Preface
21
RSA Authentication Manager 8.1 Administrator’s Guide
The RSA Solution Gallery provides information about third-party hardware and 
software products that have been certified to work with RSA products. The gallery 
includes Secured by RSA Implementation Guides with step-by-step instructions and 
other information about interoperation of RSA products with these third-party 
products.
Before You Call Customer Support
Please have the following information available when you call:
 Access to the RSA Authentication Manager appliance.
 Your license serial number. To locate the license serial number, do one of the 
following:
• Look at the order confirmation e-mail that you received when your ordered 
the product. This e-mail contains the license serial number.
• Log on to the Security Console, and click License Status. Click View 
Installed License.
 The Authentication Manager appliance software version information. You can 
find this information in the top, right corner of the Quick Setup, or in the 
Security Console. Log on to the Security Console, and click Software Version 
Information.
Convert pdf document to powerpoint - SDK Library service:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf document to powerpoint - SDK Library service:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
SDK Library service:Online Convert PowerPoint to PDF file. Best free online export
try to make it as easy as possible to convert your PPTX C#.NET project, Microsoft Office like Word, Excel, and PowerPoint can be converted to PDF document.
www.rasteredge.com
SDK Library service:RasterEdge XDoc.PowerPoint for .NET - SDK for PowerPoint Document
Convert. Convert PowerPoint to PDF. Convert PowerPoint to Png, Gif, Bitmap Convert PowerPoint to ODP/ ODP to PowerPoint. Document & Page Process.
www.rasteredge.com
1: RSA Authentication Manager Overview
23
RSA Authentication Manager 8.1 Administrator’s Guide
1
RSA Authentication Manager Overview
Introduction to RSA Authentication Manager
RSA Authentication Manager is a multi-factor authentication solution that verifies 
authentication requests and centrally administers authentication policies for enterprise 
networks. Use Authentication Manager to manage security tokens, users, multiple 
applications, agents, and resources across physical sites, and to help secure access to 
network and web-accessible applications, such as SSL-VPNs and web portals.
Multifactor Authentication
Passwords are a weak form of authentication because access is protected only by a 
single factor — a secret word or phrase selected by the user. If this password is 
discovered by the wrong person, the security of the entire system is compromised. 
Multifactor authentication provides stronger protection by requiring two or more 
unique factors to verify a user’s identity. Authentication factors in a multifactor 
system may include:
• Something the user knows (a password, passphrase, or PIN)
• Something the user has (a hardware token, laptop computer, or mobile phone)
• Something the user does (specific actions or a pattern of behavior)
Authentication Manager provides the following choices for strong authentication:
• RSA SecurID, which protects access using two-factor authentication with 
hardware and software-based tokens.
• On-demand authentication (ODA), which protects access using two-factor 
authentication by sending authentication credentials to users upon request through 
SMS text messaging or e-mail.
• Risk-based authentication (RBA), which protects access by assessing user 
behavior and matching the device being used to authenticate to assess the 
risk-level of an authentication attempt.
By leveraging devices that the user already owns, for example, a mobile phone, 
PC, or laptop, RBA and ODA enable multifactor authentication with no tokens to 
manage.
SDK Library service:VB.NET PDF Convert to HTML SDK: Convert PDF to html files in vb.
Embed zoom setting (fit page, fit width). Free library for .NET framework. Why do we need to convert PDF document to HTML webpage using VB.NET programming code?
www.rasteredge.com
SDK Library service:C# PDF Convert to HTML SDK: Convert PDF to html files in C#.net
How to Use C#.NET Demo Code to Convert PDF Document to HTML5 Files in C#.NET Class. Add necessary references: RasterEdge.Imaging.Basic.dll.
www.rasteredge.com
24
1: RSA Authentication Manager Overview
RSA Authentication Manager 8.1 Administrator’s Guide
Key Components for RSA Authentication Manager
An RSA Authentication Manager deployment may have the following components:
Primary Instance
Replica Instance
Identity Sources
RSA Authentication Agents
Risk-Based Authentication for a Web-Based Resource
RSA RADIUS Overview
Web Tier
Self-Service
SMS plug-ins. For more information see Deploying On-Demand Authentication
on page 225.
Load Balancer
Note: 
RSA supports and certifies many third-party products for integration with 
RSA SecurID, risk-based authentication (RBA), on-demand authentication 
(ODA), or Short Message Service (SMS). For a list of supported products, go to 
http://www.rsasecured.com 
and search for Authentication Manager. Each 
certification has a step-by-step implementation guide for setting up the solution.
Primary Instance
The primary instance is the initial Authentication Manager system that you deploy. 
Once you deploy a primary instance, you can add replica instances. It is possible to 
promote a replica instance to replace the primary instance in maintenance or disaster 
recovery situations.
