11: RSA Self-Service
261
RSA Authentication Manager 8.1 Administrator’s Guide
Emergency Access Tokencode Settings. Users whose tokens are temporarily or 
permanently unavailable may require emergency access. Self-Service users can 
obtain emergency access themselves rather than calling the Help Desk. You can 
configure the type of emergency access to make available to users.
Expiring Token Parameters. Users can request a replacement token through the 
Self-Service Console if a token is about to expire. You can configure the number 
of days before expiration that users can make this request. The default is within 30 
days of expiration.
If you want reports about authenticator distribution and use, you can use the 
Authentication Manager standard reports or you can create custom reports. For more 
information about reports, see Reports Permitted for Each Administrative Role
on 
page 338 and Custom Reports
on page 340.
Configure Authenticators for Self-Service Users
Users can request authenticators and emergency access through the Self-Service 
Console. You can manage the types of authenticators available and configure the 
settings for emergency access tokencodes. 
Before You Begin
Add a Software Token Profile
on page 200. Only a Super Admin can add software 
token profiles.
Procedure
1. In the Security Console, go to Setup > Self-Service Settings.
2. Under Provisioning, click Manage Authenticators, and do the following, as 
needed:
• Under Hardware Token Types Available for Request, select one or more 
types and define the settings for each type. For detailed instructions, see the 
Security Console Help topic “Select Hardware Tokens for Provisioning.”
• Under Software Token Profiles Available for Request, select one or more 
software token profiles and define the settings for each type. For detailed 
instructions, see the Security Console Help topic “Select Software Tokens for 
Provisioning.”
• Under On-Demand Authentication Settings, select Allow users to request 
the on-demand tokencode service, and define the settings. For detailed 
instructions, see the Security Console Help topic “Select On-Demand 
Authentication for Provisioning.”
• Under Token File Password Settings, select The user needs to provide the 
password, to protect the token file, and select a file format.
3. (Optional.) Configure emergency access settings. For detailed instructions, see the 
Security Console Help topic “Configure Emergency Access for Provisioning.”
• Under Emergency Access Tokencode Settings, define the settings. 
• Under Emergency Access Tokencode Settings for Permanently Lost or 
Broken Tokens, define the settings.
Convert pdf to editable ppt online - control software platform:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf to editable ppt online - control software platform:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
262
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
• Under Emergency Access Tokencode Settings for Temporarily 
Unavailable Tokens, define the settings.
• Under Expiring Token Parameters, enter the number of days in advance of 
expiration that a user can request a replacement token.
4. Click Save.
Configure Shipping Addresses for Hardware Authenticators
When you configure provisioning, you can configure a shipping address where 
hardware authenticators are sent for each user. Each user can have a separate shipping 
address. The shipping address appears on the user profile.
If you store shipping data in the internal database, the user must enter a shipping 
address for each request for an authenticator that requires a distribution step.
If you use a directory server as the identity source, you can map the shipping address 
to existing identity attributes. The identity source automatically fills in the address 
information for the user. The user can view the shipping address, but cannot modify it. 
Any changes made to the shipping address are only for the current authenticator 
request. Changes to the shipping address do not change the user’s record in the 
identity source.
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. Under Provisioning, click Set Shipping Addresses.
3. (Optional) Under Shipping Address Mapping and Display Options, specify if 
you want the fields in the shipping address to be Required, Optional, Read-only, 
or Hidden.
4. (Optional) For each of the options, do one of the following:
• If you store data in the internal database, under Map to, select Unmapped.
• To use information from an identity source for the shipping address, under 
Map To, select one of the available identity attributes.
5. Click Save.
control software platform:Online Convert PDF to Text file. Best free online PDF txt
to convert PDF document to editable & searchable to text converter control toolkit can convert PDF document to Download and try RasterEdge.XDoc.PDF for .NET
www.rasteredge.com
11: RSA Self-Service
263
RSA Authentication Manager 8.1 Administrator’s Guide
Creating Multiple Requests and Archiving Requests
If you need to create multiple requests, you can use the User Groups and Token Bulk 
Requests utility, import-bulk-request. For example, if you want every salesman in 
your organization to receive a SecurID token, you can create a bulk request on their 
behalf. The system acts as if each salesman made a separate request using the 
Self-Service Console.
If you want to free up disk space, you can use the Archive Requests utility, 
archive-ucm-request, to export closed Self-Service Console requests with their 
associated attributes and process data. If you need to retrieve the information, you can 
use the Archive Requests utility to import the archived requests. For example, you 
might want to resend an approval e-mail to a user who has lost the approval e-mail 
that contained a token file.
