Tutte le autenticazioni degli utenti vengono gestite mediante collegamenti ad Active Directory configurati tramite Gestione directory. Ciascun tenant dispone di uno o più collegamenti ad Active Directory che forniscono autenticazione a livello di utente o gruppo.

L'amministratore di sistema root esegue la configurazione iniziale per la creazione e la configurazione del tenant di base e Single Sign-On, inclusa la designazione di almeno un amministratore tenant per ciascun tenant. Successivamente, un amministratore tenant può configurare collegamenti di Active Directory e assegnare ruoli a utenti o gruppi, in base alle necessità, dal proprio tenant designato.

Gli amministratori tenant possono inoltre creare gruppi personalizzati all'interno dei tenant di appartenenza e aggiungere utenti e gruppi a questi gruppi. Ai gruppi personalizzati è possibile assegnare dei ruoli o designarli come approvatori in un criterio di approvazione.

Gli amministratori tenant possono anche creare gruppi di business all'interno dei tenant di appartenenza. Un gruppo di business è un insieme di utenti, spesso corrispondente a una linea di business, a un reparto o a un'altra unità organizzativa, che è possibile associare a un insieme di servizi di catalogo e a risorse delle infrastrutture. Ai gruppi di business è possibile aggiungere utenti e gruppi personalizzati.