11: RSA Self-Service
251
RSA Authentication Manager 8.1 Administrator’s Guide
Customizing the Self-Service Console
You can customize the Self-Service Console to meet your business needs and to 
enhance the user experience.
Enable or Disable Self-Service Features
. Display only the features that meet your 
business needs.
Customize Self-Service Console Web Pages
. Brand the Self-Service Console with 
your logo. Customize the header text and footer text with messages to your users.
Customizing the Self-Service Console User Help
. Customize the content of the 
Self-Service Console Help file to reflect how your company uses self-service.
Enable or Disable Self-Service Features
You can customize your Self-Service deployment by enabling or disabling 
Self-Service features. For example, suppose you do not want users to recover their lost 
or forgotten passwords by themselves. You can hide the Forgot your password link, 
which allows users to change their passwords.
The following features are disabled by default:
• Allow email delivery of CT-KIP URL if user cannot scan QR Code
• Display Forgot your password link
• Display Troubleshoot SecurID token link
• Display I forgot my PIN option
All settings are global and apply to your entire deployment.
Before You Begin
RSA recommends that you carefully consider the security implications before 
enabling these features. 
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. On the Settings page, under Customization, click Enable or Disable 
Self-Service Features.
3. Under Enable or Disable Self-Service Features, select the options for features 
that you want to enable in the Self-Service Console, and clear the options for 
features that you want to disable.
4. Under Set Display Options for Self-Service Console - Home Page, select the 
display options that you want to show on the Home page of the Self-Service 
Console, and clear the options that you want to hide.
Note: 
If you clear Display Log On Section, users cannot log on from the Home 
page or view their profile information on the My Account page of the Self-Service 
Console.
Image from pdf to ppt - SDK software API:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Image from pdf to ppt - SDK software API:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
252
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
5. Under Set Display Options for Self-Service Console - My Account Page, select 
the display options that you want to show on the My Account page of the 
Self-Service Console, and clear the options that you want to hide.
6. Under Set Display Options for Troubleshooting, select the display options that 
you want to show on Self-Service Console, and clear the options that you want to 
hide.
7. Click Save.
Next Steps
If you enabled the I Have Forgotten My Smart Card PIN or it is Blocked Option 
under Set Display Options for Troubleshooting, you must import the PIN unlocking 
keys before users can use this option. For instructions, see Clear an RSA SecurID PIN
on page 142. 
Customize Self-Service Console Web Pages
You can customize the following elements of the Self-Service Console web pages and 
risk-based authentication (RBA) logon pages. 
Procedure
1. In the Operations Console, go to Deployment Configuration > Web-Tier 
Deployments > Customization.
2. On the Web Tier Customization page, do the following.
• (Self-Service Console and RBA logon pages) Select a new logo file for 
Self-Service Console and RBA logon pages. You can replace the RSA logo 
with your own. The logo file must be a .gif file that is less than 5 MB. The 
image must fit within 500 pixels wide by 50 pixels high.
• (Self-Service Console) Enter text for the header for Self-Service Console 
only. You can add some user information, such as “Welcome to the your 
company name Self-Service Console, where you can request an on-demand 
tokencode and update your user profile.”
• (Self-Service Console) Enter text for footer 1 for Self-Service Console only. 
You can add up to three lines of text.
• (Self-Service Console) Enter text for footer 2.
• (Self-Service Console) Enter text for footer 3.
3. Click Save.
Next Steps
See Update the Web-Tier
on page 186.
SDK software API:C# PDF Convert: How to Convert MS PPT to Adobe PDF Document
PowerPoint to Image. Adobe PDF to Image. Tiff to Image. Dicom to Image. Microsoft PowerPoint to PDF. C# PDF Convert: How to Convert MS PPT to Adobe PDF Document.
www.rasteredge.com
SDK software API:How to C#: Convert Word, Excel and PPT to PDF
in WPF, C#.NET PDF Create, C#.NET PDF Document Viewer, C#.NET PDF Windows Viewer, C#.NET convert image to PDF How to C#: Convert Word, Excel and PPT to PDF.
www.rasteredge.com
11: RSA Self-Service
253
RSA Authentication Manager 8.1 Administrator’s Guide
Customizing the Self-Service Console User Help
You can customize the content of the Self-Service Console Help file to reflect how 
your company uses self-service.
