server IdentityManagement
AddIdentity
Observer Security Role Server IdentityManagement
RemoveIdentity
Observer Security Role Server Restrict Applications
ApplicationsExclude
Observer Security Role Server Restrict Applications
Applications
Observer Security Role Server Restrict Applications
AddApplication
BrowsePath Conformance Units
Observer Security Role Server Restrict Applications
RemoveApplication
Observer Security Role Server Restrict Endpoints
EndpointsExclude
Observer Security Role Server Restrict Endpoints
Endpoints
Observer Security Role Server Restrict Endpoints
AddEndpoint
Observer Security Role Server Restrict Endpoints
RemoveEndpoint
Operator Security Role Server IdentityManagement
AddIdentity
Operator Security Role Server IdentityManagement
RemoveIdentity
Operator Security Role Server Restrict Applications
ApplicationsExclude
Operator Security Role Server Restrict Applications
Applications
Operator Security Role Server Restrict Applications
AddApplication
Operator Security Role Server Restrict Applications
RemoveApplication
Operator Security Role Server Restrict Endpoints
EndpointsExclude
Operator Security Role Server Restrict Endpoints
Endpoints
Operator Security Role Server Restrict Endpoints
AddEndpoint
Operator Security Role Server Restrict Endpoints
RemoveEndpoint
Engineer Security Role Server IdentityManagement
AddIdentity
Engineer Security Role Server IdentityManagement
RemoveIdentity
Engineer Security Role Server Restrict Applications
ApplicationsExclude
Engineer Security Role Server Restrict Applications
Applications
Engineer Security Role Server Restrict Applications
AddApplication
Engineer Security Role Server Restrict Applications
RemoveApplication
Engineer Security Role Server Restrict Endpoints
EndpointsExclude
BrowsePath Conformance Units
Engineer Security Role Server Restrict Endpoints
Endpoints
Engineer Security Role Server Restrict Endpoints
AddEndpoint
Engineer Security Role Server Restrict Endpoints
RemoveEndpoint
Supervisor Security Role Server IdentityManagement
AddIdentity
Supervisor Security Role Server IdentityManagement
RemoveIdentity
Supervisor Security Role Server Restrict Applications
ApplicationsExclude
Supervisor Security Role Server Restrict Applications
Applications
Supervisor Security Role Server Restrict Applications
AddApplication
Supervisor Security Role Server Restrict Applications
RemoveApplication
Supervisor Security Role Server Restrict Endpoints
EndpointsExclude
Supervisor Security Role Server Restrict Endpoints
Endpoints
Supervisor Security Role Server Restrict Endpoints
AddEndpoint
Supervisor Security Role Server Restrict Endpoints
RemoveEndpoint
ConfigureAdmin Security Role Server IdentityManagement
AddIdentity
ConfigureAdmin Security Role Server IdentityManagement
RemoveIdentity
ConfigureAdmin Security Role Server Restrict Applications
ApplicationsExclude
ConfigureAdmin Security Role Server Restrict Applications
Applications
ConfigureAdmin Security Role Server Restrict Applications
AddApplication
ConfigureAdmin Security Role Server Restrict Applications
RemoveApplication
ConfigureAdmin Security Role Server Restrict Endpoints
EndpointsExclude
ConfigureAdmin Security Role Server Restrict Endpoints
Endpoints
ConfigureAdmin Security Role Server Restrict Endpoints
AddEndpoint
BrowsePath Conformance Units
ConfigureAdmin Security Role Server Restrict Endpoints
RemoveEndpoint
SecurityAdmin Security Role Server IdentityManagement
AddIdentity
SecurityAdmin Security Role Server IdentityManagement
RemoveIdentity
SecurityAdmin Security Role Server Restrict Applications
ApplicationsExclude
SecurityAdmin Security Role Server Restrict Applications
Applications
SecurityAdmin Security Role Server Restrict Applications
AddApplication
SecurityAdmin Security Role Server Restrict Applications
RemoveApplication
SecurityAdmin Security Role Server Restrict Endpoints
EndpointsExclude
SecurityAdmin Security Role Server Restrict Endpoints
Endpoints
SecurityAdmin Security Role Server Restrict Endpoints
AddEndpoint
SecurityAdmin Security Role Server Restrict Endpoints
RemoveEndpoint
4.4 RoleType
4.4.1 RoleType definition
Each Role Object has the Properties and Methods defined by the RoleType which is formally
defined in Table 4.