User Groups and Token Bulk Requests Utility
Use the User Groups and Token Bulk Requests utility, import-bulk-request, to import 
token and user group membership requests. The RSA Authentication Manager 
self-service feature runs this task as a batch job. 
When you run the User Groups and Token Bulk Requests utility, the time that it takes 
for bulk request operations to complete depends on the number of requests in the 
comma-separated value (CSV) input file. If you receive time-out errors, it may be that 
your CSV input file has too many requests. You should create multiple CSV input files 
and import them separately.
Import Bulk Requests for User Groups and Tokens
You must run the import-bulk-request utility on the appliance. The input file must also 
be on the appliance operating system. For example, you can use Secure FTP to copy 
the .csv file into the /home/rsaadmin directory.
Important: 
This procedure assumes a knowledge of Linux commands. Do not attempt 
this procedure without the necessary knowledge.
Before You Begin
• You must have Super Admin and Operations Console administrator privileges to 
run the User Groups and Token Bulk Requests utility.
• You must create an input file that lists all of the bulk requests. For instructions, see 
Create Input Files for Bulk Requests
on page 265.
Procedure
1. Log on to the appliance using an SSH client. For instructions, see Log On to the 
Appliance Operating System with SSH
on page 414.
2. Change directories to /opt/rsa/am/utils.
264
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
3. Do the following:
• To import bulk token requests, type:
./rsautil import-bulk-request -u admin_UserID -o 
oc_admin_UserID -f /home/rsaadmin/TokenRequests.csv -r 
TOKEN
where
– admin_UserID is the user name for the Super Admin running the utility.
– oc_admin_UserID is the user name for an Operations Console 
administrator.
– /home/rsaadmin/TokenRequests.csv is the request input file (CSV) with 
pathname and filename.
– TOKEN is the request type.
• To import bulk on-demand tokencode service requests using the mobile 
device delivery method, type:
./rsautil import-bulk-request -u admin_UserID -o 
oc_admin_UserID -f /home/rsaadmin/TokenRequests.csv -r 
TOKEN -d SMS
where SMS is the delivery method. 
When you import on-demand tokencode service bulk requests, the delivery 
method follows these guidelines:
– You can use only one delivery method for each on-demand tokencode 
service bulk request.
– If you configure one delivery method for the on-demand tokencode 
service, either mobile device or e-mail, all on-demand tokencode service 
bulk requests use that delivery method.
– If you configure both mobile device and e-mail as the delivery methods 
for the on-demand tokencode service, you can set the delivery method for 
on-demand tokencode service bulk requests using the (-d) option flag. If 
you do not use the 
-d
option flag, the default delivery method is e-mail.
– If the CSV file does not contain any on-demand tokencode service bulk 
requests, the delivery method (-d) option flag is ignored.
For information on configuring delivery methods, see Configuring 
On
-
Demand Tokencode Delivery by Text Message
on page 226 and 
Configuring On-Demand Tokencode Delivery by E-mail
on page 232.
• To import bulk user group membership change requests, type:
./rsautil import-bulk-request -u admin_UserID -o 
oc_admin_UserID -f /home/rsaadmin/GroupRequests.csv -r 
GROUP
where 
– admin_UserID is the user name for the Super Admin running the utility.
– oc_admin_UserID is the user name for an Operations Console 
administrator.
11: RSA Self-Service
265
RSA Authentication Manager 8.1 Administrator’s Guide
– /home/rsaadmin/GroupRequests.csv is the request input file (CSV) with 
pathname and filename.
– GROUP is the request type.
4. When prompted, enter the Super Admin and Operations Console administrator 
passwords.
Important: 
Although it is possible to enter the Super Admin and Operations 
Console administrator passwords on the command line along with the other 
options, this creates a potential security vulnerability. RSA recommends that you 
enter passwords only when the utility presents a prompt.
Create Input Files for Bulk Requests
You must create a CSV(comma-separated values) input file that lists all of the bulk 
requests that you want to input into the Self-Service Console using the User Groups 
and Token Bulk Requests utility. 
To create a CSV input file:
1. Do one of the following: 
• Create an ASCII text file. Separate the header information and request 
information with commas.
• Use spreadsheet software, such as Microsoft Excel, and enter the values in 
each column of the spreadsheet. 
Note: 
You must create a separate CSV input file for token requests and a separate 
CSV input file for user group membership requests. You cannot put token requests 
and user group membership requests in the same CSV input file. 
2. Enter header information (attribute names) for requests, on the first line, separated 
by commas, or in different columns, if you use a spreadsheet. 
3. Enter request information (attribute values) in the second and following lines, 
separated by commas, or in different columns, if you use a spreadsheet.
Each line, after the header, is a separate request.
Note: 
The request information (attribute values) must follow the same order as the 
header information (attribute names) in each line of the input file.
