WebFOCUS está configurado por defecto para utilizar la autorización interna, en la que las capacidades funcionales y el acceso a recursos del usuario están basados únicamente en la información almacenada en el Repositorio WebFOCUS. Los administradores de WebFOCUS crean usuarios y los colocan en distintos grupos, a través del Centro de Seguridad. Las aplicaciones externas pueden usar el API de servicios web para crear usuarios y grupos, y administrar las suscripciones.

Normalmente, las reglas de seguridad están asociadas a grupos de WebFOCUS y, por tanto, los derechos de acceso de los usuarios dependen de los grupos de WebFOCUS a los que pertenezcan. Sin embargo, también se pueden crear reglas de seguridad para usuarios individuales y, así, cumplir con determinados requisitos especiales.

La autorización interna es compatible con cualquier método de autenticación, incluidos el interno, el externo y la preautenticación.