Zatímco autentizace odpovídá na otázku „kdo jste“, autorizace řeší „co smíte dělat“. Ve veřejné správě se autorizace používá k řízení přístupu k agendám, funkcím systémů i konkrétním datům. Oprávnění mohou být založena na rolích, organizační příslušnosti, typu klienta nebo kombinaci těchto faktorů. Správa oprávnění by měla vycházet z principu minimálních oprávnění, aby uživatelé neměli větší přístup, než skutečně potřebují. Dobře navržený model autorizace usnadňuje audit, nástupy i odchody zaměstnanců a snižuje riziko vnitřních incidentů. Technicky se autorizace často realizuje pomocí rolí v adresářové službě, skupin v aplikaci nebo politik přístupových práv. Důležitá je také pravidelná revize oprávnění, zejména při změnách pracovního zařazení nebo reorganizaci úřadu. V praxi se osvědčuje oddělit definici rolí a oprávnění od konkrétní implementace, aby bylo možné model pružně rozvíjet.
