Toutes les informations d'authentification des utilisateurs sont traitées par des liens Active Directory configurés via Directories Management. Chaque locataire possède un ou plusieurs liens Active Directory servant d'authentification au niveau d'un utilisateur ou d'un groupe.

L'administrateur système effectue la configuration initiale de Single Sign-On et la configuration de base du locataire, notamment la désignation d'au moins un lien Active Directory et d'un administrateur de locataire pour chaque locataire. Ensuite, un administrateur de locataire peut configurer des liens Active Directory supplémentaires et attribuer des rôles aux utilisateurs ou aux groupes selon les besoins.

Les administrateurs de locataire peuvent également créer au sein de leurs propres locataires des groupes personnalisés et y ajouter des utilisateurs et des groupes. Les groupes personnalisés peuvent se voir attribuer des rôles ou être désignés comme approbateurs d'une stratégie d'approbation.

Les administrateurs de locataire peuvent également créer des groupes d'activité au sein de leurs locataires. Un groupe d'activité est un ensemble d'utilisateurs, correspondant souvent à un secteur d'activité, un service ou une autre entité organisationnelle, pouvant être associé à un ensemble de services du catalogue et de ressources d'infrastructure. Les utilisateurs et les groupes personnalisés peuvent être ajoutés aux groupes d'activité.