11: RSA Self-Service
241
RSA Authentication Manager 8.1 Administrator’s Guide
11
RSA Self-Service
RSA Self-Service Overview
RSA Self-Service automates the authenticator deployment process and provides a 
Self-Service Console. The Self-Service Console is a web-based interface that you 
configure to provide a variety of services to Authentication Manager users. 
RSA Self-Service includes the following components:
Self-Service. A configurable console where users can manage many day-to-day 
tasks related to authentication, token, and user accounts without calling the Help 
Desk. Self-Service can reduce the call volume to your Help Desk and aid in 
providing 24-hour support for your users.
Provisioning. A web-based workflow system for the rapid deployment and 
lifecycle management of RSA SecurID authenticators. Users can perform many of 
the steps in the authenticator deployment process, and the system automates the 
workflow. Provisioning can reduce administrative overhead associated with 
deploying authenticators, especially in large-scale deployments. 
RSA recommends installing the Self-Service Console on a secure server on a web tier 
in the DMZ. This installation offers the convenience of Self-Service to remote users, 
while protecting your internal resources. Self-Service configuration menus are 
integrated into the RSA Security Console. You can customize the Self-Service 
Console, for example to display your logo, and the Self-Service features that it 
displays.
The tasks that users can perform from the Self-Service Console depend on the license 
installed, the options that you enable, and whether the user’s data is stored in an 
internal or external identity source. For more information, see Select Security 
Domains for Self-Service
on page 244.
Self-Service Console User Experience
Depending on the configuration, users may perform these tasks from the Self-Service 
Console:
• Enroll as Self-Service user
• Configure security questions for identity confirmation
• Request authenticators
• Update user profile
• Change Self-Service Console password 
• Clear the risk-based authentication (RBA) device history to unregister devices
• Change e-mail address or phone number for on-demand authentication (ODA)
Convert pdf document to powerpoint - Library software class:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf document to powerpoint - Library software class:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
242
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
• Manage the ODA PIN
• View user group membership
• Test and resynchronize tokens 
• Troubleshoot and report problems with tokens
• Request emergency access for lost, broken, or temporarily unavailable tokens 
• Unblock and reset PINs
• Request on-demand authentication
User Enrollment 
You can configure the system to allow new users to request an account in the internal 
database. This is known as enrollment. Users who already have accounts in the 
internal database or any other identity source do not need to enroll. By default, such 
users can access the Self-Service features that you configure. 
At enrollment, users must select a security domain into which they want to be 
enrolled. You configure Self-Service to determine whether users must also do the 
following.
• Configure a user profile.
• Configure security questions.
• Select a user group.
Identity Sources for Self-Service Users
The identity source where the users’ accounts are stored affects which actions users 
can perform using the Self-Service Console. You can use the internal database, Active 
Directory, and Oracle Directory Server as identity sources. 
If an Active Directory or Oracle Directory Server has the “change password during 
next logon” option set, you cannot enroll users in Self-Service.
Using the Internal Database as an Identity Source
Authentication Manager can read and write data to the internal database. Users whose 
accounts are in the internal database can use the Self-Service Console to perform all 
actions for which their administrator has configured permissions. For example, these 
actions may include resetting passwords or entering phone numbers or e-mail 
addresses on the Identity Confirmation Method configuration page for on-demand 
authentication with risk-based authentication (RBA).
Using Active Directory as an Identity Source
Users whose accounts are in Active Directory cannot use the Self-Service Console to 
perform any actions that require Authentication Manager to access Active Directory. 
For example, users whose accounts are stored in Active Directory cannot use the 
Self-Service Console to change their Self-Service passwords. Authentication Manager 
has read-only access to Active Directory for all user and user group data.
Library software class:Online Convert PowerPoint to PDF file. Best free online export
try to make it as easy as possible to convert your PPTX C#.NET project, Microsoft Office like Word, Excel, and PowerPoint can be converted to PDF document.
www.rasteredge.com
Library software class:RasterEdge XDoc.PowerPoint for .NET - SDK for PowerPoint Document
Convert. Convert PowerPoint to PDF. Convert PowerPoint to Png, Gif, Bitmap Convert PowerPoint to ODP/ ODP to PowerPoint. Document & Page Process.
www.rasteredge.com
11: RSA Self-Service
243
RSA Authentication Manager 8.1 Administrator’s Guide
Using Oracle Directory Server as an Identity Source
Users whose accounts are in Oracle Directory Server cannot use the Self-Service 
Console to perform any actions that require Authentication Manager to access Oracle 
Directory Server. Authentication Manager has read-only access to Oracle Directory 
Server for all user and user group data.
