Funzionale - stabilisce le azioni eseguibili su tipi di oggetti, in base al ruolo(i) cui si è assegnati. È la vostra organizzazione che si occupa di definire i ruoli al momento dell'implementazione e a ciascuno di questi viene associata una serie di autorizzazioni, le quali servono a stabilire quali azioni può compiere un utente appartenente a un determinato ruolo. Ad esempio, qualora un utente fosse assegnato al ruolo denominato "Amministratore", a questi potrà essere riconosciuta l'autorizzazione a effettuare l'associazione o a eliminare tabelle di sistema. Diversamente, tali autorizzazioni potrebbero essere negate a un utente associato al ruolo di "Revisore".

Oggetto - stabilisce i tipi di oggetto su cui sui quali l'utente può effettuare le azioni consentite. In altre parole, anche se l'utente fosse assegnato a un ruolo avente autorizzazioni generali di modifica sulle campagne, la sicurezza a livello di oggetto per Campaign può essere impostata affinché l'utente non abbia modo di accedere a campagne che si trovino in determinate cartelle. Ad esempio, qualora un utente appartenga all'Unità aziendale A, indipendentemente dai ruoli funzionali che questi ricopre, a tale utente potrà essere negata l'autorizzazione ad accedere a contenuti presenti in cartelle appartenenti all'Unità aziendale B.