Alle gebruikersverificatie wordt door middel van Single Sign-On verwerkt. Elke tenant heeft een of meer identiteitsarchieven, zoals Active Directory-servers, van waaruit de verificatie wordt uitgevoerd.

De systeembeheerder voert de initiële configuratie van Single Sign-On en de basisinstallatie van tenants uit, inclusief het toewijzen van minimaal één identiteitsarchief en een tenantbeheerder voor elke tenant. Daarna kan een tenantbeheerder extra identiteitsarchieven configureren en rollen aan gebruikers en groepen uit de identiteitsarchieven toewijzen.

Tenantbeheerders kunnen ook aangepaste groepen binnen hun eigen tenant maken en gebruikers en groepen die in het identiteitsarchief zijn gedefinieerd, toevoegen aan aangepaste groepen. Aan aangepaste groepen, zoals groepen en gebruikers in een identiteitsarchief, kunnen rollen worden toegewezen, en ze kunnen als de goedkeurders in een goedkeuringsbeleid worden aangewezen.

Tenantbeheerders kunnen tevens bedrijfsgroepen binnen hun tenant maken. Een bedrijfsgroep is een set gebruikers die aan een set catalogusservices en infrastructuurbronnen kunnen worden gekoppeld. Vaak komen bedrijfsgroepen overeen met een bedrijfsonderdeel, afdeling of andere organisatie-eenheid. Gebruikers, groepen in een identiteitsarchief en aangepaste groepen kunnen aan bedrijfsgroepen worden toegevoegd.