Par défaut, WebFOCUS est configuré pour autorisation interne, dans laquelle les permissions fonctionnelles et l'accès aux ressources sont basés exclusivement sur une information stockée dans le référentiel WebFOCUS. Les administrateurs WebFOCUS créent les utilisateurs et les placent dans des groupes en utilisant le Centre de Sécurité. Les applications externes peuvent utiliser l'API services web pour créer les utilisateurs et les groupes, puis pour gérer l'appartenance à de tels groupes.

Typiquement, les règles de sécurité sont associées aux groupes WebFOCUS, de façon à ce que les droits d'accès des utilisateurs dépendent des groupes WebFOCUS auxquels ils appartiennent. Cependant, il est aussi possible de créer des règles de sécurité pour utilisateurs individuels de façon à répondre à des besoins particuliers.

L'autorisation interne est prise en charge par n'importe quelle méthode d'authentification, y compris interne, externe, et avec pré-authentification.