6: Administering Users
161
RSA Authentication Manager 8.1 Administrator’s Guide
Modifying Group Membership in an LDAP Directory
In order to optimize performance and minimize traffic between Authentication 
Manager and an LDAP directory, Authentication Manager caches information about 
user group memberships. When a user’s group membership is changed in an LDAP 
directory, Authentication Manager cannot acknowledge the change until the cache is 
refreshed. As a result, these changes take effect after the cache refresh interval has 
elapsed. In the time between the change and the refresh, you may see the following 
behaviors:
• A user added to a group that has access to a restricted agent cannot authenticate to 
the restricted agent. 
• A user who has been removed from a group that has access to a restricted agent 
can still authenticate to the agent.
You can flush the cache immediately using the Operations Console. For more 
information, see Flush the Cache
on page 376.
For more information on configuring the cache, see the Security Console Help topic 
“Configure the Cache.”
How to convert pdf to powerpoint slides - Library SDK class:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
How to convert pdf to powerpoint slides - Library SDK class:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
Library SDK class:C# PowerPoint - How to Process PowerPoint
Microsoft PowerPoint Document Processing Control in Visual C#.NET of RasterEdge .NET Imaging SDK is a reliable and professional PowerPoint slides/pages editing
www.rasteredge.com
Library SDK class:VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
add image to slide, extract slides and merge library SDK, this VB.NET PowerPoint processing control powerful & profession imaging controls, PDF document, image
www.rasteredge.com
7: Administering RSA Authentication Manager
163
RSA Authentication Manager 8.1 Administrator’s Guide
7
Administering RSA Authentication Manager
Delegated System Administration
The Super Admin and the Operations Console administrators are responsible for 
maintaining the components of the Authentication Manager system. 
Super Admin
The Super Admin is the only role with full administrative permission in all security 
domains in the deployment. The Super Admin creates other administrators, the 
security domain hierarchy, and links identity sources to the deployment.
Operations Console Administrators
An Operations Console administrator is an administrative account that grants access to 
the Operations Console. Operations Console administrators can perform important 
command line utility procedures, including recovering a Super Admin account in the 
event that no Super Admin is able to access the system. 
Like the Super Admin administrative role, an Operations Console administrator 
account should only be granted to the most trusted administrators. Many Operations 
Console tasks require both Super Admin and Operations Console administrator 
credentials.
You create an initial Operations Console administrator account during Quick Setup, 
and you can create and manage Operations Console administrators in the Security 
Console. Only a Super Admin can view or manage an Operations Console 
administrator account. Likewise, only a user with Operations Console administrator 
credentials can restore a Super Admin.
Authentication Manager stores Operations Console administrator accounts separately 
from the user database. User password policies do not apply to Operations Console 
administrators.
System Administrator Accounts
The following accounts provide permission to modify, maintain, and repair the 
Authentication Manager deployment. Quick Setup creates these accounts with 
information that you enter.
• Authentication Manager Administrator Accounts
• Appliance Operating System Account
If you plan to record the logon credentials for these accounts, be sure that the storage 
method and location are secure.
Library SDK class:VB.NET PowerPoint: Sort and Reorder PowerPoint Slides by Using VB.
clip art or screenshot to PowerPoint document slide large amount of robust PPT slides/pages editing powerful & profession imaging controls, PDF document, image
www.rasteredge.com
Library SDK class:VB.NET PowerPoint: Use PowerPoint SDK to Create, Load and Save PPT
Besides, users also can get the precise PowerPoint slides count as soon as the PowerPoint document has been loaded by using the page number getting method.
www.rasteredge.com
164
7: Administering RSA Authentication Manager
RSA Authentication Manager 8.1 Administrator’s Guide
Authentication Manager Administrator Accounts
The following table lists the administrator accounts for Authentication Manager. The 
administrator who deploys the primary instance creates these accounts during Quick 
Setup.
User IDs for a Super Admin and a non-administrative user are validated in the same 
way. A valid User ID must be a unique identifier that uses 1 to 255 ASCII characters. 
The characters & % > < ` are not allowed.
A valid User ID for an Operations Console administrator must be a unique identifier 
that uses 1 to 255 ASCII characters. The characters @ ~ are not allowed, and spaces 
are not allowed.
