OPC UA distingue l'authentification "Application" (certificat X.509 du client/serveur) de l'authentification "User" (identité de l'utilisateur final), qui peut être Anonymous, Username/Password ou User Certificate.

OPC UA superpose deux couches d'authentification. L'Application auth identifie l'application qui se connecte (certificat X.509 du client). La User auth identifie l'humain ou le compte de service qui utilise cette application : Anonymous, Username + Password, certificat X.509 utilisateur ou jeton Kerberos. Cela permet par exemple qu'un même client SCADA soit utilisé par dix opérateurs différents avec des droits distincts, ou qu'un serveur autorise Anonymous en lecture seule mais exige Username/Password pour écrire.

Bonne pratique cyber : interdire Anonymous sur tout serveur exposant une Method d'écriture, même si l'application appelante est déjà authentifiée par certificat.