The primary instance is the only system in the deployment that allows you to perform 
all Authentication Manager administrative tasks. Some administrative tasks can be 
performed on a replica instance, for example, replica promotion and log file 
collection.
The main functions of the primary instance include the following:
• Authenticating users.
• Enabling administration of Authentication Manager data stored in the internal 
database. You can perform tasks such as importing and assigning SecurID tokens, 
enabling risk-based authentication (RBA), adding LDAP identity sources, 
configuring self-service, generating replica packages, and generating agent 
configuration files and node secrets.
• Replicating changes due to administration and authentication activities.
• Hosting the primary RSA RADIUS server.
SDK Library service:VB.NET PDF Convert to Word SDK: Convert PDF to Word library in vb.
Convert PDF document to DOC and DOCX formats in Visual Basic .NET project. using RasterEdge.XDoc.PDF; Convert PDF to Word Document in VB.NET Demo Code.
www.rasteredge.com
SDK Library service:C# PDF Converter Library SDK to convert PDF to other file formats
NET. How to Use C#.NET XDoc.PDF Component to Convert PDF Document to Various Document and Image Forms in Visual C# .NET Application.
www.rasteredge.com
1: RSA Authentication Manager Overview
25
RSA Authentication Manager 8.1 Administrator’s Guide
• Handling self-service requests.
• Maintaining the most up-to-date Authentication Manager database. 
Replica Instance
A replica instance provides deployment-level redundancy of the primary instance. 
You can view, but not update, administrative data on a replica instance. 
A replica instance provides the following benefits:
• Real-time mirror of all user and system data
• Failover authentication if the primary instance becomes unresponsive
• Improved performance by load balancing authentication requests to multiple 
instances
• Ability to deploy a replica instance at a remote location
• Remote deployment must be done carefully to make sure that the replica instance 
is secure.For information about securely deploying a remote replica instance, see 
“Deployment Scenarios” in the RSA Authentication Manager 8.1 Planning 
Guide.Ability to recover administrative capabilities through replica promotion if 
the primary instance becomes unresponsive
Although a replica instance is optional, RSA recommends that you deploy both a 
primary and a replica instance. The RSA Authentication Manager Base Server license 
and the Enterprise Server license both include permission to deploy a replica instance.
Identity Sources
All users and user groups in your deployment are stored in identity sources. 
RSA Authentication Manager supports the following as identity sources:
• LDAP directory servers, either Active Directory or Oracle Directory Server.
• Active Directory Global Catalogs, when some or all of the Active Directory 
servers in its Active Directory forest are used as identity sources. In such a case, 
the Global Catalog is used for runtime activities, for example, looking up and 
authenticating users, and resolving group membership within the Active Directory 
forest. The Global Catalog cannot be used to perform administrative functions. 
• The Authentication Manager internal database, used for administrative operations, 
such as enabling users for on-demand authentication and risk-based 
authentication.
You can integrate LDAP directory servers as identity sources in Authentication 
Manager without modifying the schema of the directories. 
RSA Authentication Agents
An authentication agent is a software application installed on a machine, such as a 
domain server, web server, or personal computer, that enables authentication. 
The authentication agent is the component on the protected resource that 
communicates with RSA Authentication Manager to process authentication requests. 
Any resource that is used with SecurID authentication, on-demand authentication 
(ODA) or risk-based authentication (RBA) requires an authentication agent.
SDK Library service:VB.NET PDF Convert to Jpeg SDK: Convert PDF to JPEG images in vb.
Convert Word to PDF; Convert Excel to PDF; Convert PowerPoint to PDF; Convert Image to PDF; Convert Jpeg to PDF; Merge PDF Files; Split PDF Document; Remove Password
www.rasteredge.com
SDK Library service:VB.NET PDF Convert to Tiff SDK: Convert PDF to tiff images in vb.
VB.NET PDF - Convert PDF to TIFF Using VB in VB.NET. Free VB.NET Guide to Render and Convert PDF Document to TIFF in Visual Basic Class.
www.rasteredge.com
26
1: RSA Authentication Manager Overview
RSA Authentication Manager 8.1 Administrator’s Guide
Different types of authentication agents protect different types of resources. For 
example, to protect an Apache Web server, you need RSA Authentication Agent 5.3 
for Web for Apache. You may also purchase products that contain embedded 
RSA Authentication Agent software. The software is embedded in a number of 
products, such as remote access servers, firewalls, and web servers. Information about 
implementing such devices is available from the Secured By RSA Partner Program. 
For more information, see 
https://gallery.emc.com/community/marketplace/rsa?view=overview
.
Note: 
RBA only works with web-based authentication agents.
