Funcional - Determina las acciones que pueden realizarse sobre los tipos de objetos en función del rol o roles a los que se pertenezca. La organización define estos roles en la implementación, y cada rol tiene un conjunto de permisos asociados que determina las acciones que un usuario perteneciente a dicho rol puede realizar. Por ejemplo, si usted es un usuario al que se le ha asignado un rol denominado "Administrador", podría tener permisos para correlacionar y suprimir tablas del sistema, mientras que si es un usuario al que se le ha asignado el rol denominado "Revisor", se le podrían denegar los permisos necesarios para correlacionar y suprimir tablas del sistema.

Objeto - Define los tipos de objeto sobre los que se pueden llevar a cabo las acciones permitidas. Es decir, incluso perteneciendo a un rol al que se le hayan otorgado permisos generales para editar campañas, la seguridad a nivel de objeto de Campaign pude configurarse para que no se pueda acceder a campañas ubicadas en determinadas carpetas. Por ejemplo, si pertenece al Departamento A, independientemente de los roles funcionales que tenga, se le puede denegar el permiso para acceder al contenido de las carpetas que pertenezcan al Departamento B.