6: Administering Users
141
RSA Authentication Manager 8.1 Administrator’s Guide
7. For Send On-Demand Tokencodes to, specify the delivery method.
8. For Associated PIN, do one of the following:
• Select Require user to setup the PIN through RSA Self-Service Console.
• Select Set initial PIN to, and enter the initial PIN.
9. Click Save.
10. If you have set the initial PIN, securely communicate the initial PIN to the user.
Clear a User's On-Demand Authentication PIN
You might clear a user's on-demand authentication (ODA) PIN when the PIN is 
compromised, forgotten, or when your company policy requires the PIN change. You 
must always set a temporary PIN when you clear a user's PIN because ODA requires a 
PIN.
The user must change a temporary PIN the first time it is used.
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the user for whom you want to set a temporary PIN.
3. Click the user.
4. From the context menu, select SecurID Tokens.
5. Under On-Demand Authentication, for Associated Pin, select Clear existing 
PIN and set a temporary PIN for the user.
6. Enter a temporary PIN.
7. Click Save.
8. Securely communicate the temporary PIN to the user.
Require Users to Change Their RSA SecurID PINs
When you require a user to change a SecurID PIN, the user is prompted to create a 
new PIN after successfully authenticating with the token. 
You can require a PIN change only when a user knows the existing PIN. For example, 
you might require a user to change a SecurID PIN if the current PIN has been 
compromised. If a user has forgotten the PIN, clear the PIN.
Procedure
1. In the Security Console, click Authentication > SecurID Tokens > Manage 
Existing.
2. Click the Assigned tab.
3. Use the search fields to find the token that you want to edit.
4. From the search results, click the token with the PIN that you want the user to 
change.
5. Select Require SecurID PIN Change.
Convert pdf into powerpoint online - SDK application API:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf into powerpoint online - SDK application API:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
142
6: Administering Users
RSA Authentication Manager 8.1 Administrator’s Guide
Clear an RSA SecurID PIN
When a user forgets a SecurID PIN, you can clear the PIN so that the user can create a 
new one. When you clear a user’s PIN, the user can create a new PIN the next time the 
user authenticates. 
For example, suppose a user has forgotten a PIN and calls for help. You verify the 
user’s identity and clear the PIN. You tell the user to enter just the tokencode when 
prompted for the passcode the next time user authenticates. After entering the 
tokencode, the user is prompted to create a new PIN for the user’s token.
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the user for whom you want to clear a PIN.
3. Click the user.
4. From the context menu, select SecurID Tokens.
5. Click the serial number for the user’s assigned token.
6. From the context menu, select Clear SecurID PIN.
7. Tell the user to enter only a tokencode at the next authentication. After the user 
enters the tokencode, the user is prompted to create a new PIN.
Obtain the PIN Unlocking Key for an RSA SecurID 800 Authenticator
Users with SecurID 800 authenticators need a PIN unlocking key to access their token 
if they have forgotten their PIN. Use the Security Console to view the smartcard 
details and obtain the PIN unlocking key.
Before You Begin
You must load the SecurID 800 authenticator data into RSA Authentication Manager 
before you can view it. For instructions, see Import PIN Unlocking Keys
on page 143.
Procedure
1. In the Security Console, click Authentication > SecurID Tokens > Manage 
Existing.
2. Click the Assigned tab.
3. Use the search fields to find the smartcard that you want to view.
4. From the search results, click the smartcard that you want to view.
5. From the context menu, click Edit.
6. View the SID800 Smart Card Details section to obtain the PIN unlocking key.
SDK application API:Online Convert PowerPoint to PDF file. Best free online export
Convert a PPTX/PPT File to PDF. Just upload your file by clicking on the blue button or drag-and-drop your pptx or ppt file into the drop area.
www.rasteredge.com
SDK application API:RasterEdge XDoc.PowerPoint for .NET - SDK for PowerPoint Document
Convert PowerPoint to ODP/ ODP to PowerPoint. Insert Pages into PowerPoint File. Download Free Trial Download and try PDF for .NET with online support.
www.rasteredge.com
6: Administering Users
143
RSA Authentication Manager 8.1 Administrator’s Guide
Import PIN Unlocking Keys
Use the Import PIN Unlocking Key utility, import-puk, to import the PIN Unlocking 
Keys for the RSA SecurID 800 Hybrid Authenticator into Authentication Manager. 
