11: RSA Self-Service
271
RSA Authentication Manager 8.1 Administrator’s Guide
5. The Lock User Accounts field controls the number of unsuccessful 
authentication attempts a user is permitted to make to the Self-Service 
Troubleshooting feature. You can allow an unlimited number of unsuccessful 
attempts, or a specified number of unsuccessful attempts within a specified 
number of days, hours, minutes, or seconds. After the number has been reached, 
this policy locks the user's account out of the troubleshooting feature.
6. In the Unlock field, you can either require administrators to unlock accounts after 
users have exceeded the limit specified in the Lock User Accounts field, or you 
can allow the system to automatically unlock accounts after a specified number of 
days, hours, minutes, or seconds.
7. Click Save.
Convert pdf to powerpoint with - Library software component:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf to powerpoint with - Library software component:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
Library software component:Online Convert PowerPoint to PDF file. Best free online export
Download Free Trial. Convert a PPTX/PPT File to PDF. Then just wait until the conversion from Powerpoint to PDF is complete and download the file.
www.rasteredge.com
Library software component:C# PDF Convert to Jpeg SDK: Convert PDF to JPEG images in C#.net
C# PDF - Convert PDF to JPEG in C#.NET. C#.NET PDF to JPEG Converting & Conversion Control. Convert PDF to JPEG Using C#.NET. Add necessary references:
www.rasteredge.com
12: Deploying Risk-Based Authentication
273
RSA Authentication Manager 8.1 Administrator’s Guide
12
Deploying Risk-Based Authentication
Risk-Based Authentication
Risk-based authentication (RBA) identifies potentially risky or fraudulent 
authentication attempts by silently analyzing user behavior and the device of origin. 
RBA strengthens RSA SecurID authentication and traditional password-based 
authentication. If the assessed risk is unacceptable, the user is challenged to further 
confirm his or her identity by using one of the following methods:
• On-demand authentication (ODA). The user must correctly enter a PIN and a 
one-time tokencode that is sent to a preconfigured mobile phone number or e-mail 
account.
• Security questions. The user must correctly answer one or more security 
questions. Correct answers to questions can be configured on the Self-Service 
Console or during authentication when silent collection is enabled.
RSA Authentication Manager contains a risk engine that intelligently accumulates 
and assesses knowledge about each user’s device and behavior over time. When the 
user attempts to authenticate, the risk engine refers to the collected data to evaluate the 
risk. The risk engine then assigns an assurance level such as high, medium, or low to 
the user's authentication attempt. RBA compares this to the minimum acceptable level 
of assurance that you have configured. If the risk level is higher than the minimum 
assurance level, the user is prompted to confirm his or her identity by answering 
security questions or using ODA.
Library software component:VB.NET PDF Convert to Jpeg SDK: Convert PDF to JPEG images in vb.
Convert PDF to Image; Convert Word to PDF; Convert Excel to PDF; Convert PowerPoint to PDF; Convert Image to PDF; Convert Jpeg to PDF;
www.rasteredge.com
Library software component:VB.NET PDF Convert to HTML SDK: Convert PDF to html files in vb.
Convert PDF to HTML. |. Home ›› XDoc.PDF ›› VB.NET PDF: PDF to HTML. Convert PDF to HTML in VB.NET Demo Code. Add necessary references:
www.rasteredge.com
274
12: Deploying Risk-Based Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
Risk-Based Authentication Data Flow
The following figure shows a web-based application before it is configured for 
risk-based authentication (RBA). In this example, the network resource is protected by 
an SSL-VPN, and the SSL-VPN is configured to validate user logon credentials using 
an LDAP directory.
Data flow occurs in the following sequence:
1. The user browses to the SSL-VPN logon page over an HTTPS connection.
2. The user provides a user name and password.
3. The SSL-VPN validates the user’s identity using an LDAP directory, the identity 
source, over an LDAPS connection.
4. The SSL-VPN grants the user access to the protected resource.
When RBA is enabled, the logon page for the web-based application redirects the user 
to the Authentication Manager logon page. The user enters logon credentials, and 
Authentication Manager validates the user’s credentials using an LDAP directory as 
an identity source. 
