Не знаю точно, баг или предложение.
Проблема состоит в том, что сложно управлять поведением классов менеджеров.
1) В CPhpAuthManager::load() жестко записано использовать класс CAuthItem. Хочется в rbac добавить возможность указывать тип элемента.
2) Из-за предыдущего пункта нужно использовать bizRule, которое выполняется функцией eval - вариант, мягко говоря, ужасный.
3) Правила выполняются по логике "или", и нет возможности из коробки использовать логику "и".
Я бы не написал этот пост, если бы мог без костылей наследовать данные классы.