4: Configuring Authentication Policies
101
RSA Authentication Manager 8.1 Administrator’s Guide
Risk-Based Authentication Message Policy
The risk-based authentication (RBA) message policy defines the message that users 
see when they are prompted to configure their identity confirmation method. You 
might use this message to inform users about why they need to configure an identity 
confirmation method. This message displays when all of the following conditions 
exist:
• The user authenticates to a web-based application, such as an SSL-VPN, thin 
client, or web portal.
• The user has not configured an identity confirmation method.
• The user attempts to authenticate using a high assurance device.
You can assign an RBA message policy to any security domain. A deployment can 
have multiple RBA message policies, which you assign by editing the security 
domain. Security domains use the deployment’s default RBA message policy until 
you assign a different RBA message policy. 
Risk-Based Authentication Message Policy Settings
The following table describes the risk-based authentication (RBA) message policy 
settings.
Add a Risk-Based Authentication Message Policy
The risk-based authentication (RBA) message policy defines the message that users 
see when they are prompted to configure their identity confirmation method. You can 
create multiple RBA message policies, for example, one for each security domain. 
This policy applies to all users in the security domain.
In a replicated deployment, changes to policies might not be immediately visible on 
the replica instance. This delay is due to the cache refresh interval. Changes should 
replicate within 10 minutes. To make changes take effect sooner on the replica 
instance, see Flush the Cache
on page 376.
Setting
Description
RBA Message Policy Name
A unique name from 1 to 128 characters.
Default Policy
An optional field that designates the new policy as the 
default policy for the deployment. When selected, new 
security domains use this RBA message policy.
Notes
A field to record any notes.
Message text
Customized message for your company policies or 
business needs.
Export pdf to powerpoint - control software platform:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Export pdf to powerpoint - control software platform:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
102
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click Authentication > Policies > RBA Message 
Policies > Add New.
2. Under RBA Message Policy Basics, do the following:
a. In the RBA Message Policy Name field, enter a unique name that does not 
exceed 128 characters.
b. (Optional) To set this policy as the default policy, select Set as the default 
RBA Message Policy.
c. (Optional) In the Notes field, enter any notes.
3. Under Message Confirmation, review the message in the Message Text field, 
and customize the message if necessary. 
4. Click Save.
control software platform:Online Convert PowerPoint to PDF file. Best free online export
Online Powerpoint to PDF Converter. Download Free Trial. Then just wait until the conversion from Powerpoint to PDF is complete and download the file.
www.rasteredge.com
control software platform:C# WPF PDF Viewer SDK to convert and export PDF document to other
Viewer & Editor. WPF: View PDF. WPF: Annotate PDF. WPF: Export PDF. WPF: Print PDF. PDF Create. Create PDF from Word. Create PDF from Excel. Create PDF from PowerPoint
www.rasteredge.com
5: Integrating LDAP Directories
103
RSA Authentication Manager 8.1 Administrator’s Guide
5
Integrating LDAP Directories
Identity Sources
An identity source is a repository that contains user and user group data. Each user and 
user group in a deployment is associated with an identity source. 
Authentication Manager supports the following as identity sources:
• An LDAP directory
Authentication Manager supports the following directories as identity sources:
– Microsoft Active Directory 2008 R2
– Microsoft Active Directory 2012
– Microsoft Active Directory 2012 R2
– Sun Java System Directory Server 7.0
– Oracle Directory Server Enterprise Edition 11g
In Active Directory, you can add a Global Catalog as an identity source, which is 
used to look up users and resolve group membership during authentications. You 
cannot use a Global Catalog identity source to perform administrative tasks.
• The Authentication Manager internal database
Data from an LDAP Directory
Authentication Manager has read-only access to all LDAP directory identity sources. 
After a directory is integrated with Authentication Manager, you can use the Security 
Console to do the following:
• View (but not add or modify) user and user group data that resides in the directory.
