Los perfiles de seguridad se aplican a usuarios internos y externos. Organizando los SID (identificadores de seguridad) en una estructura jerárquica, los procesos de negocio similares compartidos entre varios usuarios pueden distribuirse con facilidad sin tener que declarar manualmente todos los elementos asegurados para rol. Cada rol de seguridad puede constar de cualquier número de grupos de seguridad, que a su vez están compuestos de identificadores de seguridad relacionados. Cualquier cambio realizado a un rol de seguridad debe publicarse antes de entrar en vigor.
La autorización evalúa el acceso de un usuario a los elementos protegidos de la aplicación en función de su rol de seguridad de usuario. A cada usuario autorizado se le asigna un rol de seguridad; por tanto, es posible autorizar a cada usuario contra cualquier elemento protegido de la aplicación. Los usuarios externos tienen más restricciones que los internos respecto de lo que pueden acceder.