10: Deploying On-Demand Authentication
231
RSA Authentication Manager 8.1 Administrator’s Guide
If the +, &, or = characters are used in any name value data that is retrieved by the 
parameters string, you must enter the following elements in the parameter string:
For example, if you want to include the + character with a foreign phone number, use 
the ${plus} element as follows: destaddr=${plus}${msg.address}
Configuration Example
In this example, an SMS provider requires message data in the following format:
https://sms.rsa.com/http/send?user=john&password=doe123&extr
aparam=123456&to=2223334444&text=Meet+me+at+home
This example requires the following configuration:
Change the SMS Service Provider
You can change the SMS service provider.
Procedure
Do one of the following:
• Reconfigure the HTTP Plug-In. For more information, see Configure the HTTP 
Plug-In for On-Demand Tokencode Delivery
on page 227.
• Implement a custom plug-in. For more information, contact your RSA sales 
representative.
Character
Element
+
${plus}
&
${ampersand}
=
${equal}
Configuration Parameter
Value
Base URL
https://sms.rsa.com/http/send
HTTP Method
GET
Parameters
user=$cfg.user&password=$cf
g.password&extraparam=1234
56&to=$msg.address&text=$m
sg.message
Account User Name
john
Account Password
doe123
Success Response Code
RESULT:OK
Response Format
RESULT:OK
Pdf to ppt - application Library tool:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Pdf to ppt - application Library tool:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
232
10: Deploying On-Demand Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
Configuring On-Demand Tokencode Delivery by E-mail
To send on-demand tokencodes to e-mail accounts, perform the following tasks:
1. Configure the SMTP Mail Service
on page 232
2. Ensure that Product Name (Short) can access the database attribute where you 
store users’ e-mail addresses. See Identity Attribute Definitions for On-Demand 
Tokencode Delivery by E-Mail
on page 233
3. Configure E-mail for On-Demand Tokencode Delivery
on page 235
Configure the SMTP Mail Service
If you plan to use e-mail to deliver on-demand tokencodes, you must configure all 
Authentication Manager instances to send Simple Mail Transfer Protocol (SMTP) 
messages.
SMTP settings might not be immediately visible through the replica instance. Data 
should replicate within 10 to 20 minutes.
Before You Begin
You must be a Super Admin.
Procedure
1. In the Security Console, click Setup > System Settings.
2. Click E-Mail (SMTP).
3. Select an instance. 
4. Click the Next tab.
5. In the Hostname field, enter the hostname of the mail server to which this 
instance will send messages.
6. In the Port field, enter the destination port number for the mail server.
7. In the From E-mail Address field, enter the e-mail address that you want to 
display in all outgoing e-mail from this instance. Use an e-mail address to which 
users can respond.
8. (Optional) If your mail server connection requires a User ID and password, select 
Logon Required.
9. If logon is required, do the following:
a. Enter the administrator's User ID in the User ID field. This User ID must 
already be defined in the SMTP mail server.
b. Enter the password defined for the User ID in the Password field.
c. Re-enter the password in the Confirmed Password field.
10. In the Test E-mail Address field, enter the e-mail address to use for testing this 
instance.
11. Click Test Connection to test the mail service.
application Library tool:Online Convert PowerPoint to PDF file. Best free online export
Creating a PDF from PPTX/PPT has never been so easy! Web Security. Your PDF and PPTX/PPT files will be deleted from our servers an hour after the conversion.
www.rasteredge.com
application Library tool:How to C#: Convert PDF, Excel, PPT to Word
How to C#: Convert PDF, Excel, PPT to Word. Online C# Tutorial for Converting PDF, MS-Excel, MS-PPT to Word. PDF, MS-Excel, MS-PPT to Word Conversion Overview.
www.rasteredge.com
10: Deploying On-Demand Authentication
233
RSA Authentication Manager 8.1 Administrator’s Guide
12. If you configured the primary instance, you can choose to apply the same settings 
to the replica instance.