After importing the XML data, you can view the PIN Unlocking Key on the Token 
Properties page in the Security Console.
Before You Begin
• You must have an administrator role with SecurID 800 Smart Card Details
permission to perform this procedure. For more information, see the Security
Console Help topic “Edit an Administrative Role.”
• Secure shell (SSH) must be enabled on the appliance. For instructions, see Enable
SSH on the Appliance
on page 413.
Procedure
1. Log on to the appliance using an SSH client. For instructions, see Log On to the
Appliance Operating System with SSH
on page 414.
2. Change directories to /opt/rsa/am/utils. Type:
cd /opt/rsa/am/utils/
and press ENTER.
3. Run import-puk to import the PIN unlocking keys. Type:
./rsautil import-puk -f filename
where filename is the path to the PUK.xml file, for example: 
-f /opt/rsa/am/PUK.xml
4. When prompted, enter your administrator User ID, and press ENTER.
5. When prompted, enter your password, and press ENTER.
6. When the import process is complete, the following message displays:
Status: IMPORTED <number> PIN UNLOCK KEY (PUK) RECORDS 
SUCCESSFULLY.
7. Close the SSH client. Type:
exit
and press ENTER.
SDK application API:C# PDF insert text Library: insert text into PDF content in C#.net
Able to add a single text character and text string to PDF files using online source codes in C#.NET class value, The char wil be added into PDF page, 0
www.rasteredge.com
SDK application API:XDoc.HTML5 Viewer for .NET, Zero Footprint AJAX Document Image
View, Convert, Edit, Sign Documents and Images. viewer library can be easily integrated into your ASP powerful & profession imaging controls, PDF document, image
www.rasteredge.com
144
6: Administering Users
RSA Authentication Manager 8.1 Administrator’s Guide
User Groups
Grouping users makes it easy to manage access to protected resources. A user group is 
a collection of users, other user groups, or both. Users and user groups that belong to a 
user group are called member users and member user groups.
User Group Organization
You can organize groups according to your organizational needs:
• Geographic location. Groups can be created according to geography.
– A city, state, or country
– A region that includes several cities, states, or countries
• Company divisions. Groups can be created according to functional areas in a 
company.
– Department
– Project
– Job
• Resources. Groups can be created according to particular resources.
– Research and development files
– Medical records
User Group Characteristics
User groups have the following characteristics:
• Each user group is stored in an identity source, either an LDAP directory or the 
internal database.
• Each user group is associated with a security domain.
• A user group can contain multiple users and user groups. 
User groups stored in an external identity source can contain only users and user 
groups contained in that identity source.
• A user group can include users and user groups that are managed in different 
security domains. 
For example, users in security domain A and users in security domain B can both 
be members of the same user group and thus access the same protected resources.
• User group names must be unique within a single identity source. 
Authentication Managercan have two user groups with the same name if they are 
stored in two different identity sources.
• Administrators can move user groups between security domains to transfer 
administrative responsibility for the group to a different administrator. For 
instructions, see the Security Console Help topic “Move User Groups Between 
Security Domains.”
SDK application API:C# PDF Convert to Tiff SDK: Convert PDF to tiff images in C#.net
with specified zoom value and save it into stream The magnification of the original PDF page size Description: Convert to DOCX/TIFF with specified resolution and
www.rasteredge.com
SDK application API:C# PDF File Split Library: Split, seperate PDF into multiple files
SharePoint. C#.NET control for splitting PDF file into two or multiple files online. Support to break a large PDF file into smaller files.
www.rasteredge.com
6: Administering Users
145
RSA Authentication Manager 8.1 Administrator’s Guide
• A user or user group can be a member of more than one user group.
