Les étiquettes de sécurité sont appliquées en complément de la politique d'accès et des règles d'accès ad hoc Windchill standard. Elles jouent le rôle de barrière ; si l'utilisateur ne dispose pas d'une habilitation pour les étiquettes de sécurité appliquées à un objet, il ne peut pas accéder à cet objet, même si ses permissions de contrôle d'accès l'y autorisent par ailleurs. Si l'utilisateur ne dispose pas des permissions de contrôle d'accès nécessaires, il ne peut pas accéder à l'objet, même s'il dispose d'une habilitation pour les paramètres d'étiquette de sécurité appliqués à l'objet. Pour accéder à un objet, un utilisateur doit bénéficier d'une habilitation pour toutes les étiquettes de sécurité, soit en tant que participant autorisé, soit grâce à un accord en vigueur, et disposer des permissions de contrôle d'accès appropriées sur cet objet.

L'organigramme suivant présente la manière dont Windchill gère les étiquettes de sécurité et le contrôle d'accès pour accorder ou refuser à un utilisateur l'accès à un objet.

Pour déterminer si un utilisateur peut accéder à un objet, le système commence par vérifier dans la politique et dans les listes de contrôle d'accès ad hoc si l'utilisateur dispose des permissions de contrôle d'accès nécessaires. Si l'accès souhaité est autorisé, le système vérifie alors si l'utilisateur dispose d'une autorisation pour toutes les étiquettes de sécurité appliquées à l'objet, pour déterminer s'il doit accorder ou refuser l'accès.

Si l'utilisateur n'est pas un participant autorisé de la valeur d'étiquette de sécurité, le système vérifie si cet utilisateur dispose d'une autorisation pour cette valeur grâce à un ou plusieurs accords actifs. Si un accord approprié est actif et si l'utilisateur dispose d'une autorisation pour les autres étiquettes de sécurité, l'accès est accordé. Si aucun accord approprié n'est actif, l'accès est refusé.