La ingeniería de roles para RBAC es el proceso de definición de roles, permisos y asignación de permisos para cada role.  Esto es esencialmente un proceso de ingeniería de requerimientos de roles (RE). La ingeniería de roles es el primer paso hacia la implementación de un sistema RBAC.

La ingeniería de roles pude ser descompuesta en tres etapas. No veremos el detalle de cada etapa, pero describiremos los objetivos de cada una de las etapas, porque no todas las actividades de este modelo de procesos son necesarias en este caso.

La primera consiste en el análisis de los permisos y roles que se quiere implementar. El nombre de está etapa en ingles ROLE-PERMISSION ANALYSIS (RAP). A esta etapa ingresan los objetivos de las aplicaciones, información del contexto y un análisis de escenario. Cómo resultado de está etapa se obtienen roles y permisos candidatos.

La segunda etapa llamada ROLE-PERMISSION REFINEMENT, tiene como objetivo el concretar el análisis para producir los roles y permisos definitivos. A esta etapa ingresan los roles, escenarios  y permisos candidatos para su refinamiento. El resultado de está etapa son roles y permisos definitivos, lo que podemos llamar el modelo RBAC.

La última etapa, llamada ROLE-PERMISSION MAINTENANCE (RPM), tiene como objetivo fijar las políticas adecuadas para que el modelo RBAC se mantenga vigente en el tiempo. Las principales actividades de esta etapa de operación son:

• Mantenimiento de roles.
• Mantenimiento de permisos.
• Mantención de la relación roles y permisos.
• Delegar administración. 

El diagrama muestra el modelo de procesos explicado en esta sección que fue escrito por Qingfeng He, de la universidad de Carolina del Norte.