• Perform Authentication Manager administrative tasks. For example, enable or 
disable the use of on-demand authentication (ODA) and risk-based authentication 
(RBA), or assign tokens or user aliases to individual users who reside in the 
directory.
You must use the LDAP directory native user interface to modify data in a directory.
control software platform:VB.NET PDF - Convert PDF with VB.NET WPF PDF Viewer
PDF in WPF. Annotate PDF in WPF. Export PDF in WPF. Print PDF in WPF. PDF Create. Create PDF from Word. Create PDF from Excel. Create PDF from PowerPoint. Create
www.rasteredge.com
control software platform:VB.NET PDF Converter Library SDK to convert PDF to other file
PDF Export. |. Home ›› XDoc.PDF ›› VB.NET PDF: PDF Export. for converting MicroSoft Office Word, Excel and PowerPoint document to PDF file in VB
www.rasteredge.com
104
5: Integrating LDAP Directories
RSA Authentication Manager 8.1 Administrator’s Guide
Data from the Internal Database
Authentication Manager provides an internal database where you can create users and 
user groups. For users and user groups in the internal database, administrators can use 
the Security Console to do the following:
• Add, modify, and view user and user group data.
• Enable or disable Authentication Manager functions, such as ODA and RBA, for 
individual users, including users whose accounts are in an LDAP directory.
The following information is stored only in the internal database:
• Data that is specific to Authentication Manager, such as policies for 
administrative roles, and records for authentication agents and SecurID 
authenticators
• Data that links Authentication Manager with LDAP directory user and user group 
records
Identity Source Data Flow
The following figure shows how data elements (LDAP attributes and Authentication 
Manager attributes) may be distributed across external identity sources and the 
internal database. The figure also shows connections between Authentication 
Manager and LDAP external identity sources. 
RSA Authentication 
Manager
LDAP 
Directory 
Server
ssmith
LDAP Directory AdminName, Password
1
LDAP
3
(Administration and authentication operations)
email address
password
mobile number
employeeID
etc.
User Record
User Data
Application Data
SecurID Token, 
On-demand PIN, 
Registered RBA devices
uid=ssmith,ou=newyork,dc=cs,dc=org
uniqueIdentifier =employeeID
Internal Database
Policies,
Reports,
System settings
2
control software platform:C# PDF Converter Library SDK to convert PDF to other file formats
PDF Export. |. Home ›› XDoc.PDF ›› C# PDF: PDF Export. Able to export PDF document to HTML file. Able to create convert PDF to SVG file.
www.rasteredge.com
control software platform:C# HTML5 PDF Viewer SDK to convert and export PDF document to
Export PDF in WPF. Print PDF in WPF. PDF Create. Create PDF from Word. Create PDF from Excel. Create PDF from PowerPoint. Create PDF from Tiff. Create PDF from
www.rasteredge.com
5: Integrating LDAP Directories
105
RSA Authentication Manager 8.1 Administrator’s Guide
1. Authentication Manager communicates with the LDAP directory by using the 
LDAP administrator user name and password. 
If the administrator account is set to read/write access, end users may update their 
own passwords, responding directly to password renewal prompts received 
through Authentication Manager. If access is read-only, the users must contact 
their administrator for password updates. 
2. The internal database contains a reference to every user’s distinguished name and 
unique identifier to locate user records in the LDAP directory. It also contains user 
attributes defining properties that are specific to Authentication Manager, such as 
an on-demand PIN, security questions, and a user account enabled or disabled 
parameter. 
3. Your directory servers may already contain typical LDAP user records and 
attributes. Authentication Manager can work with more than one directory server.
Identity Source Properties
You specify identity source properties when you add or edit an identity source. The 
Operations Console organizes the identity source properties in categories.
• Identity Source Basics
• Directory Connection - Primary and Replica
• Directory Settings
• Active Directory Options
• Directory Configuration-User Tracking Attributes
• Directory Configuration-Users
• Directory Configuration - User Groups
Identity Source Basics
Identity Source Name. Unique name for the identity source. This name is displayed 
in the Security Console to identify the identity source.