You can deploy RBA so that the workflow is transparent to the user. The redirect is 
immediate. Also, you can customize the Authentication Manager logon page.
Identity Source
1
2
LDAPS
HTTPS
HTTPS
End-user 
Client
3
Protected 
Resource
SSL-VPN
4
HTTPS
Library software component:C# powerpoint - Convert PowerPoint to PDF in C#.NET
C# PowerPoint - Convert PowerPoint to PDF in C#.NET. C# Demo: Convert PowerPoint to PDF Document. Add references: RasterEdge.Imaging.Basic.dll.
www.rasteredge.com
Library software component:C# PDF Convert to HTML SDK: Convert PDF to html files in C#.net
Convert PDF to HTML. |. C#.NET PDF SDK - Convert PDF to HTML in C#.NET. How to Use C# .NET XDoc.PDF SDK to Convert PDF to HTML Webpage in C# .NET Program.
www.rasteredge.com
12: Deploying Risk-Based Authentication
275
RSA Authentication Manager 8.1 Administrator’s Guide
The following figure shows RBA integrated with the SSL-VPN.
Data flow occurs in the following sequence:
1. The user browses to the SSL-VPN logon page over an HTTPS connection.
2. The SSL-VPN redirects the user’s browser to an Authentication Manager logon 
page.
3. The user provides a user name and password.
4. Authentication Manager validates the user’s identity using an LDAP directory, the 
identity source, over an LDAPS connection.
Protected 
Resource
Identity Source
SSL-VPN
RSA 
Authentication 
Manager with 
Risk-Based 
Authentication
RSA SecurID
6
HTTPS (JavaScript redirect)
3
HTTPS
End-user 
Client
H TTPS
1
H TTPS
7
L DAPS
4
HTTPS (JavaScript redirect)
2
5
Library software component:VB.NET PDF Convert to Word SDK: Convert PDF to Word library in vb.
VB.NET PDF - Convert PDF to MS Office Word in VB.NET. VB.NET Tutorial for How to Convert PDF to Word (.docx) Document in VB.NET. Best
www.rasteredge.com
Library software component:VB.NET PDF Convert to Tiff SDK: Convert PDF to tiff images in vb.
VB.NET PDF - Convert PDF to TIFF Using VB in VB.NET. Free VB.NET Guide to Render and Convert PDF Document to TIFF in Visual Basic Class.
www.rasteredge.com
276
12: Deploying Risk-Based Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
Also, Authentication Manager assesses the assurance level (the confidence level 
that determines when the user is challenged for identity confirmation) of the 
authentication attempt. One of the following occurs:
• If the assurance level meets the level that is required by the RBA policy, the 
workflow continues at step 5
.
• If the assurance level does not meet the level that is required by the RBA 
policy, the user is prompted to confirm his or her identity. One of the 
following happens:
– If the user provides identity confirmation, the workflow continues at step 
5
.
– If the user does not provide identity confirmation, Authentication 
Manager returns a message to the user’s browser that access is denied, 
and the workflow ends.
5. Authentication Manager redirects the user’s browser to the SSL-VPN with an 
authentication artifact to confirm that the user’s credentials are valid.
6. The SSL-VPN validates the authentication artifact over the RSA SecurID 
protocol, which is the native authentication protocol for Authentication Manager.
7. The SSL-VPN grants the user access to the protected resource.
Deployment Considerations for Risk-Based Authentication
Before you deploy risk-based authentication (RBA), consider these aspects when you 
plan your RBA deployment strategy and establish RBA policies:
• Do you want to use RBA for all users in a security domain? If yes, you can 
configure Authentication Manager to enable all users automatically. If no, the 
administrator enables users individually.
• Do you have a web tier? RSA recommends a web tier for RBA. You can have 
multiple web tiers handling RBA traffic.
• Which server do you want to select as the preferred server for RBA? RBA 
requires a preferred server. You must select a unique preferred server for each web 
tier handling RBA traffic.