Note: 
Create an Operations Console administrator account for each Operations 
Console user. Do not share account information, especially passwords, among 
multiple administrators.
Name
Permissions
Management
Super Admin
Super Admins can perform all 
administrative tasks in the Security 
Console with full administrative 
permission in all security domains 
in the deployment.
Any Super Admin can create other 
Super Admin users in the Security 
Console. 
An Operations Console 
administrator can recover a Super 
Admin account if no Super Admin 
can access the system.
Operations 
Console 
administrator
Operations Console administrators 
can perform administrative tasks 
in the Operations Console. 
Operations Console administrators 
also use command line utilities to 
perform some procedures, such as 
recovering the Super Admin 
account. Command line utilities 
require the appliance operating 
system account password.
Note: 
Some tasks in the Operations 
Console also require Super Admin 
credentials. Only Super Admins 
whose records are stored in the 
internal database are accepted by 
the Operations Console.
Any Super Admin can create and 
manage Operations Console 
administrators in the Security 
Console. For example, you cannot 
recover a lost Operations Console 
administrator password, but a 
Super Admin can create a new 
one.
Operations Console administrator 
accounts are stored outside of the 
Authentication Manager internal 
database. This ensures that if the 
database becomes unreachable, an 
Operations Console administrator 
can still access the Operations 
Console and command line 
utilities.
Library SDK class:VB.NET PowerPoint: Extract & Collect PPT Slide(s) Using VB Sample
want to combine these extracted slides into a please read this VB.NET PowerPoint slide processing powerful & profession imaging controls, PDF document, image
www.rasteredge.com
Library SDK class:VB.NET PowerPoint: Merge and Split PowerPoint Document(s) with PPT
of the split PPT document will contain slides/pages 1-4 code in VB.NET to finish PowerPoint document splitting If you want to see more PDF processing functions
www.rasteredge.com
7: Administering RSA Authentication Manager
165
RSA Authentication Manager 8.1 Administrator’s Guide
Appliance Operating System Account
The appliance operating system account User ID is rsaadmin. This User ID cannot be 
changed. You specify the operating system account password during Quick Setup. 
You use this account to access the operating system when you perform advanced 
maintenance or troubleshooting tasks. The rsaadmin account is a privileged account to 
which access should be strictly limited and audited. Individuals who know the 
rsaadmin password and who are logged on as rsaadmin have sudo privileges and shell 
access.
Every appliance also has a root user account. This account is not needed for normal 
tasks. You cannot use this account to log on to the appliance.
You can access the operating system with Secure Shell (SSH) on a hardware 
appliance or a virtual appliance. Before you can access the appliance operating 
system through SSH, you must use the Operations Console to enable SSH on the 
appliance. For instructions, see Enable SSH on the Appliance on page 413. On a 
virtual appliance, you can use the VMware vSphere Client, the Hyper-V System 
Center Virtual Machine Manager Console, or the Hyper-V Manager. 
An Operations Console administrator can change the rsaadmin password. For 
instructions, see the Operations Console Help topic “Change the Operating System 
Account Password.” RSA does not provide a utility to recover the operating system 
password.
Add a Super Admin
Each deployment must have at least one Super Admin. You can assign another user as 
a Super Admin to share administrative responsibilities. You add a Super Admin in the 
Security Console.
Before You Begin
You must be a Super Admin to perform this procedure.
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the user that you want to assign a Super Admin role.
3. Click the user, and select Administrative Roles.
4. Click Assign Role, click SuperAdminRole, and click Assign Role.
Library SDK class:VB.NET PowerPoint: Complete PowerPoint Document Conversion in VB.
VB.NET PowerPoint Conversion Control to render and convert target PowerPoint document to various image or document formats, such as PDF, BMP, TIFF
www.rasteredge.com
Library SDK class:VB.NET PowerPoint: Convert & Render PPT into PDF Document
Using this VB.NET PowerPoint to PDF converting demo code below, you can easily convert all slides of source PowerPoint document into a multi-page PDF file.
www.rasteredge.com
166
7: Administering RSA Authentication Manager
RSA Authentication Manager 8.1 Administrator’s Guide
Add an Operations Console Administrator
An Operations Console administrator is a user with permissions to perform 
administrative tasks in the Operations Console and to run some command line 
utilities. You create an Operations Console administrator in the Security Console.
