Toda autenticação de usuário é tratada por links do Active Directory que são configurados por meio do Gerenciamento de Diretórios. Cada tenant tem um ou mais links do Active Directory que fornecem autenticação em nível de usuário ou de grupo.

O administrador de sistema realiza a configuração inicial do logon único e a configuração básica do tenant, incluindo a designação de pelo menos um link do Active Directory e de um administrador de tenant para cada tenant. Depois disso, um administrador de tenant pode configurar links adicionais do Active Directory e atribuir funções a usuários ou grupos, conforme necessário.

Os administradores de tenant também podem criar grupos personalizados dentro dos próprios tenants e adicionar usuários e grupos a esses grupos. Pode-se atribuir funções aos grupos personalizados ou eles podem ser designados como os aprovadores em uma política de aprovação.

Os administradores de tenant também podem criar grupos de negócios dentro de seus tenants. Um grupo de negócios é um conjunto de usuários, muitas vezes correspondente a uma linha de negócios, departamento ou outra unidade organizacional, que pode ser associado a um conjunto de recursos de infraestrutura e serviços de catálogo. Os usuários e os grupos personalizados podem ser adicionados a grupos de negócios.