Der erste Schritt beim Erstellen von Sicherheitsprofilen für Benutzer besteht darin, die erforderlichen Rollen der Organisation zu ermitteln. Da Organisationen häufig sehr groß sind und viele Benutzer haben, ist es sinnvoll, Sicherheitsprofile für Benutzer mit demselben Sicherheitszugriff zu erstellen. Gleichzeitig ist es wichtig, bei Benutzern mit ähnlichen Profilen Unterscheidungen hinsichtlich der Qualifikation treffen zu können. Zwar werden Fälle sowohl von Fallbearbeitern in Ausbildung als auch von höher gestellten Fallbearbeitern bearbeitet, aber bestimmte geschäftliche Vorgänge können von Auszubildenden nur eingeschränkt durchgeführt werden. Es ist beispielsweise unwahrscheinlich, dass ein Fallbearbeiter in Ausbildung Fallprüfungen durchführt oder für Fallgenehmigungen zuständig ist. Eine Benutzerrolle wird also nicht nur durch ihre primären Funktionen definiert, sondern auch durch die verschiedenen Stufen der Benutzer. Durch die hierarchische Anordnung der Kennungen können ähnliche Geschäftsprozesse, die für mehrere Benutzer freigegeben sind, problemlos verteilt werden, ohne dass die geschützten Elemente für jedes Benutzerprofil manuell deklariert werden müssen.