Normalmente, esto se hace solicitando un nombre de usuario y una contraseña.
Una vez que se confirma la identidad de un usuario (o proceso), entra en juego la autorización basada en políticas.
Un recurso web puede tener una o más políticas adjuntas que digan, por ejemplo, "solo permitir que los empleados internos accedan a este recurso" y / o "solo permitir que los miembros del grupo de administradores accedan a este recurso".
Si el usuario pasa la evaluación de la política, se le otorga acceso al recurso.
Un producto de administración de acceso web puede registrar la autenticación inicial y proporcionar al usuario una cookie que actúa como un token temporal para la autenticación de todos los demás recursos protegidos, lo que requiere que el usuario inicie sesión solo una vez.