• You can add and remove a user from user group using the User Dashboard page. 
For instructions, see the Security Console Help topic “User Dashboard.”
Creating User Groups
You can create user groups in the following ways:
• To create a user group in the internal database, use the Security Console. For 
instructions, see Add a User Group
on page 146 and Add a User to a User Group
on page 146.
• To create a user group in an external identity source, use the LDAP directory 
native interface.
Internal User Groups
You can add users and user groups from external identity sources to a user group in the 
internal database. This offers the following benefits: 
• Improved authentication performance for users in an external identity source. 
Including these users directly in a group in the internal database reduces the need 
to access the external identity source when these users authenticate, which reduces 
network traffic to the directory server. Users in member groups within a user 
group do not benefit from this improved performance.
• Greater control over organizing users, especially users in an LDAP directory, 
where you cannot use the Security Console to control the group structure of the 
directory.
• Reduces administrative burden for the following reasons: 
– You can create a single user group for a restricted agent, and include all the 
users you want to grant access to the agent, rather than create separate groups 
for each identity source. 
– When an LDAP administrator modifies a group in the LDAP directory, you 
can minimize or eliminate the need to reconfigure restricted agents because 
access is granted through user groups residing in the internal database, and is 
unaffected by modifications to groups in the directory. 
Membership in user groups residing in external identity sources is still restricted to 
member users and member users groups residing in the same external identity source 
as the user group.
Nested User Groups
When you configure user groups for restricted agents, you may want to add or “nest” 
multiple user groups within a single user group. This allows you to enable several 
groups on a restricted agent. Using nested groups eases the administrative burden of 
restricting access to authentication agents, but can affect authentication performance 
when groups are deeply nested or contain large numbers of users. 
SDK application API:VB.NET PDF File Split Library: Split, seperate PDF into multiple
Split PDF file into two or multiple files in ASP.NET webpage online. Support to break a large PDF file into smaller files in .NET WinForms.
www.rasteredge.com
SDK application API:C# PDF Page Insert Library: insert pages into PDF file in C#.net
from the ability to inserting a new PDF page into existing PDF or pages from various file formats, such as PDF, Tiff, Word, Excel, PowerPoint, Bmp, Jpeg
www.rasteredge.com
146
6: Administering Users
RSA Authentication Manager 8.1 Administrator’s Guide
Nested user groups have the following characteristics:
• A user group in the internal database can contain user groups that reside in the 
internal database or an external identity source. A user group in an external 
identity source cannot contain user groups from any other identity source. 
• You can nest user groups using one of the following means:
– Using the Security Console to nest two or more user groups stored in the 
internal database.
– Using the LDAP directory user interface to nest two or more user groups 
stored in the same external identity source. 
– Using the Security Console to nest a user group stored in an external identity 
source within a user group stored in the internal database.
• Members of nested groups inherit access to restricted agents from the parent user 
group that is granted access to the restricted agent. If a nested group is also 
granted access to the same agent, its members may have additional access 
permissions. 
A user who is a member of a nested group can be granted access to a restricted agent 
for two reasons: 
• Because the user is a member of a nested user group that has access to the 
restricted agent
• Because the user is a member of a user group that is nested in another user group 
that has access to a restricted agent
In general, members of nested user groups have the same access privileges as the 
parent user group. Members of the nested user group can access an agent when the 
group is nested inside another user group that can access the agent. 
Add a User Group
You can add user groups to the internal database. You do not need to add a user group 
that already exists in an external identity source. Groups in external identity sources 
are added when the identity source is linked.
Procedure
1. In the Security Console, click Identity > User Groups > Add New.
2. From the Security Domain drop-down list, select the security domain to which 
you want to assign the new user group. The new user group is managed by 
administrators whose administrative scope includes this security domain.
3. In the User Group Name field, enter a unique name for the user group. Do not 
exceed 64 characters. The characters & % > < ‘ are not allowed.
4. Click Save.
Add a User to a User Group
You can add users from any identity source to a user group in the internal database 
only. To change the membership of a group in an external LDAP identity source you 
must use native tools. 