13. After you receive the test e-mail, click Save.
Identity Attribute Definitions for On-Demand Tokencode Delivery by E-Mail
If you want to deliver on-demand tokencodes by e-mail, you must ensure that 
Authentication Manager 8.1 can access the database attribute where you store users’ 
e-mail addresses.
Use the following table to determine whether additional configuration is required.
Identity Sources In Your Deployment
Configuration
Internal database
Select E-Mail to use the e-mail configured 
for the user and stored in the internal 
database. 
Make sure that the configured e-mail address 
does not require the user to authenticate 
using an on-demand tokencode. 
If the e-mail address requires the user to 
authenticate with an on-demand tokencode, 
the user cannot retrieve the tokencode. In this 
case, create an identity attribute definition in 
the internal database that can store an e-mail 
address that does not require the user to 
authenticate with an on-demand tokencode.
At least one LDAP directory identity source 
that contains e-mail addresses
Select E-Mail to use the attribute you 
mapped to the E-Mail field when you 
configured the identity source. 
Make sure that the configured e-mail address 
does not require the user to authenticate 
using an on-demand tokencode.
If the e-mail address configured in your 
directory requires the user to authenticate 
with an on-demand tokencode, the user 
cannot retrieve the tokencode. In this case, 
create an identity attribute definition, and 
map it to an LDAP attribute where you store 
a user e-mail address that does not require the 
user to authenticate with an on-demand 
tokencode.
application Library tool:C# PDF Convert: How to Convert MS PPT to Adobe PDF Document
C# PDF Convert: How to Convert MS PPT to Adobe PDF Document. Provide Free Demo Code for PDF Conversion from Microsoft PowerPoint in C# Program.
www.rasteredge.com
application Library tool:How to C#: Convert Word, Excel and PPT to PDF
How to C#: Convert Word, Excel and PPT to PDF. Online C# Tutorial for Converting MS Office Word, Excel and PowerPoint to PDF. How to C#: Convert PPT to PDF.
www.rasteredge.com
234
10: Deploying On-Demand Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
At least one LDAP directory identity source, 
and you want to use the e-mail address value 
in the LDAP directory “mail” field.
No attribute mapping required. 
When you add an LDAP directory, 
Authentication Manager 8.1
automatically 
links to the “mail” attribute in an LDAP 
directory. 
When you configure on-demand tokencode 
delivery, select “mail” from the User 
Attribute to Provide SMS Destination 
drop-down menu on the SMS Configuration 
page. 
At least one LDAP directory identity source, 
and you want to use the e-mail address value 
in an LDAP directory field other than the 
“mail” field.
You may edit the “E-mail” identity attribute 
definition in 
Authentication Manager 8.1
or create a new one, so that it maps to the 
LDAP directory attribute that you want to 
use for e-mail addresses. For more 
information, see the Operations Console 
Help topic “Edit LDAP Directory Identity 
Sources.”
When you configure on-demand tokencode 
delivery, select “mail” from the User 
Attribute to Provide SMS Destination 
drop-down menu on the SMS Configuration 
page. 
At least one LDAP directory identity source, 
and you want to store user e-mail addresses 
in the internal database because the LDAP 
directory does not contain e-mail addresses.
You must create an identity attribute 
definition for user e-mail addresses that is 
always stored internally. 
When you configure on-demand tokencode 
delivery, select the attribute that you created 
from the User Attribute to Provide SMS 
Destination drop-down menu on the SMS 
Configuration page. 
Identity Sources In Your Deployment
Configuration
application Library tool:VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
VB.NET PowerPoint processing control add-on can do PPT creating, loading We are dedicated to provide powerful & profession imaging controls, PDF document, image
www.rasteredge.com
application Library tool:C# TIFF: Learn to Convert MS Word, Excel, and PPT to TIFF Image
C# TIFF - Conversion from Word, Excel, PPT to TIFF. Learn How to Change Load your PPT (.pptx) document. PPTXDocument doc = new PPTXDocument
www.rasteredge.com
10: Deploying On-Demand Authentication
235
RSA Authentication Manager 8.1 Administrator’s Guide
Configure E-mail for On-Demand Tokencode Delivery
You can configure a deployment to send on-demand tokencodes to a user’s e-mail 
address. First you must configure the e-mail server connection for each instance.