Configuring Self-Service
You must configure Self-Service to provide the features and services that you want for 
your Self-Service Console users. You can specify which users will have access to the 
Self-Service Console and the credentials that they need to log on. The following list is 
a guide to configuring Self-Service.
Procedure
1. Enable Enrollment by Selecting Identity Sources
on page 243.
2. Select Security Domains for Self-Service
on page 244.
3. Select User Groups for Self-Service
on page 245.
4. User Profile Configuration for Self-Service
on page 246.
5. Set the Authentication Method for the Self-Service Console
on page 247.
6. Security Questions for Self-Service
on page 248.
7. Configure E-mail Notifications for Self-Service User Account Changes
on 
page 248.
Enable Enrollment by Selecting Identity Sources
Enabling enrollment allows new users to request accounts in the internal database. By 
default, the only identity source that you can select to enable enrollment is the internal 
database. Users cannot enroll in any external identity sources.
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. Click Select identity sources.
3. In the Display Name for Identity Source Selection Component field, enter 
user-friendly text about choosing an identity source. 
4. Select Allow users to request accounts in this identity source to make the 
internal database available to users at enrollment.
5. Click Save.
Library software class:VB.NET PDF Convert to HTML SDK: Convert PDF to html files in vb.
Embed zoom setting (fit page, fit width). Free library for .NET framework. Why do we need to convert PDF document to HTML webpage using VB.NET programming code?
www.rasteredge.com
Library software class:C# PDF Convert to HTML SDK: Convert PDF to html files in C#.net
How to Use C#.NET Demo Code to Convert PDF Document to HTML5 Files in C#.NET Class. Add necessary references: RasterEdge.Imaging.Basic.dll.
www.rasteredge.com
244
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
Select Security Domains for Self-Service
You must select the security domains from which users can enroll in Self-Service. The 
security domain in which a user enrolls determines which administrators manage the 
user, and which security policies are applied to the user.
Consider the following:
• Any security domains that get many Help Desk calls or deploy a large number of 
tokens would benefit from self-service and provisioning.
• Do not select security domains that contain users who should not use Self-Service 
or provisioning.
To clarify the selection process for users, you can customize the names and descriptive 
text of all available security domains that appear on the Self-Service Console. For 
example, if the security domains represent departments in your company, you can 
label each security domain with the department name and instruct users to pick their 
departments.
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. Click Select Security Domains.
3. In the Display Name for Security Domain Selection Component field, enter 
user-friendly text about choosing a security domain.
For example, if you have a security domain for each department in your 
organization, you might enter “Select your department.”
4. Click Select More Domains to view a tree showing all lower-level security 
domains.
5. Select the security domains you want to make available.
6. Click Make Available.
7. In the Display Name field, optionally add a descriptive name for the security 
domain. For example, enter “Human Resources.”
The display name appears on the Self-Service Console and can be helpful to users 
when they select a security domain.
8. Click Save.
Library software class:VB.NET PDF Convert to Word SDK: Convert PDF to Word library in vb.
Convert PDF document to DOC and DOCX formats in Visual Basic .NET project. using RasterEdge.XDoc.PDF; Convert PDF to Word Document in VB.NET Demo Code.
www.rasteredge.com
Library software class:C# PDF Converter Library SDK to convert PDF to other file formats
NET. How to Use C#.NET XDoc.PDF Component to Convert PDF Document to Various Document and Image Forms in Visual C# .NET Application.
www.rasteredge.com
11: RSA Self-Service
245
RSA Authentication Manager 8.1 Administrator’s Guide
Select User Groups for Self-Service
If you use provisioning and restricted agents, you can select the user groups that you 
want to make available to users when they enroll in Self-Service. The user groups in 
which a user enrolls determine which restricted agents the user can use to authenticate. 
The user groups that you select are displayed on the Self-Service Console. If you 
select no user group, the User Group Selection page does not display during 
enrollment.
When selecting user groups for Self-Service, consider the following:
• Users can request membership in internal groups only. Authentication Manager 
cannot add users to groups in external identity sources.
• Which user groups provide users with the access to resources that they need
• Whether there are any user groups that you do not want users to access
• Whether there a user group that you want all users to access
• If you set a default group, users can only belong to the default group. 
• If you do not use restricted agents, you do not need to select user groups for 
provisioning.
Note: 
Users can request additional user group membership after enrolling in 
Self-Service, as long as the user group resides in the internal database.
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. Click Select User Groups.
3. Click Next to select the internal database, the only identity source that contains 
user groups that you can make available to users for enrollment.
4. In the Display Name for User Group Selection Component field, enter 
user-friendly text about choosing a user group. For example, if remote access is 
protected by a restricted agent, you might enter “Select your access method.”
5. Click Select More Groups to view a list of available groups for the identity 
source you selected.