Table 4 – RoleType definition
Attribute Value
BrowseName RoleType
IsAbstract False
References Node Class BrowseName DataType TypeDefinition Modelling Rule
Subtype of BaseObjectType
HasProperty Variable Identities IdentityMapping PropertyType Mandatory
RuleType []
HasProperty Variable ApplicationsExclu Boolean PropertyType Optional
de
HasProperty Variable Applications String [] PropertyType Optional
HasProperty Variable EndpointsExclud Boolean PropertyType Optional
e
HasProperty Variable Endpoints EndpointType [] PropertyType Optional
HasProperty Variable CustomConfigura Boolean PropertyType Optional
tion
HasComponent Method AddIdentity Defined in 4.4.5. Optional
HasComponent Method RemoveIdentity Defined in 4.4.6. Optional
HasComponent Method AddApplication Defined in 4.4.7. Optional
HasComponent Method RemoveApplicati Defined in 4.4.8. Optional
on
HasComponent Method AddEndpoint Defined in 4.4.9. Optional
HasComponent Method RemoveEndpoint Defined in 4.4.10. Optional
Conformance Units
Base Info ServerType
The Properties and Methods of the RoleType contain sensitive security related information and
shall only be browseable, readable, writeable and callable by authorized administrators through
an encrypted channel.
The configuration of the Roles is done through Method calls. The only exceptions are the
ApplicationsExclude and EndpointsExclude Properties. The two Properties are configured with
the Write Service. All other Properties are configured with the corresponding Method calls. The
CurrentWrite bit of the AccessLevel Attribute for the Properties Identities, Applications and
Endpoints shall be FALSE.
The Identities Property specifies the currently configured rules for mapping a UserIdentityToken
to the Role. If this Property is an empty array and CustomConfiguration is not TRUE, then the
Role cannot be granted to any Session.
The Role shall only be granted to the Session if all of the following conditions are true:
• The UserIdentityToken complies with Identities.
• The Applications Property is not configured or the Client Certificate complies with the
Applications settings.
• The Endpoints Property is not configured or the Endpoint used complies with the Endpoints
settings.
The ApplicationsExclude Property defines the Applications Property as an include list or exclude
list. If the ApplicationsExclude Property is not provided or has a value of FALSE then only
ApplicationInstance Certificates included in the Applications Property shall be included in this
Role. All other ApplicationInstance Certificates shall not be included in this Role. If this Property
has a value of TRUE then all ApplicationInstance Certificates included in the Applications
Property shall be excluded from this Role. All other ApplicationInstance Certificates shall be
included in this Role. If the Applications Property is provided with an empty array and all
ApplicationInstance Certificates should be included, the ApplicationsExclude Property shall be
present and the value must be TRUE.
The Applications Property specifies the ApplicationInstance Certificates of Clients which shall
be included or excluded from this Role. Each element in the array is an ApplicationUri from a
Client Certificate which is trusted by the Server. If Applications are configured for include or
exclude, the Role shall only be granted if the Session uses at least a signed communication
channel.
The EndpointsExclude Property defines the Endpoints Property as an include list or exclude
list. If this Property is not provided or has a value of FALSE then only Endpoints included in the
Endpoints Property shall be included in this Role. All other Endpoints shall not be included in
this Role. If this Property has a value of TRUE then all Endpoints included in the Endpoints
Property shall be excluded from this Role. All other Endpoints shall be included in this Role. If
the Endpoints Property is provided with an empty array and all endpoints should be included,
the EndpointsExclude Property shall be present and the value must be TRUE.
The Endpoints Property specifies the Endpoints which shall be included or excluded from this
Role. Each element in the array is an EndpointType that contains an Endpoint description. The
EndpointUrl and the other Endpoint settings are compared with the configured Endpoint that is
used by the SecureChannel for the Session. The EndpointType DataType is defined in 4.4.2.
Fields that have default values as defined in the EndpointType DataType are ignored during
the comparison.
The CustomConfiguration Property indicates that the configuration of the Role and the
assignment of the Role to Sessions is vendor specific. Roles are required to support the
RolePermissions Attribute. If a Server want to support RolePermissions but is not able to support
the standard Role functionality, it can indicate this with the CustomConfiguration Property. If
CustomConfiguration is TRUE, the Server can hide the configuration options completely or the
Server can provide additional vendor specific configuration options.
The AddIdentity Method adds a rule used to map a UserIdentityToken to the Role. If the Server
does not allow changes to the mapping rules, then the Method is not present. A Server should
prevent certain rules from being added to particular Roles. For example, a Server should refuse
to allow an ANONYMOUS_5 (see 4.4.2) mapping rule to be added to Roles with administrator
privileges.
The RemoveIdentity Method removes a mapping rule used to map a UserIdentityToken to the
Role. If the Server does not allow changes to the mapping rules, then the Method is not present.
The AddApplication Method adds an ApplicationInstance Certificate to the list of Applications.
If the Server does not enforce application restrictions or does not allow changes to the mapping
rules for the Role the Method is not present.