6: Administering Users
147
RSA Authentication Manager 8.1 Administrator’s Guide
You can add users to a single user group or to multiple user groups.
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the user that you want to add to a user group. Some 
search fields are case sensitive.
3. Select the checkbox next to the user that you want to add to a user group.
4. From the Action menu, select Add to User Groups, and click Go.
5. Use the search fields to find the user group to which you want to add the user. 
Some search fields are case sensitive.
6. Select the checkbox next to the user group to which you want to add the user. You 
can select multiple checkboxes to add the user to more than one group.
7. Click Add to Group.
Controlling User Access With Authentication Agents
After installing an agent, you configure the agent to control user access to protected 
resources. The following table describes how each agent configuration controls user 
access.
Agent Configuration
Who Can Authenticate
Benefits
Unrestricted
All users in the same 
deployment as the agent.
Less administrative burden 
because there is no need to 
configure an agent as a 
restricted agent, associate 
user groups with agents, or 
manage user membership of 
the user groups associated 
with the agent. However, you 
can grant a user group that is 
associated with a logon alias 
access to an unrestricted 
agent.
Restricted
Members of any group 
directly granted access to the 
restricted agent.
Members of a group nested 
within a group granted access 
to the restricted agent.
Increases security because 
only a subset of users is 
allowed to authenticate to the 
agent, which allows you to 
limit access to specific 
network resources.
Restricted with group access 
time restrictions
Members of a group or 
nested group who 
authenticate during a 
specified time.
Further restricts access to the 
agent by prohibiting 
authentication outside of a 
specified time period.
148
6: Administering Users
RSA Authentication Manager 8.1 Administrator’s Guide
Configuring a Restricted Agent to Control User Access
A restricted agent allows only members of one or more specified groups to access 
protected resources. For example, if you create a restricted agent to provide access to 
personnel data and allow only members of the human resources group to authenticate 
on this agent, only members of the human resources group can access personnel data. 
You can further restrict access by limiting authentication to a specified a time span.
This procedure lists the high-level tasks required to configure a restricted agent.
Procedure
1. Add an authentication agent, and configure the agent to be a restricted agent.
For instructions, see Add an Authentication Agent
on page 70.
2. Generate the Authentication Manager configuration file. 
For instructions, see Generate the Authentication Manager Configuration File
on 
page 69. 
3. Set up user groups. 
For instructions, see User Groups
on page 144. 
4. Allow a user group access to the restricted agent. 
For instructions, see Allow a User Group to Authenticate on an Agent
on 
page 148.
5. (Optional) Set restricted access times for user groups. 
For instructions, see the Security Console Help topic “Set Restricted Access 
Times for User Groups.” 
Allow a User Group to Authenticate on an Agent
Use the following procedure to allow a user group to authenticate on a restricted agent 
or to enable the use of logon aliases on a restricted or unrestricted agent.
Restricted agents process authentication requests only from users who are members of 
user groups that have been granted access to the restricted agent. Users who are not 
members of an associated user group cannot use the restricted agent to authenticate.
Using restricted agents increases your control over who can authenticate to a resource. 
However, using restricted agents also increases your administrative overhead because 
administrators must explicitly associate user groups with the agents.
To authenticate on a restricted or unrestricted agent with a logon alias, a user must 
belong to a user group that is associated with the logon alias and that is enabled for 
authentication on the agent.
Procedure
1. In the Security Console, click Access > Authentication Agents > Manage 
Existing.
2. Click the Restricted or Unrestricted tab.
3. Use the search fields to find the agents to which you want to grant access or 
enable logon aliases.
6: Administering Users
149
RSA Authentication Manager 8.1 Administrator’s Guide
4. Select the checkbox next to the agents to which you want to grant access or enable 
logon aliases. 
5. Do one of the following:
• For restricted agents, select Grant Access to User Groups from the Action 
menu, and click Go.
• For unrestricted agents, select Enable Logon Aliases from the Action menu, 
and click Go.
