De gebruikersverificatie wordt in zijn geheel afgehandeld door Active Directory-verbindingen die zijn ingesteld met Beheer van directory's. Elke tenant heeft een of meer Active Directory-verbindingen die verificatie op gebruikers- of groepsniveau leveren.

De systeembeheerder voert de initiële configuratie van Single Sign-On en de basisinstallatie van tenants uit, inclusief het toewijzen van minimaal één Active Directory-verbinding en een tenantbeheerder voor elke tenant. Daarna kan een tenantbeheerder extra Active Directory-verbindingen configureren en desgewenst rollen aan gebruikers en groepen toewijzen.

Tenantbeheerders kunnen ook aangepaste groepen binnen hun eigen tenant maken en gebruikers en groepen toevoegen aan die groepen. Aan aangepaste groepen kunnen rollen worden toegewezen en ze kunnen als de goedkeurders in een goedkeuringsbeleid worden aangewezen.

Tenantbeheerders kunnen tevens bedrijfsgroepen binnen hun tenants maken. Een bedrijfsgroep is een set gebruikers die aan een set catalogusservices en infrastructuurbronnen kunnen worden gekoppeld. Vaak komen bedrijfsgroepen overeen met een bedrijfsonderdeel, afdeling of andere organisatie-eenheid. Gebruikers en aangepaste groepen kunnen aan bedrijfsgroepen worden toegevoegd.