By editing the Self-Service Console Help HTM files, you can customize the Help to:
• Reflect any changes that you make to the Self-Service Console when editing the 
properties file.
• Add information that is specific to your company, for example, terminology. 
• Remove information that is not applicable to your company. 
The location of the HTM files on the Authentication Manager appliance is 
/opt/rsa/am/server/apps/rsa-help/eclipse/plugins/
com.rsa.ucmuserconsole.help/console-help.
The location of the HTM files on the web tier is 
RSA_WT_HOME/server/apps/rsa-help/eclipse/plugins/
com.rsa.ucmuserconsole.help/console-help.
Modifying the Self-Service Console Help file on the Authentication Manager 
appliance does not modify the Self-Service Console Help file on the web tier. Copy 
the Self-Service Console Help file from the console-help directory on the appliance to 
the console-help directory on each web-tier server where you want the customized 
Help to display.
Provisioning Overview
The Provisioning feature of Self-Service automates workflows for distributing 
authenticators and allows users to perform many of the provisioning tasks from the 
Self-Service Console.
Note: 
The Provisioning feature is included with the Authentication Manager 
Enterprise Server license. If you have a Base Server license, and you want 
provisioning, you must upgrade to the Enterprise Server license. 
You can configure provisioning so that users can request, enable, and troubleshoot 
authenticators, as well as use emergency access. Provisioning includes predefined 
administrative roles that you can assign for managing authenticators, approving 
requests, and distributing authenticators. 
Users can perform the following provisioning actions from the Self-Service Console:
• Request enrollment
• Request new or additional tokens 
• Enable a token
• Request the on-demand tokencode service
• Request replacement tokens if tokens are lost, broken, temporarily unavailable, or 
about to expire
SDK software API:How to C#: Convert PDF, Excel, PPT to Word
Text Search. Insert Image. Thumbnail Create. Convert PDF to Word. |. Home ›› XDoc.Word ›› C# Word: Convert How to C#: Convert PDF, Excel, PPT to Word.
www.rasteredge.com
SDK software API:C# TIFF: Learn to Convert MS Word, Excel, and PPT to TIFF Image
C# TIFF - Conversion from Word, Excel, PPT to TIFF. Learn How to Change MS Word, Excel, and PowerPoint to TIFF Image File in C#. Overview
www.rasteredge.com
254
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
• Request user group membership for access to protected resources 
• Request on-demand authentication
Administrative Roles in Provisioning
Provisioning includes the following predefined administrative roles, which you can 
customize.
Token Administrator. Imports and manages tokens, and assigns tokens to users.
Request Approver. Approves, updates, and rejects Self-Service provisioning 
requests including new user accounts, user group membership, and token requests.
Token Distributor. Manages token provisioning requests. Determines how to 
assign and deliver tokens to users.
For each predefined role, you can configure the permissions shown in the following 
table for each administrator.
You can limit the administrative scope of each role to a security domain and a identity 
source. You can also allow a provisioning administrator to delegate the role’s 
permissions to other administrators. For example, the Request Approver for a 
corporate division might want to delegate approval permissions to department-level 
administrators. 
You can also assign provisioning permissions to any administrative role in 
Authentication Manager. Use the Security Console to configure administrative roles.