Type. The type of identity source. For example, an LDAP identity source type can be 
Microsoft Active Directory, Sun Java System Directory Server, or Oracle Directory 
Server. After an identity source is added to the deployment, you cannot change the 
identity source type. For the supported list of identity sources, see the Operations 
Console Help topic “View the Identity Sources in Your Deployment.”
Notes. You can use up to 255 characters of text to add a note about the identity source.
Directory Connection - Primary and Replica
Directory URL. The URL of the new identity source. If you use the standard 
SSL-LDAP port 636, specify the value as ldaps://hostname/. For all other ports, you 
must specify the port number, for example, ldaps://hostname:port/. An SSL 
connection is required for password management.
For Active Directory, the Global Catalog can have the same directory URL as a 
another identity source that is not a Global Catalog.
control software platform:C# WPF PDF Viewer SDK to view, annotate, convert and print PDF in
Export PDF in WPF. Print PDF in WPF. PDF Create. Create PDF from Word. Create PDF from Excel. Create PDF from PowerPoint. Create PDF from Tiff. Create PDF from
www.rasteredge.com
control software platform:VB.NET PDF- HTML5 PDF Viewer for VB.NET Project
PDF in WPF. Annotate PDF in WPF. Export PDF in WPF. Print PDF in WPF. PDF Create. Create PDF from Word. Create PDF from Excel. Create PDF from PowerPoint. Create
www.rasteredge.com
106
5: Integrating LDAP Directories
RSA Authentication Manager 8.1 Administrator’s Guide
Directory Failover URL. (Optional) The failover directory server is used if the 
connection with the primary directory server fails. The failover directory server must 
be a mirror of the primary directory server.
If you want to permit users to change their passwords during authentication, the 
LDAP directory administrator account must have write privilege for user records in 
the identity source. If you do not permit password changes, the directory administrator 
account does not need write privileges.
Directory User ID. The LDAP directory administrator's User ID.
For example, you might enter cn=Administrator,cn=Users,dc=domain,dc=com or 
Administrator@domain.com.
Directory Password. The LDAP directory administrator's password.
Make sure that this password is kept up-to-date. If this password expires, the 
connection fails.
Directory Settings
Use directory settings to narrow the scope of an identity source so that only a subset of 
the identity source is used. For more information, see Identity Source Scope Change 
Requirements
on page 110.
If you narrow the scope of an identity source, you must schedule a cleanup job to 
remove references to unresolvable users and user groups from the internal database. 
For more information, see Schedule a Cleanup Job
on page 156.
User Base DN. The base DN for directory user definitions. For example, for Active 
Directory, you might enter cn=Users, dc=domainName, dc=com.
User Group Base DN. The base DN for directory user group definitions. For 
example, for Active Directory, you might enter ou=Groups, dc=domain, dc=com.
It is important to follow these practices:
• Do not configure multiple identity sources with overlapping scope. If you have 
multiple identity sources that point to the same User Base DN or User Group Base 
DN, ensure that the User Search Filter and User Group Search Filter are 
configured so that each user and user group appears only in one identity source. 
Improper configuration may result in unresolvable users and authentication 
problems.
• If an attribute value contains a comma or an equal sign, you must escape these 
characters with a backslash. For example, if the attribute ou has the value of A=B, 
Inc, you must write this out as ou=A\=B\, Inc. If you do not escape these 
characters in an attribute value, the connection to the identity source fails. This 
only applies to commas or equal signs used in an attribute value. Do not escape 
commas separating elements of a distinguished name, for example, cn=Joe Smith, 
ou=Sales, or equal signs between a moniker and its attribute value, for example, 
ou=Sales.
• The default organizational unit “Groups” does not exist in the default Active 
Directory installation. Make sure you specify a valid container for the User 
Group Base DN.
