A primeira etapa na criação de perfis de segurança do usuário é identificar as funções necessárias da organização. Como uma organização pode ser muito grande, com muitos usuários, não faz sentido criar perfis de segurança para os usuários que compartilham o mesmo acesso de segurança. Ao mesmo tempo, é importante distinguir os diferentes níveis de qualificação entre os usuários com perfis semelhantes. Embora ambos um responsável pelo caso estagiário e um responsável pelo caso avançado trabalhem com casos, haveria limitações para determinadas operações de negócios que o responsável pelo caso estagiário poderia realizar. Por exemplo, é improvável que um responsável pelo caso estagiário realize revisões do caso e não seria responsável pelas aprovações de caso. Portanto, não apenas as funções principais definem uma função de usuário, mas também os diferentes níveis de usuários. Ao organizar SIDs em uma estrutura hierárquica, os processos de negócios semelhantes que são compartilhados entre vários usuários podem ser facilmente distribuídos sem precisar declarar manualmente todos os elementos protegidos para cada perfil de usuário.