General Permissions
Authentication 
Permissions
Self-Service 
Permissions
• Manage Policies
• Manage Security 
Questions
• Manage Delegated 
Administration
• Manage Users
• Manage User Groups
• Manage Reports
• Manage SecurID Tokens
• Manage User Groups
• Manage User Authentication 
Attributes
• Manage Authentication 
Agents
• Manage Trusted Realms
• Manage On-Demand 
Authentication
Provisioning Requests
SDK software API:VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
VB.NET PowerPoint processing control add-on can do PPT creating, loading provide powerful & profession imaging controls, PDF document, image to pdf files and
www.rasteredge.com
SDK software API:VB.NET PowerPoint: Read & Scan Barcode Image from PPT Slide
VB.NET PPT PDF-417 barcode scanning SDK to detect PDF-417 barcode image from PowerPoint slide. VB.NET APIs to detect and decode
www.rasteredge.com
11: RSA Self-Service
255
RSA Authentication Manager 8.1 Administrator’s Guide
Scope for Request Approvers and Token Distributors
Request Approvers can approve requests under the following conditions.
For Request Approver workflow instructions, see the Security Console Help topic 
“Approve and Reject User Requests.”
Token Distributors can only review and close requests in their security domain. 
Privileges for Request Approvers and Token Distributors
Request Approvers and Token Distributors can change the type of token requested by 
users. For example, they can change a request for a keyfob token to a request for a 
USB token.
Request Approvers and Token Distributors cannot:
• Change hardware token requests to software token requests, or the reverse. 
• Change requests for the on-demand tokencode service to hardware or software 
token requests, or the reverse.
RSA recommends that Request Approvers and Token Distributors do not change a 
request for a keyfob to a PINPad-style token because the PIN for a keyfob is not 
compatible with the PINPad-style token and the PIN fails when users try to use it.
If you change the PIN policy, verify that it does not affect any of the pending token 
requests. RSA recommends that you take appropriate action on pending requests 
before you change the PIN policy for any tokens.
For Token Distributor workflow instructions, see the Security Console Help topic 
“Complete User Requests.”
Type of Request
Approval Conditions
Authenticators
Unassigned authenticators are available within the approver’s 
scope.
Group Membership
Both the user and group are in the Approver’s scope.
Default Group
Approver has scope for the user, regardless of scope over the 
group.
Any Request
User must be in the Approver’s security domain.
SDK software API:VB.NET PowerPoint: Convert & Render PPT into PDF Document
slide(s) into image source. If you want to create a featured PPTX to PDF converting application, you may need other VB.NET APIs to customize PPT (.pptx) to
www.rasteredge.com
SDK software API:VB.NET PowerPoint: VB Codes to Create Linear and 2D Barcodes on
The created Interleaved 2 of 5 barcode image on PPT PowerPoint PDF 417 barcode library is a mature and This PPT ISBN barcode creator offers users the flexible
www.rasteredge.com
256
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
Workflow for Provisioning Requests
Provisioning uses workflows to automate token deployment. A workflow defines the 
number of steps or work tasks required for each type of user provisioning request. The 
users and administrators who perform tasks in a workflow are called workflow 
participants. 
The following table lists the types of workflow participants and the tasks they can 
perform. 
Assigning Administrative Roles
If you use workflows for provisioning requests, you need to assign the Token 
Administrator, Request Approver, and Token Distributor Administrator roles. For 
more information about administrative roles in provisioning, see Administrative Roles 
in Provisioning
on page 254. For instructions, see Assign an Administrative Role
on 
page 64.
Workflow Policy
Self-Service uses workflow policies to automate deployment of authenticators and to 
fulfill other requests from users, for example, on-demand authentication (ODA). 
Workflow policies determine how user requests are handled. They apply to the entire 
deployment. Each user request is governed by one workflow policy. The workflow 
policy includes:
• General workflow settings
• User and group settings
Workflow Participant
Tasks
User
From the Self-Service Console, the user initiates a request that 
starts a workflow. The types of user requests are: 
• Enrollment
• New or additional SecurID tokens
• Replace hardware and software tokens that are about to expire
• Replace broken or permanently lost tokens
• On-demand tokencode service 
• Additional user group membership
Request Approver
From the Security Console, the Request Approver:
• Views all requests. 