6. Select the user groups you want, and click Make Available.
7. (Optional) In the Display Name field, add a descriptive name for the user group. 
For example, enter “VPN.”
8. (Optional) Click the Default Group check box for each user group that you want 
assigned by default to all new users who enroll through the Self-Service Console.
9. Click Save.
Library software class:VB.NET PDF Convert to Jpeg SDK: Convert PDF to JPEG images in vb.
Convert Word to PDF; Convert Excel to PDF; Convert PowerPoint to PDF; Convert Image to PDF; Convert Jpeg to PDF; Merge PDF Files; Split PDF Document; Remove Password
www.rasteredge.com
Library software class:VB.NET PDF Convert to Tiff SDK: Convert PDF to tiff images in vb.
VB.NET PDF - Convert PDF to TIFF Using VB in VB.NET. Free VB.NET Guide to Render and Convert PDF Document to TIFF in Visual Basic Class.
www.rasteredge.com
246
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
User Profile Configuration for Self-Service
User profiles are required for Self-Service enrollment. They contain user attributes 
such as name, User ID, e-mail address, Self-Service Console password, and mobile 
number. If you are using the internal database for self-service users, you can specify 
which user attributes are required, editable, read-only, or hidden from the user in the 
Self-Service Console. For example, you can allow users to edit their e-mail addresses 
and mobile numbers, but not their User IDs. All user attributes stored in external 
identity sources are read-only. Users can view these attributes and report any 
discrepancies to the administrator.
Before users can view or edit their user profiles, you must populate the users’ profiles, 
as follows:
New user. If a user is not in the internal identity source or in an external identity 
source, you must enter the required information into the user’s profile. 
User not in Authentication Manager, but in a directory server. The directory 
server populates the user profile. 
In the Security Console, you can use the default user profile or customize it for each 
identity source that you use. When deciding whether to customize user profiles, 
consider the following:
• Does your company have different names for some fields in the default user 
profile, for example, “User name” instead of “User ID”?
• Do you need to add descriptive text to instruct users about what to enter in any 
fields?
• Do you need to add custom attributes, for example, a home address for users? 
If you create custom attributes for an identity source, you can add custom attributes to 
the user profile. Optionally, you can customize the labels for each attribute.
Customize Self-Service User Profiles
If you are using the internal database for self-service users, you can specify which user 
attributes are required, editable, read-only, or hidden from the user in the Self-Service 
Console. You can also customize display labels for each attribute.
Remember:
• All user attributes that are stored in an external identity source are read-only. 
Users cannot modify this information through the Self-Service Console.
• Required fields are editable.
• If you create custom user attributes for an identity source, you can specify which 
fields display in the user profile.
• If the e-mail address attribute is editable and Self-Service is configured to send 
e-mail notifications for changes to the user’s profile or the on-demand 
authentication delivery option, Authentication Manager sends notification to both 
the old and new e-mail addresses when the e-mail address is changed.
Library software class:C# powerpoint - Convert PowerPoint to PDF in C#.NET
C# Demo: Convert PowerPoint to PDF Document. Add references: RasterEdge.Imaging. Basic.dll. RasterEdge.XDoc.Office.Inner.Common.dll. RasterEdge.Imaging.Drawing.dll
www.rasteredge.com
11: RSA Self-Service
247
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. Click User Profiles.
3. From the Choose an Identity Source drop-down list, select an identity source.
4. Click Next.
5. In the Core Attributes section, select View and manage user profile attribute 
details for the attributes that you want to customize.
6. In the Custom Attributes section, select View and manage user profile 
attribute details for the attributes that you want to customize.
7. Click Save.
Set the Authentication Method for the Self-Service Console
Users must provide credentials to access the Self-Service Console. If users are not 
required to have a password, configure one or more other credentials. You can 
configure one or more of the following types:
• RSA Password. For users whose identity source is the Authentication 
Manager internal database. To use this credential, an RSA password must be 
assigned to the user’s account.
• RSA SecurID. For users who have RSA SecurID authenticators.
• On-Demand. For users who use on-demand tokencodes.
• LDAP Password. For users whose identity source is an LDAP directory 
server.
Procedure
1. In the Security Console, click Setup > Self-Service Settings> Self-Service 
Console Authentication.
2. In the Console Authentication Method field, enter the authentication method 
that users must use to log on to the Self-Service Console.
For example, to require an on-demand tokencode and an LDAP password, enter 
OnDemand+LDAP_Password.
3. Click Save.
Next Steps
If you change the authentication method, notify the users because all users currently 
logged on to the Self-Service Console must re-authenticate using the new method.
