Tutte le autenticazioni degli utenti vengono gestite mediante collegamenti ad Active Directory configurati tramite Gestione directory. Ciascun tenant dispone di uno o più collegamenti ad Active Directory che forniscono autenticazione a livello di utente o gruppo.

L'amministratore di sistema esegue la configurazione iniziale per l'impostazione del tenant di base e Single Sign-On, inclusa la designazione di almeno un collegamento ad Active Directory e un amministratore tenant per ciascun tenant. In un secondo momento, un amministratore tenant può configurare collegamenti ad Active Directory aggiuntivi e assegnare ruoli a utenti o gruppi secondo necessità.

Gli amministratori tenant possono inoltre creare gruppi personalizzati all'interno dei tenant di appartenenza e aggiungere utenti e gruppi a questi gruppi. Ai gruppi personalizzati è possibile assegnare dei ruoli o designarli come approvatori in un criterio di approvazione.

Gli amministratori tenant possono anche creare gruppi di business all'interno dei tenant di appartenenza. Un gruppo di business è un insieme di utenti, spesso corrispondente a una linea di business, a un reparto o a un'altra unità organizzativa, che è possibile associare a un insieme di servizi di catalogo e a risorse delle infrastrutture. Ai gruppi di business è possibile aggiungere utenti e gruppi personalizzati.