Sicherheitsprofile gelten sowohl für interne als auch für externe Benutzer. Durch die hierarchische Anordnung der Kennungen können ähnliche Geschäftsprozesse, die für mehrere Benutzer freigegeben sind, problemlos verteilt werden, ohne dass die geschützten Elemente für jedes Benutzerprofil manuell deklariert werden müssen. Jede Sicherheitsrolle kann aus einer beliebigen Anzahl von Sicherheitsgruppen bestehen, die wiederum ähnliche Sicherheitskennungen enthalten. Etwaige Änderungen an einer Sicherheitsrolle werden erst wirksam, wenn sie veröffentlicht werden.
Bei der Autorisierung wird der Zugriff eines Benutzers auf geschützte Elemente in der Anwendung auf Basis seines Sicherheitsprofils bewertet. Jedem autorisierten Benutzer wird eine Sicherheitsrolle zugewiesen. So ist es möglich, alle Benutzer für alle geschützten Elemente einer Anwendung zu autorisieren. Was Zugriffsmöglichkeiten betrifft, so sind externe Benutzer deutlich stärker eingeschränkt als interne Benutzer.