• Do you want to integrate RBA with your web-based authentication agents? RSA 
supports specific web-based agents for integration with RBA. You may integrate 
other web-based agents that support either the RSA SecurID protocol or the 
RADIUS protocol.
• Do you want to use silent collection, which allows the system to establish a 
baseline authentication history for each user and register authentication devices 
automatically to users during the data accumulation period? 
• How often do users access protected resources from public computers or devices? 
Consider this when you are choosing a minimum assurance level, deciding 
whether you want to enable silent collection, and configuring device settings. You 
may want to select a higher assurance level if users frequently use public 
computers or devices.
12: Deploying Risk-Based Authentication
277
RSA Authentication Manager 8.1 Administrator’s Guide
• Do users typically access protected resources using multiple devices or from 
changing locations? How sensitive should Authentication Manager be to changes 
in the user’s location, device, and behavior? Consider this when you choose a 
minimum assurance level and configure device settings.
• Which identity confirmation methods should be available to users? For example, 
if users carry mobile phones that your organization authorizes for business use, 
you might choose on-demand authentication. For laptop or desktop users, you 
might choose security questions.
• How many devices should be associated with each user? How long should each 
device remain registered to the user? Consider these when you are configuring 
device settings.
• Do you want your company’s logo on the RBA logon pages? For more 
information, see Customize Self-Service Console Web Pages
on page 252.
• Do your users use RSA SecurID authenticators? When RBA is enabled, the 
following authenticator-related events can cause the system to raise the risk level. 
– User exceeds your threshold for unsuccessful logon attempts
– User uses a temporary tokencode or fixed passcode
– Administrator clears a user’s PIN 
– Administrator changes a user’s PIN
– Administrator marks a token as lost and a user attempts to logon with it
You may want to educate the SecurID users about these additional risk 
contributors to help them understand why the system challenges them for identity 
confirmation.
Risk Engine Considerations for Risk-Based Authentication
The risk-based authentication (RBA) risk engine creates a profile for each user based 
on the client device and user behavior. Before you deploy RBA, consider these factors 
regarding the RBA risk engine:
• The RBA risk engine requires a learning period during which it acquires the data 
needed to build profiles on users and their devices, and general user population 
behavior. During this learning period, users may be challenged more frequently 
for risk until the profiles are built to establish baseline assurance levels. For user 
convenience, you can configure the silent collection option to avoid risk-based 
challenges while the data for baseline assurance levels is acquired. See Silent 
Collection
on page 280.
• The RBA risk engine employs soft matching techniques based on statistical 
probability. If the risk engine has insufficient data to match a device, it can use 
forensic tools to assess the match probability and adjust the assurance level 
accordingly. 
• The RBA risk engine is self-tuning and learns to ignore parameter values that 
most authentications in your deployment have in common. Self-tuning improves 
security and reduces overall user challenge rates.
278
12: Deploying Risk-Based Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
Minimum Assurance Level
The minimum assurance level is the confidence threshold that each authentication 
attempt must meet to avoid a challenge to the user for identity confirmation. The 
setting is in the risk-based authentication (RBA) policy for each user’s security 
domain.
Each time a user attempts to authenticate, the risk engine evaluates the device match 
and user behavior in real-time to produce an assurance level. The risk engine 
compares the user’s assurance level with the minimum assurance level in the RBA 
policy. If the user’s level is lower than the minimum, the user is prompted for identity 
confirmation.
For an authentication attempt to be considered high assurance, most or all device 
characteristics must match those that were recorded during a previous authentication 
attempt. Device characteristics include, but are not limited to, the IP address, the 
browser type and version, and the HTTP and Flash cookies that identify the device.
If the device is not in the user’s device history (and silent collection is expired or is 
disabled), the authentication attempt is considered low assurance and the user must 
confirm his or her identity to access the RBA-protected resource. When the user’s 
assurance level is below the threshold, and the user has not configured an identity 
confirmation method, the user cannot access the protected resource.
Recommendations for Determining the Minimum Assurance Level
Before you deploy risk-based authentication (RBA), consider these factors regarding 
the minimum assurance level:
• Many factors are involved in calculating the risk level. Results may vary based on 
your network, users, and specific situations.