Before You Begin
• Confirm that you have the following information:
– Hostname. The hostname of the server you will use to send e-mail 
notifications. 
– SMTP port. The port you will use for e-mail transmissions. 
– E-mail address. The address from which the e-mail notifications will be sent.
– Logon. Whether your e-mail server requires a User ID and password.
• Configure a destination e-mail address for each user. 
Use an e-mail address other than the one for which on-demand authentication 
enables access. For example, make the user’s personal e-mail address the 
destination when the user needs the tokencode to access his or her e-mail account 
at work. 
• See Configure the SMTP Mail Service
on page 232. You must do this for each 
instance in your deployment.
Procedure
1. In the Security Console, click Setup > System Settings.
2. Click On-Demand Tokencode Delivery.
3. Click the E-mail Configuration tab.
4. Select Enable the delivery of On-demand Tokencodes through e-mail.
5. From the User Attribute to Provide E-mail Destination drop-down menu, select 
the attribute that provides the e-mail addresses used to deliver on-demand 
tokencodes to users.
6. Click Save.
7. (Optional) On the Tokencode Settings tab, do the following:
a. In the On-Demand Tokencode Message field, enter the text that you want to 
display in the text message that contains the on-demand tokencode.
You must leave the $OTT variable in the message. The on-demand tokencode 
is inserted in place of this variable.
b. In the On-Demand Tokencode Lifetime field, enter the length of time that 
on-demand tokencodes are valid after they are delivered to the user.
8. Click Save.
application Library tool:VB.NET PowerPoint: Convert & Render PPT into PDF Document
VB.NET PowerPoint - Render PPT to PDF in VB.NET. What VB.NET demo code can I use for fast PPT (.pptx) to PDF conversion in .NET class application?
www.rasteredge.com
application Library tool:VB.NET PowerPoint: Read & Scan Barcode Image from PPT Slide
VB.NET PPT PDF-417 barcode scanning SDK to detect PDF-417 barcode image from PowerPoint slide. VB.NET APIs to detect and decode
www.rasteredge.com
236
10: Deploying On-Demand Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
Configuring Users for On-Demand Authentication
Users who will receive on-demand tokencodes must be enabled for on-demand 
authentication (ODA). When a user is enabled, you can specify a delivery method for 
the tokencodes, the length of time that the user can request on-demand tokencodes, 
and whether users can set initial PINs using the Self-Service Console. For 
instructions, see Enable On-Demand Authentication for a User
on page 236.
An administrator can clear a PIN that is forgotten, expired, or compromised, and then 
provide a temporary PIN to the user. An administrators can require PIN changes. For 
more information, see P
INs for On-Demand Authentication
on page 237.
You can configure the Self-Service Console to allow users to update their destination 
phone numbers and e-mail addresses. This configuration option saves time and effort 
for the administrators. For instructions, see E
nable Users to Update Phone Numbers 
and E-mail Addresses
on page 238.
Enable On-Demand Authentication for a User
On-demand authentication (ODA) delivers a one-time tokencode to a user’s mobile 
phone or e-mail account. On-demand tokencodes expire after a specified time period, 
enhancing their security. ODA protects company resources that users access through 
SSL-VPNs, web portals, or browser-based thin clients.
Enable ODA for users so they can receive on-demand tokencodes.
Before You Begin
Configure on-demand tokencode delivery. See Configuring On
-
Demand Tokencode 
Delivery by Text Message
on page 226 or Configuring On-Demand Tokencode 
Delivery by E-mail
on page 232.
Procedure
1. In the Security Console, click Authentication > On-Demand Authentication > 
Enable Users.
2. Use the search fields to find the user for whom you want to enable ODA. Some 
fields are case sensitive.