5: Integrating LDAP Directories
107
RSA Authentication Manager 8.1 Administrator’s Guide
Search Results Time-out. Limits how long a search will continue. If searches for 
users or groups are timing out on the directory server, either extend this time, or 
narrow individual search results. For example, instead of Last Name = *, use Last 
Name = G*.
User Account Enabled State. Specify where Authentication Manager looks for the 
enabled/disabled state of user accounts. 
• Select Directory to look in the external identity source only.
If the user account is disabled in the external identity source, the user cannot 
authenticate. The ability of the user to authenticate is based solely on the User 
Account Enabled State in the external identity source.
• Select Directory and Internal Database to look in the internal database in 
addition to the external identity source.
The user account must be enabled in both the internal database and the external 
identity source for the user to authenticate. If the user account is disabled in either 
the internal database or the external identity source, the user cannot authenticate.
Validate Map Against Schema. Validates identity attribute definition mappings to 
the directory schema when identity attribute definitions are created or modified.
Active Directory Options
Global Catalog. Select this if the identity source is an Active Directory Global 
Catalog.
User Authentication. Select one of the following as the source for user 
authentication:
• Authenticate users to this identity source. Select this option if the identity 
source is not associated with a Global Catalog. If no Global Catalogs are 
configured as identity sources, this option is selected automatically.
• Authenticate users to a global catalog. Select this option if the identity source is 
associated with a Global Catalog, and select a Global Catalog from the drop-down 
menu.
Directory Configuration-User Tracking Attributes
User ID. Select one of the following to map the User ID:
• Maps to. Select this option to map the User ID to a specified attribute.
• Uses the same mapping as E-mail. Select this option to map the User ID to the 
e-mail attribute. If you choose this option, the User ID and e-mail fields have the 
same value. The e-mail attribute must already be defined in the directory.
When you change the User ID mapping, make sure that the new field is unique for all 
users and does not overlap with the old field. This prevents administrative data from 
being associated with the wrong user records for some users. For example, if the old 
mapping has the User ID “jdoe,” the new mapping should not contain the User ID 
“jdoe.” To ensure a smooth transition from the old User ID mapping to the new, you 
need to clean up unresolvable users to update the internal user records with the new 
User IDs. Perform this task immediately after you change the mapping. For 
instructions, see the Administrator's Guide.
108
5: Integrating LDAP Directories
RSA Authentication Manager 8.1 Administrator’s Guide
Unique Identifier. A unique identifier to help the Security Console find users whose 
DNs have changed. For Active Directory, the default is ObjectGUID. For Oracle 
Directory Server (or Sun Java Directory Server), the default value is nsUniqueID.
You must specify the Unique Identifier before you move or rename LDAP directory 
users who are viewed or managed through the Security Console. Otherwise, the 
system creates a duplicate record for the users that you move or rename, and 
disassociates them from data the system has stored for them.
Enter an attribute from your directory that meets these requirements:
• The attribute must contain unique data for each user. For example, an employee
ID number or badge number that is unique for each user in the deployment.
• The attribute must contain data for each user. The value cannot be empty.
• The attribute value cannot change. If the value for a user changes, Authentication
Manager cannot track the user. You cannot map any other fields to the attribute
that you map to the Unique Identifier.
• The attribute name can contain up to 64 characters.
• The attribute value can contain up to 42 characters.
Note: 
RSA does not recommend using the default value if you are using third-party 
directory management tools that handle moving users from one DN to another by 
deleting the users and adding them back to the directory.
Directory Configuration-Users
First Name. The directory attribute that maps to the first name attribute. By default, 
First Name maps to “givenName.”
Middle Name. The directory attribute that maps to the middle name attribute. By 
default, Middle Name maps to “initials.”
Last Name. The directory attribute that maps to the last name attribute. By default, 
Last Name maps to “sn.”
E-mail. The directory attribute that maps to the e-mail attribute. By default, E-mail 
maps to “mail.”
Certificate DN. Reserved for future use. By default, it is mapped to “comment.” Do 
not map certificate to critical fields, such as “cn” or “sAMAccountName.”