Risk-Based Authentication for a Web-Based Resource
Risk-based authentication (RBA) protects access to web-based resources and 
applications. Deploying RBA requires integrating the resource with Authentication 
Manager. Authentication Manager provides a template to facilitate the integration 
process. Once integrated, the web-based resource automatically redirects users to 
Authentication Manager, which does either of the following:
• Authenticates the user and returns proof of authentication to the resource
• When the risk level is high, prompts the user to provide further credentials, such 
as the correct answers to pre-configured security questions, before returning proof 
of authentication. 
The web-based resource presents the proof of authentication to Authentication 
Manager for verification and allows the user access to the resource.
RSA RADIUS Overview
You can use RSA RADIUS with RSA Authentication Manager to directly authenticate 
users attempting to access network resources through RADIUS-enabled devices. A 
RADIUS server receives remote user access requests from RADIUS clients, for 
example, a VPN. The RADIUS server forwards the access requests to 
RSA Authentication Manager for validation. Authentication Manager sends accept or 
reject messages to the RADIUS server, which forwards the messages to the requesting 
RADIUS clients.
RADIUS is automatically installed and configured during the Authentication Manager 
installation. After installation, RADIUS is configured to run on the same instance with 
Authentication Manager.
You use the Operations Console to configure RSA RADIUS and manage settings that 
must be made on individual instances running RSA RADIUS.
You can use the Security Console to complete most tasks associated with managing 
RADIUS day-to-day operations.
SDK Library service:C# powerpoint - Convert PowerPoint to PDF in C#.NET
C# Demo: Convert PowerPoint to PDF Document. Add references: RasterEdge.Imaging. Basic.dll. RasterEdge.XDoc.Office.Inner.Common.dll. RasterEdge.Imaging.Drawing.dll
www.rasteredge.com
1: RSA Authentication Manager Overview
27
RSA Authentication Manager 8.1 Administrator’s Guide
Web Tier
A web tier is a lightweight application server that hosts several Authentication 
Manager services securely in the network DMZ. Services such as risk-based 
authentication (RBA), the Cryptographic Token Key Initialization Protocol (CT-KIP) 
for the dynamic provisioning of software tokens, and the Self-Service Console may be 
required by users outside of your corporate network. If your network has a DMZ, you 
can use a web tier to deploy these services in the DMZ. 
A web tier in your DMZ offers the following benefits:
• Protects your internal network from any unfiltered internet traffic from the 
Self-Service Console, the CT-KIP server and RBA users. Web-tier servers receive 
and manage inbound internet traffic before it enters your private network. 
• Allows you to customize the RBA service and web-based application user 
interface.
• Improves system performance by removing some processing tasks from the 
back-end server. 
The primary and replica instances are inside a firewall in your private network.
Self-Service
Self-Service is a web-based workflow system that provides user self-service options 
and automates the token deployment process. Self-Service has two components:
• Self-Service. Users can perform some token maintenance tasks and 
troubleshooting without involving administrators. This reduces the time that you 
need to spend servicing deployed tokens, such as when users forget their PINs, 
misplace their tokens, require emergency access, or require token 
resynchronization.
• Provisioning. Users can request RSA SecurID tokens and perform many of the 
steps in the token deployment process, and the system automates the workflow. 
This reduces administrative overhead typically associated with deploying tokens, 
especially in a large-scale token deployment. Provisioning is only available with 
the Enterprise Server license.
Users perform self-service and provisioning tasks through the Self-Service 
Console.The Self-Service Console is a browser-based interface that enables users to 
perform certain tasks without involving administrators or Help Desk personnel, thus 
reducing the time that your staff spends helping users. You can install the Self-Service 
Console inside your firewall on the Authentication Manager instance or in the DMZ 
(using a web-tier server) for greater security. 
By default the Self-Service Console allows users to make requests to be added to the 
system after answering a set of security questions. Additionally, you can configure 
Authentication Manager to allow users to perform the following tasks on the 
Self-Service Console:
• Request an RSA SecurID token
• Manage their RSA SecurID PIN
• Configure security questions for identity confirmation
28
1: RSA Authentication Manager Overview
RSA Authentication Manager 8.1 Administrator’s Guide
• Update their profile information, for example, a mobile phone number or e-mail 
address
• Change their Self-Service Console passwords
• Clear the risk-based authentication (RBA) device history to unregister devices
• Change e-mail address or phone number for on-demand authentication (ODA)
• Manage their ODA PIN
• View user group membership
Important: 
Users can only modify data that is stored in the internal database. Users 
cannot use the Self-Service Console to modify data that is stored in an LDAP 
directory, except when a password change is forced. 
Load Balancer
RSA Authentication Manager includes a load balancer that provides the following 
capabilities:
• Distributes authentication requests between the primary and the replica web tiers.