3. Enable users for ODA.
To enable one user, do the following:
a. From the search results, click the user that you want to enable for ODA. 
b. From the context menu, click Enable for ODA.
To enable multiple users, do the following:
a. From the list of available users, select the checkboxes next to the ones that 
you want to enable for ODA.
b. Click Enable for ODA.
4. Use the Send On-Demand Tokencodes to options to select a delivery method for 
on-demand tokencodes if applicable. Specify an e-mail address or phone number 
if necessary.
10: Deploying On-Demand Authentication
237
RSA Authentication Manager 8.1 Administrator’s Guide
Important: 
If you elect to send an on-demand tokencode to a user's e-mail 
address, make sure that the user does not need the on-demand tokencode to 
access the e-mail account.
5. Use the Expiration Date options to specify the length of time the user can request 
on-demand tokencodes. You can specify an exact date or no expiration date.
6. Use the Associated PIN options to specify how the user's initial PIN is created. 
Create an initial PIN if necessary.
7. Click Save.
PINs for On-Demand Authentication
Users must have a PIN for on-demand authentication (ODA). These PINs are 
governed by the user’s security domain PIN policy. Be aware of the following tasks 
related to PINs for ODA:
• Setting a PIN
Users can set initial PINs using the Self-Service Console. If you want users to do 
this, you must configure this option when you configure ODA for the user. If you 
do not want users to set their initial PINs, you can use the Security Console to set 
users’ initial PINs. 
• Clearing a PIN
You might clear a PIN that is forgotten, expired, or compromised. If you clear a 
user’s PIN, you must assign the user a temporary PIN before the user can attempt 
to log on to a resource protected with ODA. Use the Security Console to clear a 
PIN and provide the temporary PIN to the user. 
• Changing a PIN
Users who are enabled for ODA can change their ODA PINs after logging on to 
the Self-Service Console or during authentication. Users need to change their 
PINs when the PINs expire or when you force a PIN change. You might force a 
PIN change when you think that the PIN is compromised. If you want to force a 
PIN change, use the Security Console to clear the user’s PIN and set a temporary 
PIN. 
For instructions on how to require users to set their initial PIN, see Enable Users to Set 
Their Initial On-Demand Authentication PINs
on page 237. For instructions on how to 
clear a temporary PIN and force users to change their initial PIN, see Set a Temporary 
On-Demand Tokencode PIN for a User
on page 238.
Enable Users to Set Their Initial On-Demand Authentication PINs
Users need a PIN before attempting to use on-demand authentication (ODA) to access 
a protected resource. You can either set the initial PIN for the user or you can enable 
users to set their initial PINs and thus relieve administrators of this task.
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the user for whom you want to enable.
238
10: Deploying On-Demand Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
3. Click the user for whom you want to enable.
4. Click SecurID Tokens.
5. Under On-Demand Authentication, if the user is not enabled for ODA, select 
Enable user for on-demand authentication.
6. Select Require user to set the PIN through the RSA Self-Service Console.
7. Click Save.
Set a Temporary On-Demand Tokencode PIN for a User
Use the Security Console to clear a user’s on-demand tokencode PIN and assign a 
temporary PIN.
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the user for whom you want to set an initial 
on-demand tokencode PIN.
3. Click the user.
4. Click SecurID Tokens.
5. Select Clear existing PIN and set a temporary PIN for the user.
6. Enter a temporary PIN.
7. Click Save.
8. Securely communicate the temporary PIN to the user.
Enable Users to Update Phone Numbers and E-mail Addresses
You can configure the Self-Service Console to allow users to update their destination 
phone numbers and e-mail addresses for on-demand tokencode delivery.
Note the following:
• Users can update their phone numbers and e-mail addresses only if this 
information is stored in the internal database. 
• All user attributes that are stored in an external identity source are read-only. 
Users cannot modify this information through the Self-Service Console.
• Required fields are editable.