The RemoveApplication Method removes an ApplicationInstance Certificate from the list of
Applications. If the Server does not enforce application restrictions or does not allow changes
to the mapping rules for the Role the Method is not present.
4.4.2 EndpointType
This structure describes an Endpoint. The EndpointType is formally defined in Table 5.
Table 5 – EndpointType Structure
Name Type Description
EndpointType structure
endpointUrl String The URL for the Endpoint.
securityMode MessageSecurityMode The type of message security.
The MessageSecurityMode type is defined in IEC 62541-4.
The default value is MessageSecurityMode Invalid. The field is
ignored for comparison if the default value is set.
securityPolicyUri String The URI of the SecurityPolicy.
The default value is an empty or null String. The field is ignored
for comparison if the default value is set.
transportProfileUri String The URI of the Transport Profile.
The default value is an empty or null String. The field is ignored
for comparison if the default value is set.

The EndpointType Structure representation in the AddressSpace is defined in Table 6.
Table 6 – EndpointType definition
Attributes Value
BrowseName EndpointType
IsAbstract False
References NodeClass BrowseName IsAbstract Description
Subtype of Structure defined in IEC 62541-5.
Conformance Units
Base Info ServerType
4.4.3 IdentityMappingRuleType
The IdentityMappingRuleType structure defines a single rule for selecting a UserIdentityToken.
The structure is described in Table 7.
Table 7 – IdentityMappingRuleType
Name Type Description
IdentityMappingRuleType Structure Specifies a rule used to map a UserIdentityToken to a Role.
criteriaType Enumeration The type of criteria contained in the identity mapping rule.
The IdentityCriteriaType is defined in 4.4.4.
IdentityCriteriaType
criteria String The criteria which the UserIdentityToken must meet for a
Session to be mapped to the Role. The meaning of the
criteria depends on the criteriaType. The criteria are a null
or empty string for Anonymous and AuthenticatedUser.

If the criteriaType is UserName, the criteria is a name of a user known to the Server, For
example, the user could be the name of a local operating system account or a user managed
by the server as defined in 5.2.
If the criteriaType is Thumbprint, the criteria is a thumbprint of an immediate user Certificate or
an issuer Certificate in its chain which is trusted by the Server. For the criteria, the thumbprint
shall be encoded as a hexadecimal string with upper case characters and without spaces.
If the criteriaType is Role, the criteria is a name of a restriction found in the Access Token. For
example, the Role "subscriber" can only be allowed to access PubSub related Nodes.
If the criteriaType is GroupId, the criteria is a generic text identifier for a user group specific to
the Authorization Service. For example, an Authorization Service providing access to an Active
Directory can add one or more Windows Security Groups to the Access Token. IEC 62541-6
defines on how groups are added to Access Tokens.
If the criteriaType is Anonymous, the criteria is a null or empty string which indicates no user
credentials have been provided.
If the criteriaType is AuthenticatedUser, the criteria is a null or empty string which indicates any
valid user credentials have been provided.
If the criteriaType is Application, the criteria is the ApplicationUri from the Client Certificate
used for the Session. The Client Certificate shall be trusted by the Server and the Session shall
use at least a signed communication channel. This criteria type is used if a Role should be
granted to a Session for Application Authentication with Anonymous UserIdentityToken. If a
Role should be granted to a Session for Application Authentication combined with User
Authentication, the Applications Property on the RoleType is combined with the Identities
Property on the RoleType as defined in 4.4.1.
If the criteriaType is X509Subject, the criteria is the X509 subject name of a Certificate of a
user which is trusted by the Server. The format of the subject name criteria consists of a
sequence of name value pairs separated by a '/'. The name shall be one of entries in Table 8
and shall be followed by a '=' and then followed by the value, which is always enclosed in double
quotes ('"'). The order shall be by the order shown in Table 8 with the lowest number first. Every
value from Table 8 present in the Certificate shall be included in the criteria, others must not
be included. The value can be any printable character except for '"'. For example: CN="User
Name"/O="Company". Table 8 contains all subject name attributes where support is required
by X509 and some commonly used attributes where support is optional. Additional fields can
be added in the future. If one name is used multiple times in the certificate, the name is also
repeated in the criteria. The entries with the same name are entered in the order they appear
in the Certificate. All names listed in Table 8 that are included in the X509 subject name shall
match the content of the criteria String. Names not included in Table 8 are ignored.
Table 8 – Order for subject name criteria
Order Name Value
1 CN Common Name
2 O Organization
3 OU Organization Unit
4 DC Domain Component
5 L Locality
6 S State
7 C Country
8 dnQualifier Distinguished name qualifier
9 serialNum
...