Before You Begin
You must be a Super Admin.
Procedure
1. In the Security Console, click Administration > Manage OC Administrators.
2. Click Add New.
3. In the Create User ID field, enter the Operations Console administrator’s User 
ID. The User ID must be between 1 and 255 characters and may only contain 
characters in the basic ASCII character set, excluding space, @, and ~.
4. In the Create Password field, enter the Operations Console administrator’s 
password. The password must be between 8 and 32 characters, contain at least 1 
alphabetic character, at least 1 special character, and may only contain characters 
in the basic ASCII character set, excluding space, @, and ~. The password can not 
match the corresponding user ID.
5. In the Confirm Password field, reenter the password.
6. Click Save.
Note: 
It can take from fifteen to thirty minutes for a new Operations Console 
administrator’s account to replicate to a replica instance.
Change an Operations Console Administrator's Password
Any Super Admin can change an Operations Console administrator password in the 
Security Console. You cannot recover a lost Operations Console administrator 
password, but a Super Admin can create a new one.
Before You Begin
You must be a Super Admin.
Procedure
1. In the Security Console, click Administration > Manage OC Administrators.
2. Next to the Operations Console administrator whose password you wish to 
modify, click Change Password.
Library SDK class:VB.NET PowerPoint: Add Image to PowerPoint Document Slide/Page
insert or delete any certain PowerPoint slide without methods to reorder current PPT slides in both powerful & profession imaging controls, PDF document, tiff
www.rasteredge.com
Library SDK class:C# PowerPoint: C# Guide to Add, Insert and Delete PPT Slide(s)
file and it includes all slides and properties to view detailed guide for each PowerPoint slide processing & profession imaging controls, PDF document, tiff
www.rasteredge.com
7: Administering RSA Authentication Manager
167
RSA Authentication Manager 8.1 Administrator’s Guide
3. In the Create New Password field, enter the Operations Console administrator’s 
new password. 
The password must be between 8 and 32 characters, contain at least 1 alphabetic 
character, at least 1 special character, and may only contain characters in the basic 
ASCII character set, excluding space, @, and ~. The password may not match the 
corresponding user ID.
4. In the Confirm New Password field, reenter the new password.
5. Click Save.
Note: 
It can take from fifteen to thirty minutes for changes to an Operations Console 
administrator’s account to replicate to a replica instance.
Operations Console
You use the Operations Console to add or manage the following Authentication 
Manager components:
• Identity sources
• Instances
• Certificates
• Web tiers
• Network settings
You also use the Operations Console to back up and restore deployment data to fix an 
unresponsive instance. 
Log On to the Operations Console
Operations Console administrator credentials are required to log onto the Operations 
Console. An initial Operations Console administrator account is created during Quick 
Setup, and additional Operations Console accounts can be created by a Super Admin.
Navigation works best if you use the Operations Console menus and buttons instead of 
using the browser’s navigation controls.
Before You Begin
You must have Operations Console administrator credentials.
Procedure
1. Open the browser. 
2. Go to the following URL:
https://fully qualified host 
name:7072/operations-console/
where fully qualified host name is the FQHN of the appliance.
168
7: Administering RSA Authentication Manager
RSA Authentication Manager 8.1 Administrator’s Guide
Session Lifetime Limits
A session lifetime defines a session duration. Session lifetime is an important security 
feature because it prevents administrators from keeping sessions open indefinitely, 
leaving them vulnerable to unauthorized access. When you edit a session lifetime, you 
can change settings such as the maximum session lifetime, and how long a session can 
be idle before the system closes it.
Each time an administrator logs on to the Security Console, Operations Console, or 
Self-Service Console, the following sessions are created:
• Logon Session
• EAP32 Session Lifetime
• Console and Command API Session
Up to ten administrators can be logged on at the same time.
You can create different sets of session attributes for the primary instance and the 
replica instance.
Logon Session
Logon Session settings control the lifetime for sessions that are abandoned or have not 
completed the authentication process. These sessions affect the following types of 
logon sessions:
• Security Console (administrators)
• Operations Console (administrators)
• Self-Service Console (non-administrative)
• Users who are authenticating through risk-based authentication 
(non-administrative)
The defaults for these settings are three minutes idle time-out and eight minutes of 
total lifetime.