Before You Begin
• Configure Authentication Manager 8.1 to display the Change Delivery Option 
link on the Self-Service Console. The link displays on the My Account page when 
the user is enabled for on-demand authentication.
• Verify that at least one attribute (either SMS phone number or e-mail address) is 
editable and viewable, or that both attributes (SMS phone number and e-mail 
addresses) are viewable, but not editable.
10: Deploying On-Demand Authentication
239
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. Under Customization, click User Profile.
3. From the Choose an Identity Source drop-down list, select Internal Database.
4. Click Next.
5. Do one or both of the following:
To enable users to update a phone number:
a. Under Custom Attributes, select View and manage user profile attribute 
details for Mobile Number.
b. From the Make Field (for Update Profile) drop-down list, select Editable.
c. For Display Label, accept the default label or replace it with one of your own.
To enable users to update an e-mail address:
a. Under Core Attributes, select View and manage user profile attribute 
details for Email.
b. From the Make Field (for Update Profile) drop-down list, select Editable.
c. For Display Label, accept the default label or replace it with one of your own.
6. Click Save.
On-Demand Authentication with an Authentication Agent or a 
RADIUS Client
Using an on-demand tokencode requested through an authentication agent or 
RADIUS client differs from the same process when using a tokencode requested 
through the Self-Service Console, or an RSA SecurID hardware or software token. In 
each case, the authentication agent prompts the user to enter a User ID and passcode. 
However, with an on-demand tokencode, the following process occurs:
1. The user accesses a protected resource, and the agent prompts the user for a User 
ID and passcode.
2. The user enters his or her User ID and, at the passcode prompt, an on-demand 
authentication (ODA) PIN, not passcode. 
When a user who is enabled for the on-demand tokencode service enters an ODA 
PIN at the passcode prompt, Authentication Manager recognizes that the user is 
actually making a request for an on-demand tokencode.
3. Authentication Manager sends a tokencode to the user.
4. The authentication agent prompts the user to enter the next tokencode.
5. The user enters the received on-demand tokencode.
RSA recommends that you inform your users that they cannot simply follow the 
prompts. Some agents may support changing the prompts to make this less confusing, 
although this only works if you have an ODA-only user population.
240
10: Deploying On-Demand Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
Additionally, if a user cancels out of the next tokencode prompt or waits too long to 
enter the on-demand tokencode, the tokencode can still be used (with the PIN) to 
authenticate. For example, the user can attempt to authenticate again, and when the 
authentication agent or RADIUS client prompts the user for the passcode, the user 
may enter the PIN and on-demand tokencode as the passcode and successfully 
authenticate.
New PINs and On-Demand Tokencodes for Authentication Agents and RADIUS 
Clients
On-demand tokencodes always require a PIN. As a result, an administrator cannot 
clear the PIN of a user with an on-demand tokencode without assigning a temporary 
PIN. The user experience of changing the PIN of an on-demand tokencode depends on 
the method used to request the tokencode. 
For a tokencode requested through an authentication agent or RADIUS client:
1. The user attempts to access a protected resource, and the agent prompts the user to 
enter a User ID and passcode.
2. When prompted for the passcode, the user enters the current PIN, which could be 
an expiring PIN or a temporary PIN assigned by the administrator.
3. The agent prompts the user to enter a new PIN and to confirm the new PIN.
4. The user enters a new PIN and confirms the new PIN.
5. The agent prompts the user to enter a passcode.
6. The user enters the new PIN.
7. Authentication Manager sends the on-demand tokencode to the user.
8. When the agent prompts the user for next tokencode, the user enters the received 
on-demand tokencode.
Restrictions of On-Demand Tokencodes
The following restrictions apply to users of on-demand tokencodes:
• Users cannot perform trusted-realm authentications.
• Users cannot authenticate using an alias, except when authenticating through an 
authentication agent.
• The PIN for an on-demand tokencode should not be the same as a fixed passcode 
assigned to the user.
• EAP32-enabled authentication agents do not support on-demand tokencodes.
Documents you may be interested
Documents you may be interested