Password. The directory attribute that maps to the password attribute. By default, 
Password maps to “unicodePwd.”
Search Filter. The filter that specifies how user entries are distinguished in the LDAP 
directory, such as a filter on the user object class. Any valid LDAP filter for user 
entries is allowed, for example, (objectclass=inetOrgPerson).
Search Scope. The scope of user searches in the LDAP tree.
Object Classes. The object class of users in the identity source that are managed using 
the Security Console, for example, user,organizationalPerson,person.
5: Integrating LDAP Directories
109
RSA Authentication Manager 8.1 Administrator’s Guide
Directory Configuration - User Groups
User Group Name. The directory attribute that maps to the user group name attribute. 
For example, the User Group Name might map to cn.
Search Filter. An LDAP filter that returns only group entries, such as a filter on the 
user group object class, for example, (objectclass=group).
Search Scope. The scope of user group searches in the LDAP tree.
Object Classes. The object class of user groups that are created or updated using the 
Security Console.
Membership Attribute. The attribute that contains the DNs of all the users and user 
groups that are members of a user group.
User MemberOf Attribute. Enables the system to resolve membership queries by 
using the value specified for the MemberOf attribute.
MemberOf Attribute. The attribute of users and user groups that contains the DNs of 
the user groups to which they belong.
Identity Source Scope
Identity source scope determines the subset of users and user groups in your LDAP 
directory that can be managed within the identity source. 
Identity Source Scope Settings
When you add an identity source, you determine its scope, including the base DNs, the 
search filters, and the search scope (single level vs. all levels).
Setting
Description
User Base DN 
Directory location where Authentication 
Manager searches for users.
User Group Base DN
Location in your LDAP directory where 
Authentication Manager searches for 
groups.
User Search Filter and User Group Search Filter An LDAP filter that returns only user or 
group entries, such as a filter on the user 
group object class, for example, 
(objectclass=groupOfUniqueNames).
User Search Scope and Group Search Scope
Scope of user and user group searches in 
the LDAP tree.
110
5: Integrating LDAP Directories
RSA Authentication Manager 8.1 Administrator’s Guide
Important: 
Do not configure multiple identity sources with overlapping scope. If you 
have multiple identity sources that point to the same User Base DN or User Group 
Base DN, verify that you correctly configured the User Search Filter and User Group 
Search Filter to include each user in only one identity source. Improper configuration 
may result in unresolvable users and authentication problems.
Identity Source Scope Change Requirements
You can make the scope of an identity source broader or narrower. If you narrow the 
scope of an identity source, some users and user groups may become unresolvable and 
unable to authenticate. Unresolvable users are users that Authentication Manager can 
no longer find in the LDAP directory that was designated as their identity source.
After you narrow the scope you need to run the scheduled cleanup job to delete 
references to unresolvable users and user groups from the internal database. For 
instructions, see Scheduling Cleanup for Unresolvable Users and User Groups
on 
page 154.
When you run the scheduled cleanup job, you need to disable the Grace Period, the 
Cleanup Limit, or both if they are set, and re-enable those settings after this single 
cleanup runs.
Note: 
You do not need to perform a scheduled cleanup after broadening the scope of 
the identity source. 
Active Directory Identity Sources that are Not Global Catalogs
In Active Directory, identity sources that are not Global Catalogs are used for 
administrative operations, such as enabling users for on-demand authentication and 
risk-based authentication. If you are not using a Global Catalog, this type of identity 
source is also used for finding and authenticating users. This type of identity source 
also maps to a domain controller. 
If you want to administer Active Directory domain users in Authentication Manager, 
you must add an identity source for each domain that contains users who will 
authenticate with Authentication Manager.
User Object Classes and Group Object Classes  Object class of users and user groups that 
are accessed by Authentication Manager. 
Any custom attributes that are used in the 
mapping fields must be part of one of the 
object classes. For more information, see 
C
ustom Attribute Mapping
on page 121.
Setting
Description
Documents you may be interested
Documents you may be interested