EAP32 Session Lifetime
Extensible Authentication Protocol (EAP) Session settings control the initial session 
lifetime for EAP32 Sessions.
Console and Command API Session
The Console and Command API Session settings control the authenticated or active 
sessions for administrators in the web-based consoles or the command application 
programming interface (API). The default settings are 30 minutes idle time-out and 8 
hours of total lifetime. 
The Authentication Manager web-based administrative consoles are the Security 
Console and the Operations Console. The command API is used by programmers, web 
developers, or systems engineers responsible for developing custom software 
applications that interact with the Authentication Manager system. For information on 
the command API, see the RSA Authentication Manager 8.1 Developer’s Guide.
7: Administering RSA Authentication Manager
169
RSA Authentication Manager 8.1 Administrator’s Guide
Types of Session Lifetime Limits
Session settings apply to the logon pages for the web-based administrative consoles, 
the command API interface described in the RSA Authentication Manager 8.1 
Developer’s Guide, and the risk-based authentication (RBA) logon attempts by end 
users. When a session times out or reaches the maximum lifetime, the logon page is 
redisplayed, and the user must log on again. 
You can configure the following settings for sessions:
Time-out. The length of time that a session can be inactive before being 
terminated. The default setting is 30 minutes.
Maximum Lifetime. The maximum length of an session. When the console 
session reaches its session lifetime, the session is terminated and the administrator 
is logged off, regardless of whether the session is active. The default setting is 
eight hours.
These settings are independent of session inactivity. For example, if a console and 
command API session lifetime is eight hours, an administrator is automatically logged 
off after eight hours, even if there have been no periods of inactivity during the 
session.
Only a Super Admin can modify the console and command API session settings.
Edit Session Lifetime Settings
When you edit a session lifetime, you can change settings such as the maximum 
session lifetime, and the amount of time a session can be idle before the system closes 
it.
Before You Begin
You must be a Super Admin.
Procedure
1. In the Security Console, click Setup > System Settings.
2. Under Console & Session Settings, click Session Lifetime.
3. Click the session type that you want to edit, and select Edit, from the context 
menu.
4. Under Session Lifetime Settings, do the following:
a. Select Time out idle sessions, and enter the time-out duration, if you want to 
time out sessions after a period of inactivity.
b. Select Limit session lifetime, and enter the maximum lifetime of a session. 
5. Click Save.
170
7: Administering RSA Authentication Manager
RSA Authentication Manager 8.1 Administrator’s Guide
Updating Identity Source Properties
Occasionally it is necessary to update the identity source properties after the identity 
source has been linked to Authentication Manager. The directory configuration 
mapping section of the identity source properties makes it possible for fields in the 
identity source to be used by the internal database. Use the Operations Console to edit 
directory configuration mapping. 
You can also create custom user attributes with the Security Console. Use the Security 
Console to edit identity attribute definitions for custom user attributes. For 
information, see the Security Console Help topic “Edit Identity Source Attribute 
Mappings.”
Procedure
1. If you plan to change the User ID mapping, unlink the identity source from 
Authentication Manager. For instructions, see Unlink Identity Sources from the 
System
on page 170.
2. Edit the identity source properties. For instructions, see Edit an Identity Source
on 
page 171.
3. If you unlinked the identity source to change the User ID mapping, re-link the 
identity source to Authentication Manager after you have finished editing. For 
instructions, see Link an Identity Source to the System
on page 172.
Unlink Identity Sources from the System
When you link an identity source to the system, all users and user groups in the 
identity source can be viewed and managed through the Security Console. When you 
unlink an identity source, those users and user groups can no longer be managed 
through the Security Console. 
When you re-link the identity source, all users from that identity source will be 
resolvable again. Authentication Manager will be able to locate those users as it did 
before the unlink operation.
Before You Begin
You must be a Super Admin.
Note: 
You cannot unlink the internal database and the identity source to which you 
belong.
Procedure
1. In the Security Console, click Setup > Identity Sources > Link Identity Source 
to System.
2. From the list of linked identity sources under Link Identity Source, select the 
identity source that you want to unlink, and click the left arrow to unlink it.
3. Click Save.
Documents you may be interested
Documents you may be interested