Что-то я не совсем понял причем тут ABAC, когда ваш пример илюстрирует RBAC.
Как настроить что-то вдухе "если поле объекта такое то, а пользователь менеджер отдела Б, а время 19:00, тогда разрешаем редактировать объект" и так далее, в чем собственно и заключается смысл ABAC
Архитектурные подходы к авторизации в серверных приложениях: Activity-Based Access Control Framework