• Approves, rejects, cancels, or defers action on requests.
• Comments on requests, if necessary.
• Changes the token type, if necessary.
Token Distributor
From the Security Console, the distributor:
• Views user requests that require distribution. 
• Determines how to assign and deliver tokens to users.
• Records how tokens are delivered to users.
11: RSA Self-Service
257
RSA Authentication Manager 8.1 Administrator’s Guide
• Hardware and software token request settings
• On-demand tokencode request settings
• The number of steps for each type of request
• List of e-mail notification recipients for provisioning requests
• The content of e-mail notifications for each type of request
For more information about ODA and RBA, see Chapter 10, Deploying On-Demand 
Authenticatio
n
and Chapter 12, Deploying Risk-Based Authenticatio
n
.
Configuring Provisioning
You must enable provisioning and configure the features and services that you want 
for your Self-Service Console users. You can specify workflow policies and customize 
e-mail notifications for user requests. If you need to create multiple token and user 
group membership requests, advanced users can run a bulk import utility. The 
following list is a guide to configuring provisioning. 
Procedure
1. Enable Provisioning
on page 257.
2. Change the Default Workflow Policy
on page 257.
3. Assign a Workflow Policy to a Security Domain
on page 258.
4. Change Workflow Definitions
on page 258.
5. Using E-mail Notifications for Provisioning Requests
on page 259.
6. Configure Authenticators for Self-Service Users
on page 261.
7. Configure Shipping Addresses for Hardware Authenticators
on page 262.
8. (Optional) Creating Multiple Requests and Archiving Requests
on page 263
Enable Provisioning
You must enable provisioning to allow users to request enrollment, user groups, 
authenticators, and on-demand authentication on the Self-Service Console. 
Procedure
1. In the Security Console, go to Setup > Self-Service Settings > Enable or Disable 
Self-Service Features.
2. Select Enable Provisioning Features.
3. Click Save.
Change the Default Workflow Policy 
If your company wants to change the number of Request Approvers in a workflow 
definition, who receives e-mail, or the content of the e-mails sent to workflow 
participants, you can change the default workflow policy for your company as needed.
258
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
Each deployment has a default workflow policy that is assigned to all new security 
domains. You can change the default policy. The default policy applies to all security 
domains that are configured to use the default policy.
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. Under Provisioning, click Workflow Policies.
3. Use the search fields to find the policy you want to set as the default.
4. From the search results, click the policy you want to set as the default and click 
Edit from the context menu.
5. Under Workflow Policy Basics, select the Default Policy check box to designate 
the new policy as the default policy for the deployment.
6. Click Save.
Assign a Workflow Policy to a Security Domain
When you install Authentication Manager or create a new deployment, a default 
workflow policy is created. When you create a security domain, you can use the 
default policy, or you can create custom policies and assign them to security domains. 
The policy that you choose applies to all users owned by the security domain.
Procedure
1. In the Security Console, click Administration > Security Domains > Manage 
Existing.
2. From the security domain tree, select the security domain that you want to edit and 
click Edit from the context menu.
3. Under Policies, in the Workflow Policy field, use the drop-down menu to select a 
policy for the security domain.
4. Click Save.
Change Workflow Definitions
Each type of user request has a default workflow definition, which you can customize 
to meet the needs of your organization. A workflow definition defines the number of 
steps or work items for each type of request. Each approval step requires a unique 
Request Approver. A workflow definition consists of the following:
• Zero to four approval steps: Request Approvers view all requests, and approve or 
reject the requests.
• Zero to one distribution step: Token Distributors view user token requests and 
determine how to assign and deliver the tokens.
For example, suppose a company requires all new employees to enroll in Self-Service 
and request new tokens so they can access the company network. If your company 
policy requires two people—a manager and a system administrator—to approve token 
requests from new employees, you can customize the workflow definition to 
accommodate this requirement.
