Funzionale - Determina le azioni che è possibile eseguire su tipi di oggetti, in base ai ruoli di appartenenza. L'organizzazione definisce quei ruoli durante l'implementazione. Ogni ruolo dispone di una serie di autorizzazioni associate che determinano quali azioni può eseguire un utente che appartiene a quel ruolo. Ad esempio, se all'utente è assegnato un ruolo denominato "Amministratore", può disporre delle autorizzazioni per associare ed eliminate le tabelle di sistema. Se all'utente è assegnato un ruolo denominato "Revisore", potrebbe essergli rifiutata l'autorizzazione ad associare ed eliminare le tabelle di sistema.

Oggetto - Definisce i tipi di oggetto sui quali è possibile eseguire le azioni consentite all'utente. In altre parole, anche se l'utente appartiene ad un ruolo che dispone delle autorizzazioni generali per modificare le campagne, la sicurezza a livello di oggetto per Campaign può essere impostata in modo da non poter accedere alle campagne contenute in particolari cartelle. Ad esempio, se si appartiene al Reparto A, indipendentemente dai propri ruoli funzionali, potrebbe non essere consentito accedere al contenuto delle cartelle che appartengono al Reparto B.