For information about attribute names and attribute values, see CSV Format for 
Token Requests Input File
on page 266 and CSV Format for User Group 
Membership Requests Input File
on page 267.
4. Do one of the following:
• Save the text file with the .csv extension.
• If you use spreadsheet software, save the input file as a .csv file.
5. Copy the .csv file to the RSA Authentication Manager instance. For example, use 
Secure FTP to copy the .csv file into the /home/rsaadmin directory.
266
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
6. Run the import-bulk-request utility. 
For more information, see Import Bulk Requests for User Groups and Tokens
on 
page 263.
CSV Format for Token Requests Input File
The following table lists the attribute names (header information) and attributes values 
(request information) for the token requests input file.
Sample CSV Input File for Token Requests
USER_ID,IDENTITY_SOURCE_NAME,TOKEN_TYPE
SDoe,Internal Database,STDCARD
PPorter,Internal Database,PINPAD
FKing,Internal Database,KEYFOB
LMathews,Internal Database,SID800
RKapur,Internal Database,Android_CT_KIP
DCohen,Internal Database,iPhone
RBouvier,Internal Database,Windows Mobile
ADoyle,Internal Database,Toolbar
GWilliams,Internal Database,CT KIP
TKennedy,Internal Database,On Demand Tokencode Service
Attribute Names
Attribute Values
USER_ID
Logon ID of the user for whom the bulk request is 
created.
IDENTITY_SOURCE_NAME Identity source name of the user for whom the bulk 
request is created. 
Note: 
Do not use the user-friendly display name. Use 
the exact identity source name.
TOKEN_TYPE
Use the token type name that appears on the Security 
Console Self-Service Settings: Provisioning - Manage 
Authenticators page. For software tokens, use the 
display names listed under the section Software Token 
Types Available for Request. You enter the display 
name when you add a new software token profile. For 
instructions, see Add a Software Token Profile
on 
page 200. 
Input to the import-bulk-request CLU is based on the 
display name. 
Note: 
Use On-Demand Tokencodes to create bulk 
requests for the on-demand tokencode service. You 
cannot send on-demand tokencodes to users using bulk 
requests. 
11: RSA Self-Service
267
RSA Authentication Manager 8.1 Administrator’s Guide
CSV Format for User Group Membership Requests Input File
The following table lists the attribute names (header information) and attributes values 
(request information) for the user group membership requests input file. 
Sample CSV Input File for User Group Membership Requests
USER_ID,IDENTITY_SOURCE_NAME,USER_GROUP_NAME
GWilliams,Internal Database,Managers
TKennedy,Internal Database,Managers; HR
DCohen,Internal Database,Doc
RBouvier,Internal Database,Customers
Log Files for Bulk Requests
A log file is created for each bulk request batch job. View the log file to verify that the 
batch job successfully created all requests in the input file.
The location of the log file is:
/opt/rsa/am/server/logs/CLU
The log file uses the following naming conventions:
• For bulk token requests: 
UCM Requests_BulkToken_YYYY_MM_DD_HH_MIN_SEC.log 
• For bulk user group membership requests:
UCM Requests_BulkGroup_YYYY_MM_DD_HH_MIN_SEC.log 
PIN and Protection of Distribution Files for Software Tokens
The CSV output file stores PINs and passwords for protection of distribution files in 
text format. There is no protection of passwords or PINs in this file. Administrators 
can use this file to send PINs and passwords to users by e-mail. The CSV output file 
has the same name as the corresponding log file, except with the .csv extension, and it 
is generated in the same location as the log file. 
Attribute Names
Attribute Values
USER_ID
Logon ID of the user for whom the bulk request is 
created.
IDENTITY_SOURCE_NAME
Identity source name of the user for whom the bulk 
request is created. 
Note: 
Do not use the user-friendly display name. 
Use the exact identity source name.
USER_GROUP_NAME
User group name. You can request membership in 
more than one group by using “;” for a delimiter.
Note: 
You must use the exact name for each user 
group member. Do not use the user-friendly display 
name.
268
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
For tokens with PINs, the system generates PINs to protect distribution files. The 
system uses the setting to password protect distribution files set by the administrator.
For tokens without PINs, which have one-factor authentication, the system protects 
distribution files with passwords (8 alphanumeric characters).
Archive Requests Utility
Use the Archive Requests utility, archive-ucm-request, to export and import 
RSA Self-Service closed requests, such as new user and token requests, with their 
associated attributes and workflow data.
You can export closed requests if you want to free up disk space and if you want to 
increase the speed of search operations in the system. You can import archived 
requests if you want to resend an approval e-mail to a user who has lost the approval 
e-mail that contained a token file. 
