Funcional – Determina las acciones que puede realizar en los tipos de objetos, en función de los roles a los que pertenece. La organización define estos roles en la implementación. Cada rol tiene un conjunto de permisos asociados que determinan qué acciones un usuario que pertenece a dicho rol puede realizar. Por ejemplo, si es un usuario al que se ha asignado un rol que se denomina "Administrador", puede tener permisos para correlacionar y suprimir tablas del sistema. Si es un usuario que tiene asignado un rol que se denomina "Revisor", se le pueden denegar los permisos para correlacionar y suprimir tablas del sistema.

Objeto – Define los tipos de objeto en los que puede realizar las acciones que tiene permitidas. Es decir, incluso si pertenece a un rol que tenga permisos generales para editar campañas, la seguridad a nivel de objeto de Campaign se puede configurar de modo que no pueda acceder a campañas que estén en unas carpetas en particular. Por ejemplo, si pertenece a la división A, independientemente de sus roles funcionales, puede no tener permitido acceder al contenido de las carpetas que pertenecen a la división B.