248
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
Security Questions for Self-Service
If security questions are enabled in the Self-Service troubleshooting policy, users are 
prompted to create answers to security questions during Self-Service enrollment or 
when they log on to the Self-Service Console. If enrolled users cannot log on to the 
Self-Service Console with their primary method, they are prompted to answer these 
questions to verify their identity. After providing correct answers, users can use the 
Self-Service Console troubleshooting screens to resolve authentication problems.
Security questions cannot be used as a primary authentication method to access the 
Self-Service Console. Primary methods are RSA Password, LDAP Password, 
On-Demand Authentication, and SecurID.
You determine how many security questions users must answer during enrollment and 
during troubleshooting. For instructions, see Set Requirements for Security Questions
on page 133.
Configure E-mail Notifications for Self-Service User Account Changes
To improve the security of Self-Service accounts, you can configure Self-Service to 
send e-mail notifications to users when selected events occur. 
You can enable the following Self-Service events to send e-mail notifications: 
• Profile changes
• Password changes (RSA or LDAP passwords only when changed by the user 
through the Self-Service Console)
• PIN changes and when a blocked PIN is unblocked
• On-demand authentication delivery option changes
• Emergency access requests
• Token resynchronization requests
E-mail notifications to users about changes to their accounts can contain a link to the 
Self-Service Console on the web tier. This link enables users to go directly to the 
Self-Service Console where they can check their accounts.
The URL used to access the Self-Service Console varies depending on your 
deployment type. By default, Authentication Manager assumes that end users connect 
directly to the Self-Service Console installed on the primary instance. If your 
deployment includes a web tier where the end users connect through a load balancer or 
virtual host, your end users must use the appropriate URL for the Self-Service 
Console.
To include a link to the Self-Service Console in an e-mail notification, change the 
default URL in the notification to point to the virtual host or load balancer. This does 
not change the actual URL of the Self-Service Console, nor does it validate that the 
Self-Service Console is reachable through the specified URL.
In the e-mail notifications template, you can customize the field labels, message text, 
and add, remove, or reorder the e-mail tags. For more information, see E-mail 
Template Example for the Self-Service Console
on page 250.
11: RSA Self-Service
249
RSA Authentication Manager 8.1 Administrator’s Guide
If the e-mail address attribute is editable and Self-Service is configured to send e-mail 
notifications for changes to the user’s profile or on-demand authentication delivery 
option, Authentication Manager sends a notification to both the old and new e-mail 
addresses when the e-mail address is changed.
Before You Begin
Configure the SMTP Mail Service
on page 232
Procedure
1. In the Security Console, go to Setup > Self-Service Settings.
2. Under Customization, click E-Mail Notifications for User Account Changes.
3. To change the default URL for e-mail notifications for user account changes, do 
one of the following.
• If you do not have a web tier. Under Configure Default Self-Service Console 
URL, enter the primary instance URL and port.
The format for the URL is:
https://hostname:7004/console-selfservice
where:
– hostname is the fully qualified hostname of the primary instance.
• If you have a web tier. Under Configure Default Self-Service Console URL, 
enter the virtual host URL and port.
The format for the URL is:
https://virtualhostname:port/console-selfservice
where:
– virtual-hostname is the fully qualified hostname of the virtual host.
– port is the virtual host port.
4. Under E-mail Notifications, select one or more events to initiate an e-mail 
notification to users.
5. Under E-mail Template, edit the Subject and Body fields.
You cannot use angle brackets (< >) in e-mail templates.
6. Click Save.
250
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
E-mail Template Example for the Self-Service Console
The following example shows the default e-mail template for an account change with 
customized changes indented. 
Recent account change:${MailComposer.NL}${MailComposer.NL}
Account change: ${MailComposer.RequestType}${MailComposer.NL}
Performed by: #(${Principal.UserID})${MailComposer.NL}
Date of account change: 
${MailComposer.RequestDate}${MailComposer.NL}${MailComposer.NL}
If you have not authorized this change, contact your administrator with the 
information in this e-mail.
E-mail Template Tag Syntax
The syntax for e-mail template tags is:
${objectname.propertyname}
where:
• objectname is the name of a Self-Service object.
• propertyname is the property name of the object.
For example:
${Principal.UserID} 
is the user’s identification.
Important: 
Do not modify e-mail tag syntax, for example, 
${objectname.propertyname}.
E-mail Template Tag Default Values
Use the default e-mail template tags to customize the e-mail notifications. The 
following table lists the default e-mail template tags.  
Object Name
Property Name
Type
Description
Principal
UserID
String
User ID
Principal
E-mail
String
User e-mail ID
Principal
FirstName
String
User’s first name
Principal
LastName
String
User’s last name
MailComposer
RequestType
String
Type of request
MailComposer
RequestDate
Date
Date of account change
MailComposer
NL
String
Adds a new line
Documents you may be interested
Documents you may be interested