L’autorizzazione, seppur integrata con l’autenticazione, è un processo molto differente. Una volta riconosciuto l’utente, bisogna accertarsi che questo possa accedere alle sole risorse che gli competono. Le informazioni necessarie per questo processo sono strettamente legate all’applicativo e alle prestazioni dello stesso: ogni volta che si desidera accedere ad un dato occorre verificare l’autorizzazione dell’utente.

Ad esempio un file system (fs), ha meccanismi di autorizzazione che sono propri, si pensi ad NTFS di Microsoft o a EXT3 di Linux. In alcuni casi, FAT, l’autorizzazione al fs non è prevista e l’accesso è libero a chiunque. Analogo discorso per accedere alla posta o ad un portale web.

Per ridurre la complessità della definizione dei permessi è bene, ove possibile, non dare permessi all’utente, ma consentirne l’eredità in base all’appartenenza a gruppi definiti con criteri funzionali. Il gruppo avrà in questo caso i permessi per accedere alla risorsa. Si presume che il numero di gruppi sia inferiore al numero di utenti, e comunque consentono di abbinare il permesso ad una funzione e non ad un utente. Si può parlare anche di profili e di appartenenza ad un profilo, ma il concetto è analogo.

I  gruppi hanno l’ulteriore vantaggio di poter essere integrati  e gestiti attraverso directory , quindi con i meccanismi descritti nella autenticazione.