11: RSA Self-Service
259
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. Under Provisioning, click Workflow Policies.
3. Use the search fields to find the policy that you want to edit.
4. Select the policy that you want to edit.
5. From the context menu, click Edit.
6. To change the workflow definition for a particular type of request, click one of the 
following tabs:
• User and User Group. Requests for a Self-Service account from users in a 
directory server, users not in a directory server, and user group membership.
• Hardware Token. Requests for hardware tokens.
• Software Token. Requests for software tokens.
• On-Demand Authentication. Requests for on-demand authentication.
7. Under Workflow Definitions, click the drop-down arrow to change the number of 
approval or distribution steps for a request.
8. Click Save.
Note: 
If you have not saved your edits, you can click Reset to change the policy back 
to its original setting.
Using E-mail Notifications for Provisioning Requests
Provisioning workflow participants can receive e-mail notifications when a request is 
submitted, waiting for approval, approved, cancelled, rejected, or is unsuccessful. You 
can allow the following workflow participants to receive e-mail notifications:
• All workflow participants. Users, Request Approvers, Token Distributors
• Super Admin
• Workflow participants in parent security domain
You can add a comment to the request properties configuration that will be included in 
the e-mail notification, for example, to explain why a request is denied.
Before Authentication Manager can send e-mail notifications, you must configure 
SMTP. For more information, see the Security Console Help topic “Configure the 
SMTP Mail Service.”
If you enable e-mail notifications to workflow participants in the parent security 
domain, all Request Approvers and Token Distributors in security domains above the 
security domain where a request originates receive workflow e-mail notifications.
You can deselect the default setting that enables workflow e-mail notifications to all 
workflow participants (Users, Request Approvers, Token Distributors). You cannot 
disable workflow e-mail notifications by participant type, except for Super Admin.
260
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
Configure E-mail Notifications for Provisioning Workflow Participants
Self-Service can automatically send e-mail to workflow participants to notify them 
that they need to take action on requests, for example, when a request is submitted, 
waiting for approval, cancelled, rejected, or unsuccessfully submitted. You can specify 
who receives workflow e-mail notifications.
Self-Service sends e-mail notifications automatically to users about their requests. 
You cannot disable e-mail notifications to users.
Procedure
1. In the Security Console, click Setup > Self-Service.
2. Under Provisioning, click Workflow Policies.
3. Use the search fields to find the policy you want to change.
4. From the search results, click the policy you want to change and click Edit from 
the context menu.
5. Under E-mail Notification Settings, select one or more of the following options:
• Enable e-mail notifications for all workflow participants - All workflow 
participants (managers, or administrators with permission to approve requests 
or distribute tokens) receive e-mail notifications.
• Enable e-mail notifications for Super Admin - Super Admins receive 
e-mail notifications.
• Enable e-mail notifications for parent workflow participants - All 
approvers and distributors in the parent security domain of the user that made 
the request receive e-mail notifications.
6. Click Save.
Managing Authenticators for Self-Service Users
Users can request authenticators and emergency access through the Self-Service 
Console. You can use the Security Console to manage the types of authenticators 
available, emergency access tokencodes, and requests to replace expiring tokens.
Hardware Token Types Available for Request. You can select which types of 
tokens are available, the authentication method, and a default type for 
Self-Service users.
Software Token Profiles Available for Request. You can select which software 
token profiles are available. The software token profile designates the 
authentication method and the token delivery method. You can allow users to edit 
token attribute details, and to select a default type for Self-Service users.
On-Demand Authentication (ODA) Settings. You can allow users to request the 
ODA service as a primary authentication type. You need to configure the ODA 
settings to enable provisioning users to request this service.
Token File Password Settings. You can require users to provide a password to 
protect the software token file
.
Documents you may be interested
Documents you may be interested