This utility exports the associated attributes and process instance data into the file 
Request_YYYY_MM_DD_HH_MIN_SEC.ZIP in the directory 
/tmp/archivedRequest. The .zip file contains the following files:
• Request Data - Request_YYYY_MM_DD_HH_MIN_SEC.CSV
• Request Attribute Data - Request_Att_YYYY_MM_DD_HH_MIN_SEC.CSV
• Process Instance Data - Request_WF_YYYY_MM_DD_HH_MIN_SEC.CSV
• Process Instance Activity Data - 
Request_WF_ACTYYYY_MM_DD_HH_MIN_SEC.CSV
Export and Import Closed Requests
The Archive Requests utility, archive-ucm-request, can only export RSA Self-Service 
closed requests. When you import archived requests, you must use the same .zip file 
that you use to export requests. Do not change the name of the .zip file.
Important: 
This procedure assumes a knowledge of Linux commands. Do not attempt 
this procedure without the necessary knowledge.
Before You Begin
You must have Super Admin and Operations Console administrator privileges to run 
the Archive Request utility.
Procedure
1. Log on to the appliance using an SSH client. For instructions, see Log On to the 
Appliance Operating System with SSH
on page 414.
2. Change directories to /opt/rsa/am/utils.
11: RSA Self-Service
269
RSA Authentication Manager 8.1 Administrator’s Guide
3. Do the following:
• To export requests from a range of dates and delete the requests after 
exporting them, type:
./rsautil archive-ucm-request -u admin_UserID -o 
oc_admin_UserID -d /tmp/archivedRequest -a EXPORT 
-S 07/03/2013 -E 07/07/2013 -D
where
– admin_UserID is the user name for the Super Admin running the utility.
– oc_admin_UserID is the user name for an Operations Console 
administrator.
– /tmp/archivedRequest is the directory path for archived requests.
– EXPORT is the archive option.
– 07/03/2013 is the start date. Requests created on or after this date are 
exported. [mm/dd/yyyy].
– 07/07/2013 is the end date. Requests created on or before this date are 
exported. [mm/dd/yyyy].
– -D deletes records after exporting.
The archived requests are saved in a .zip file in the directory 
/tmp/archivedRequest. 
To save disk space, you can move the .zip file to a secure location on the 
network. For example, use Secure FTP.
• To import archived requests and the associated process instance data, copy the 
archive .zip file to the appliance operating system. For example, you can use 
Secure FTP to copy the .zip file into the /tmp/archivedRequest directory.
Type:
./rsautil archive-ucm-request -u admin_UserID 
-o oc_admin_UserID -d /tmp/archivedRequest -a IMPORT 
-j Request_2013_03_06_15_48_26.zip
where
– admin_UserID is the user name for the Super Admin running the utility.
– oc_admin_UserID is the user name for an Operations Console 
administrator.
– /tmp/archivedRequest is the directory path for archived requests.
– IMPORT is the archive option.
– Request_2013_07_03_06_15_48_26.zip is the file for import. The .zip 
file must have the same filename as it had when the data was exported.
270
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
4. When prompted, enter the Super Admin and Operations Console administrator 
passwords.
Important: 
Although it is possible to enter the Super Admin and Operations 
Console administrator passwords on the command line along with the other 
options, this creates a potential security vulnerability. RSA recommends that you 
enter passwords only when the utility presents a prompt.
Self-Service Troubleshooting
The self-service troubleshooting feature allows Self-Service Console users to 
troubleshoot routine authentication problems when they cannot access protected 
resources using primary methods such as passwords or passcodes. 
Users can troubleshoot the following problems, if their records are stored in the 
internal database.
• Reset passwords
• Reset token PINs
• Resynchronize tokens
• Request a new tokens (if they lost the old one)
• Request emergency access tokencodes
You associate Self-Service troubleshooting policies with security domains. The 
default policy is automatically assigned to each new security domain that you create. 
You can override the default policy by selecting a custom policy.
Add a Self-Service Troubleshooting Policy
In a replicated deployment, changes to policies might not be immediately visible on 
the replica instance. This delay is due to the cache refresh interval. Changes should 
replicate within 10 minutes. For instructions to make changes take effect sooner on the 
replica instance, see Flush the Cache
on page 376.
Procedure
1. In the Security Console, click Authentication > Policies > Self-Service 
Troubleshooting Policies > Add New.
2. In the Self-Service Troubleshooting Policy Name field, enter the policy name. 
Use a unique name, and do not exceed 128 characters.
3. (Optional) To designate the new policy as the default policy for the system, select 
Default Policy. When this option is selected, new security domains use this 
policy.
4. (Optional) Select the Authentication Method with which users authenticate if 
they cannot use their primary authentication method.
Documents you may be interested
Documents you may be interested