En el control de acceso basado en roles , la jerarquía de roles define una relación de herencia entre roles. Por ejemplo, la estructura de funciones de un banco puede tratar a todos los empleados como miembros de la función de "empleado". Por encima de esto pueden estar los roles 'gerente de departamento' y 'contador', que heredan todos los permisos del rol de 'empleado', mientras que por encima de 'gerente de departamento' podría ser 'gerente de ahorros', 'gerente de préstamos'.
Los modelos RBAC generalmente tratan la jerarquía de roles como un árbol (teoría de conjuntos) , como en el modelo RBAC de 1992 de Ferraiolo y Kuhn (FK), o un conjunto parcialmente ordenado en el marco RBAC de 1996 de Sandhu, Coyne, Feinstein y Youman ( SCFY). En términos de programación orientada a objetos , la jerarquía de roles de árbol es una herencia única, mientras que la jerarquía parcial permite múltiples. Cuando se trata como una orden parcial, el ejemplo de jerarquía de roles que se da arriba podría extenderse a un rol como 'gerente de sucursal' para heredar todos los permisos de 'administrador de ahorros', 'administrador de préstamos' y 'contador'.
Pueden surgir complicaciones cuando existen limitaciones como la separación de funciones entre funciones. Si se utilizó la separación de funciones para prohibir al personal desempeñar funciones tanto de "gerente de préstamos" como de "contador", entonces el "gerente de sucursal" no podría heredar los permisos de ambos. El modelo NIST RBAC , que unificó los modelos FK y SCFY, trata la jerarquía de roles como un orden parcial, aunque los productos RBAC no han ido más allá de la jerarquía estructurada en árbol.