Die plattformunabhängige und organisationsübergreifende Web Services-Interoperabilität setzt ein leistungsfähiges und flexibles Autorisierungssystem voraus. In diesem Beitrag wird ein Zugriffskontrollsystem vorgestellt, welches sich durch das Zusammenspiel lokaler und verteilter Autorisierung auszeichnet. Im Zusammenhang mit lokaler Zugriffskontrolle, bei der Rechte innerhalb einer Organisation ausgewertet werden, stellt sich insbesondere die Herausforderung, Autorisierungsregeln zu konsolidieren: Da die Funktionalität von Web Services häufig auf weitere Anwendungen und Betriebsmittel wie Datenbanksystemen aufsetzt, ergeben sich Abhängigkeiten bezüglich der Autorisierung, die überprüft und eingehalten werden müssen. Über eine verteilte Zugriffskontrolle wird der Aufbau von Kollaborationsnetzwerken ermöglicht. Der Augenmerk liegt im Folgenden auf schwach gekoppelten Zusammenschlüssen, die die Autonomie der beteiligten Organisationen beibehält. Skalierbarkeit und Effizenz werden durch den Einsatz von rollenbasierter Zugriffskontrolle einerseits und dem Caching ähnlicher, wiederkehrender Autorisierungen andererseits erreicht.