Die gesamte Benutzerauthentifizierung wird über Active Directory-Links abgewickelt, die über die Verzeichnisverwaltung konfiguriert werden. Jeder Mandant weist einen oder mehrere Active Directory-Links auf, die die Authentifizierung auf Benutzer- oder Gruppenebene ermöglichen.

Der Systemadministrator führt die Erstkonfiguration von Single Sign-On und die Basismandanteneinrichtung durch, einschließlich der Festlegung von zumindest einem Active Directory-Link und einem Mandantenadministrator für jeden Mandanten. Anschließend kann ein Mandantenadministrator zusätzliche Active Directory-Links konfigurieren und den Benutzern oder Gruppen bei Bedarf Rollen zuweisen.

Mandantenadministratoren können in ihren eigenen Mandanten auch benutzerdefinierte Gruppen erstellen und ihnen Benutzer und Gruppen hinzufügen. Benutzerdefinierten Gruppen können Rollen zugewiesen werden, oder sie können in einer Genehmigungsrichtlinie als Genehmiger festgelegt werden.

Mandantenadministratoren können in ihren Mandanten auch Business-Gruppen erstellen. Eine Business-Gruppe ist eine Gruppe von Benutzern, die oft einem Geschäftsbereich, einer Abteilung oder einer sonstigen Organisationseinheit entspricht und die mit einem Satz von Katalogdiensten und Infrastrukturressourcen verknüpft werden kann. Benutzer und benutzerdefinierte Gruppen können Business-Gruppen hinzugefügt werden.