6. Use the search fields to find the user groups to which you want to grant access or 
enable logon aliases.
7. Select the checkbox next to the user groups to which you want to grant agent 
access or enable logon aliases.
8. Do one of the following:
• For restricted agents, click Grant Access to User Groups.
• For unrestricted agents, click Enable Aliases Associated with User Groups.
Restricted Access Times for User Groups 
You can assign restricted access times to user groups. Restricted access times allow 
you to control which days and hours members of a user group can access a restricted 
agent.
For example, suppose you have users in Boston who access company resources and 
you want to limit access to regular business hours. You can add the Boston users to a 
group and restrict access times from 8:00 a.m. to 5:00 p.m. To ease the burden of 
configuring time restrictions, Authentication Manager provides Access Time 
templates that reflect typical times you may want to restrict access to agents. In this 
example, you might choose to use the “8am - 5pm Weekdays” template for the group 
instead of configuring these times manually.
Be aware of the following behaviors and limitations of restricted access times:
• All times are relative to the time zone that you select when you configure 
restricted access times.
Be aware of this behavior when applying restricted access times in a deployment 
containing users in geographically diverse locations. For more information, see 
Restricted Access Times for Users in Different Geographic Locations
on 
page 150.
• Authentication Manager does not support fractional time zones. You must use an 
available time zone closest to the desired fractional time zone.
• Authentication Manager does not make automatic adjustments for Daylight 
Saving Time changes.
150
6: Administering Users
RSA Authentication Manager 8.1 Administrator’s Guide
Restricted Access Times for Users in Different Geographic Locations
The times that you specify for restricted access are relative to the time zone of the 
primary instance. If you restrict access times for users in different geographic 
locations, you must account for the time differences between the locations. To 
accommodate the time differences, you can configure group membership and access 
time restrictions in two ways:
• Configure two or more user groups based on geographic location and set a 
different access time for each group. When you configure user groups according 
to the location of the members, you must compensate for the time difference 
between the primary instance and the location of the users by configuring 
different restricted access times for each group.
For example, if the deployment has users in Boston and London, create a user 
group for Boston and another for London. Specify different restricted access times 
for each group. On the primary instance located in Boston, you restrict the Boston 
group from 8:00 a.m. to 5:00 p.m., and restrict the London group from 3:00 a.m. 
to 12:00 p.m. (which is 8:00a.m. to 5:00 p.m. in London). 
Alternatively, you can select the local time zone when configuring restricted 
access times. In the previous example, you could specify the local time zone for 
each user group before configuring the restricted access times.
RSA recommends using this method because it offers more administrative control 
over access times and over a user’s ability to access the restricted agent.
• Configure a single user group for users in multiple geographic locations and 
set the same access time for both groups. When you configure a single group 
that contains members from different locations, you must make sure that the 
restricted access times include the entire work day for all members of the user 
group. 
For example, suppose your group contains users in Boston and London. On the 
primary instance located in Boston, which is set to Eastern Standard Time, you 
restrict the Boston access times to the hours of 8:00 a.m. to 5:00 p.m. Because 
users in London will only be able to access the agent from 1 p.m. to 10 p.m. 
London time, you must expand the access time for the group from 3:00 a.m. to 
5:00 p.m. Eastern Standard Time. This allows users both in Boston and London to 
access the agent during the work day. 
For more information, see Restricted Access Times for User Groups
on page 149.
Restricted Access Times for Users in Multiple User Groups
When a user is a member of multiple user groups, more than one of the groups can be 
granted access to the same restricted agent. In such cases, the time restrictions of the 
groups are combined, which can expand the time that a user is allowed to access the 
agent. 
For example, suppose that a user is a member of two user groups: Marketing and 
Sales. Both groups have access to the same restricted agent. If the restricted access 
time for the members of Marketing is from 8:00 a.m. to 5:00 p.m. and the restricted 
access time for members of Sales is from 9:00 a.m. to 7:00 p.m., the user can access 
the agent from 8:00 a.m. to 7:00 p.m.
Documents you may be interested
Documents you may be interested