I profili di sicurezza vengono applicati sia agli utenti interni che a quelli esterni. Organizzando i SID in una struttura gerarchica, i processi di business simili che sono condivisi tra vari utenti possono facilmente essere distribuiti senza dover dichiarare manualmente tutti gli elementi protetti per ciascun ruolo. Ciascun ruolo di sicurezza può essere composto da un numero qualsiasi di gruppi di sicurezza, che a loro volta sono costituiti da identificativi di sicurezza correlati. Eventuali modifiche apportate ad un ruolo di sicurezza devono essere pubblicate prima che possano divenire effettive.
L'autorizzazione valuta l'accesso di un utente agli elementi protetti nell'applicazione in base al suo ruolo di sicurezza utente. Ad ogni utente autorizzato viene assegnato un ruolo di sicurezza; perciò, è possibile autorizzare ogni utente su qualsiasi elemento protetto di un'applicazione. Gli utenti esterni sono più limitati di quelli interni rispetto a cosa possono accedere.