Die Level, Privilegien und Rollen werden den Benutzern in der Access Control List einer Datenbank zugewiesen. Dieser Liste besteht aus den so genannten ACL-Einträgen, in welchen jeweils ein Benutzer- und Gruppennamen aufgeführt ist dem Authorisierungs-Eigenschaften zugewiesen. Sie ist also der Ort wo die Authorisierung auf Datenbankebene konfiguriert wird.

Unterschiedliche Datenbanksysteme besitzen unterschiedliche ACLs. Bei der "WGA Content Store for JDBC" und ihren Ableitungen wird die ACL über die Administrationsseite gepflegt (siehe Kapitel ACL-Management).

Bei der "WGA Content Store for Lotus Domino" wird die ACL der Domino-Datenbank ausgewertet und hinsichtlich der für WGA definierten Authorisierungs-Eigenschaften interpretiert (siehe WGA-Zugriffslevel in WGA Content Stores for Lotus Domino).

Beiden ACLs ist gemeinsam, dass sie für einen angemeldeten Benutzer nach dem am besten passenden ACL-Eintrag suchen und ihm dann dessen Authorisierungs-Eigenschaften übertragen. Existiert ein Eintrag der auf einen Namen des Benutzers ausgestellt ist, so gelten dessen Eigenschaften für den Benutzer. Ansonsten sucht WGA nach einem ACL-Eintrag der für eine der Gruppen ausgestellt wurde, in welcher der Benutzer Mitglied ist und weist ihm dessen Eigenschaften zu.

Existiert in einer ACL kein Eintrag, welcher zu dem Benutzer passt, so hat dieser Benutzer keinerlei Zugriff auf die Datenbank, selbst wenn er sich korrekt anmelden konnte.