Les profils de sécurité s'appliquent aux utilisateurs internes comme externes. En organisant les SID dans une hiérarchie, les processus métier similaires et partagés entre les utilisateurs peuvent facilement être distribués, sans avoir à déclarer manuellement tous les éléments sécurisés pour chaque rôle de sécurité. Les rôles de sécurité peuvent être constitués de plusieurs groupes de sécurité, eux-mêmes composés d'identificateurs connexes. Toutes les modifications apportées à un rôle de sécurité ne prendront effet qu'une fois publiées.
Les autorisations déterminent les droits d'accès d'un utilisateur aux éléments sécurisés de l'application à partir du rôle de sécurité de l'utilisateur en question. Chaque utilisateur autorisé se voit attribuer un rôle de sécurité. Il est donc possible d'autoriser tous les utilisateurs à accéder aux éléments sécurisés d'une application. Les utilisateurs externes ont un accès plus restreint par rapport aux utilisateurs internes.