• The best minimum assurance level for your deployment depends on:
– The sensitivity of the resources being protected 
– The acceptable user challenge rate
• If strength-of-authentication is your primary objective, start with a higher 
assurance level, and adjust it to a lower level if users are being challenged too 
often. 
• If ease-of-use is your primary objective, start with a lower assurance level, and 
adjust it to a higher level if you want more security.
• RSA recommends starting with a Medium-High assurance level.
Because assurance increases when the device is known and the user behavior is 
predictable, some user populations are better suited to higher assurance levels than 
others. For example, employees authenticating regularly from the same device and 
location usually have much higher assurance than employees who travel frequently. 
Adjust the minimum assurance level to match the majority of your user population.
12: Deploying Risk-Based Authentication
279
RSA Authentication Manager 8.1 Administrator’s Guide
The Impact of User Behavior on Risk-Based Authentication
A user’s behavior affects how often the user is challenged to confirm identity. The 
system calculates and assigns users a Behavioral Risk Assurance Level that indicates 
the degree of confidence that the user is known to the deployment. The Behavioral 
Risk Assurance Level is based on the user’s typical behavior. Abnormal user behavior, 
such as attempting to authenticate several times in a row using the wrong password, 
lowers the Behavioral Risk Assurance Level and increases the assessed risk of the 
authentication attempt. 
The system also calculates and assigns a client device a Device Assurance Level that 
indicates the degree of confidence that the device is known to the deployment. The 
Device Assurance Level is based on a specified device matching technique. 
Low-risk behaviors include common activities that are perfectly valid under most 
circumstances but could be associated with fraud. For example:
• The user’s account was recently modified.
• The user is authenticating from a previously unknown IP address.
Medium-risk behaviors may include multiple activities that are combined in a 
suspicious way. For example:
• The user authenticates from an unknown IP address soon after a failed identity 
confirmation challenge.
• The user authenticates from an unknown IP address after changing his profile 
through the Self-Service Console.
Any clearly identified fraudulent activity constitutes high-risk behavior. For example, 
authentication attempted from a machine with an invalid or compromised cookie is a 
high-risk behavior.
The effect of user behavior on the device and behavioral risk assurance level is shown 
in the following table.
Device 
Matching 
Technique
Device 
Assurance 
Level
Behavioral Risk Assurance Level
Low
Medium
Medium-
High
High
Based on two 
or more 
unique 
attributes and 
statistical 
data
High
High
High
Medium-
High
Very Low
Based on one 
unique 
attribute plus 
statistical 
data
Medium-
High
Medium-
High
Medium
Low
Very Low
280
12: Deploying Risk-Based Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
Silent Collection
Silent collection is an optional feature that facilitates the process of collecting profile 
and behavioral data for users without the need for user or administrator intervention. 
When silent collection is enabled, the risk engine passively monitors user behavior for 
a defined period without actively challenging users based on risk. During this period, 
the risk engine automatically registers user devices and observes behavioral patterns. 
Once the risk engine has gathered enough information to have high assurance about a 
particular user, that user is prompted to provide any missing information. For 
example, the user may need to configure security questions or on-demand 
authentication.
You enable the silent collection period in the risk-based authentication (RBA) policy 
for all users in a security domain. Using silent collection helps the risk engine build a 
baseline profile for each user.
Silent collection affects your deployment in the following ways:
• During silent collection, authentication is based only on the authentication method 
required by the agent. Users are never challenged for identity confirmation.
• All devices are registered to the user’s RBA profile. This may include unwanted 
devices such as internet kiosks.
For configuration instructions, see the Security Console Help topic “Configure Silent 
Collection for a Risk-Based Authentication Policy”.
Based on one 
unique 
attribute
Medium
Medium
Medium
Low
Very Low
Based on 
statistical 
data
Low
Very Low
Very Low
Very Low
Very Low
Unregistered 
device
Very Low
Very Low
Very Low
Very Low
Very Low
Device 
Matching 
Technique
Device 
Assurance 
Level
Behavioral Risk Assurance Level
Low
Medium
Medium-
High
High
Documents you may be interested
Documents you may be interested