Un domaine de sécurité se compose de configurations pour l'authentification, l'autorisation, le mappage de sécurité et l'audit. Il implémente la sécurité déclarative Java Authentication & Authorization Service (JAAS).

L'authentification consiste à vérifier l'identité d'un utilisateur. Dans la terminologie de sécurité, cet utilisateur est désigné comme « principal » Bien que l'authentification et l'autorisation soient différentes, de nombreux modules d'authentification inclus gèrent également l'autorisation.

L'autorisation est un processus par lequel le serveur détermine si un utilisateur authentifié a la permission ou les privilèges d'accéder à des ressources spécifiques dans le système ou l'opération.

Le mappage de sécurité fait référence à la possibilité d'ajouter, de modifier ou de supprimer des informations d'un principal, d'un rôle ou d'un attribut avant de transmettre les informations à votre application.

Le gestionnaire d'audit vous permet de configurer les modules des fournisseurs pour contrôler la façon dont les événements de sécurité sont rapportés. Si vous utilisez des domaines de sécurité, vous pouvez supprimer toutes les configurations de sécurité spécifiques de votre application elle-même. Ceci vous permet de modifier les paramètres de sécurité de manière centralisée. Un scénario commun qui bénéficie de ce type de structure de configuration est le processus de déplacement des applications entre les environnements de test et de production.