• Provides failover in the event that one of the Authentication Manager instances or 
web tiers experiences downtime.
• Forwards Self-Service Console requests coming through the HTTPS port to the 
primary web tier or the primary instance hosting the Self-Service Console.
RSA SecurID Authentication Overview
RSA SecurID uses a patented, time-based two-factor authentication mechanism to 
validate users. It enables administrators to verify the identity of each user attempting 
to access computers, networks, and other resources. 
RSA Authentication Manager software is the management component of 
RSA SecurID. It is used to verify authentication requests and centrally administer 
security policies for authentication, users, and groups for enterprise networks. 
Authentication Manager software is scalable and can authenticate large numbers of 
users. It is interoperable with network, remote access, wireless, VPN, Internet, and 
application products. The following table describes key examples.
Product or Application
Description
VPN access
RSA SecurID provides secure authentication when 
used in combination with a VPN.
Remote dial-in
RSA SecurID operates with remote dial-in servers, 
such as RADIUS.
Web access
RSA SecurID protects access to web pages.
1: RSA Authentication Manager Overview
29
RSA Authentication Manager 8.1 Administrator’s Guide
RSA SecurID Authentication Process
The RSA SecurID authentication process involves the interaction of three distinct 
products: 
• RSA SecurID authenticators, also known as tokens, which generate one-time 
authentication credentials for a user.
• RSA Authentication Agents, which are installed on client devices and send 
authentication requests to the Authentication Manager.
• RSA Authentication Manager, which processes the authentication requests and 
allows or denies access based on the validity of the authentication credentials sent 
from the authentication agent.
To authenticate a user with SecurID, Authentication Manager needs, at a minimum, 
the following information.
Wireless networking
Authentication Manager includes an 802.1- 
compliant RADIUS server. 
Secure access to Microsoft Windows Authentication Manager can be used to control 
access to Microsoft Windows environments both 
online and offline.
Network hardware devices
Authentication Manager can be used to control 
desktop access to devices enabled for SecurID, such 
as routers, firewalls, and switches.
Product or Application
Description
Element
Information
User record
Contains a User ID and other personal information about the 
user (for example, first name, last name, group associations, 
if any). The user record can come from either an LDAP 
directory server or the Authentication Manager internal 
database.
Agent record
Lists the name of the machine where the agent is installed. 
This record in the internal database identifies the agent to 
Authentication Manager and enables Authentication 
Manager to respond to authentication requests from the 
agent. 
Token record
Enables Authentication Manager to generate the same 
tokencode that appears on a user’s RSA SecurID token. 
SecurID PIN
Used with the tokencode to form the passcode.
30
1: RSA Authentication Manager Overview
RSA Authentication Manager 8.1 Administrator’s Guide
RSA SecurID Tokens
An RSA SecurID token is a hardware device or software-based security token that 
generates and displays a random number is called a tokencode.
In addition to the tokencode, RSA SecurID typically requires a PIN, either created by 
the user or generated by Authentication Manager. Requiring these two factors, the 
tokencode and the PIN, is known as two-factor authentication: 
• Something you have (the token)
• Something you know (the PIN)
In Authentication Manager, the combination of the tokencode and the PIN is called a 
passcode. When users try to access a protected resource, they enter the passcode at the 
logon prompt. (To protect against the use of stolen passcodes, Authentication Manager 
checks that a passcode has not been used in any previous authentication attempt.) 
RSA SecurID also supports tokens that do not require a PIN. The user can authenticate 
with the current tokencode only. In such a case, an alternative second factor, for 
example, a user’s network password, is used.
Each shipment of tokens includes token seed records that you must import into the 
Authentication Manager. Each token seed record corresponds to an individual 
RSA SecurID token, and is used by Authentication Manager to generate the correct 
tokencode when a SecurID authentication request is received from an authentication 
agent. 
Authentication Manager logs the serial numbers of SecurID tokens used to 
authenticate. By default, Authentication Manager logs the serial number in the clear, 
but you can mask the serial numbers of tokens when logging to syslog or using SNMP 
if you want to avoid transmitting and recording the serial number in the clear. RSA 
recommends masking token serial numbers for added security. For more information, 
see Mask Token Serial Numbers in Logs
on page 352.
You can assign up to three RSA SecurID tokens to each authorized user on a protected 
system.
RSA SecurID Hardware Tokens
RSA SecurID hardware authenticators are available in a variety of convenient form 
factors.
• RSA SecurID 200 Authenticator
This hardware token, the size of a credit card, is easily portable and extremely 
durable. It generates and displays a new tokencode at a predefined time interval, 
typically every 60 seconds.
Documents you may be interested
Documents you may be interested