12: Deploying Risk-Based Authentication
281
RSA Authentication Manager 8.1 Administrator’s Guide
Implementing Risk-Based Authentication
Complete the following tasks to implement risk-based authentication (RBA).
Before You Begin
Choose a backup authentication method so that users can continue to access network 
resources if Authentication Manager is unavailable or user authentication is 
unsuccessful. See Backup Authentication Method for Risk-Based Authentication
on 
page 281.
Procedure
1. Update the Domain Name System (DNS) with entries for Authentication 
Manager. For instructions, see Planning for Domain Name System Updates
on 
page 48.
2. Specify the RBA policy for your deployment integration. For instructions, see, 
Add a Risk-Based Authentication Policy
on page 99.
3. Ensure high availability for RBA. See Backup Authentication Method for 
Risk-Based Authentication
on page 281.
4. Obtain the RSA Authentication Agent software or third party product. See 
Obtaining RSA Authentication Agents
on page 282.
5. Deploy the RSA Authentication Agent software or third party product. See 
Deploying an Authentication Agent
on page 68.
6. Install the RBA Integration Script Template
on page 283.
7. Configure the Authentication Agent for Risk-Based Authentication
on page 283.
8. Use the implementation guide that you downloaded when you obtained the agent 
to configure your agent to pass authentication requests to and from Authentication 
Manager.
9. Test the RBA integration. See Testing Your Risk-Based Authentication 
Integration
on page 284.
Backup Authentication Method for Risk-Based Authentication
RSA recommends that you set up a replicated deployment of Authentication Manager. 
A replica instance ensures high availability for risk-based authentication (RBA). If 
you do not use a replica instance, configure your web-based application to use a 
backup authentication method. A backup authentication method allows users to 
continue accessing network resources if Authentication Manager becomes unavailable 
or user authentication is unsuccessful.
When RBA is configured for your web-based application, Authentication Manager 
authenticates the user using the directory server and internal database in your 
environment. To ensure an effective backup method, plan to revert authentication 
configuration of the web-based application so that it authenticates users directly using 
the directory server.
Convert pdf into ppt online - application control utility:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf into ppt online - application control utility:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
282
12: Deploying Risk-Based Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
The backup method that you use depends on your web-based application and the other 
products in your environment that are involved in user authentication workflow. 
Consider the following methods:
• Use the original logon page for your web-based application. 
Redirect users to the original logon page, or replace the modified logon page with 
the original version.
• Using your web-based application, create a backup method that is specific to the 
user population that uses RBA. 
Change the authentication workflow only for the user population, group, or 
domain that uses RBA.
• Using your web-based application, create a backup method that is specific to the 
network resource that you are protecting with RBA. 
Change the profile or policy for the network resource that you are protecting with 
RBA.
For more information, see your agent documentation.
Obtaining RSA Authentication Agents
The agent that you need depends on the type of resource you want to protect. For 
example, to protect an Apache web server, you need to download the RSA 
Authentication Agent for Apache. 
The download package includes an Installation and Administration Guide and a 
Readme. Read these documents before installing the agent. For information about 
installing agent software, see your agent documentation.
You may purchase products that contain embedded RSA Authentication Agent 
software. For example, these products include remote access servers and firewalls.
Procedure
Do one of the following.
• For an RSA agent and for a third-party agent that requires an RSA agent, go to 
http://www.emc.com/security/rsa-securid/rsa-securid-authentication-agents.
htm#!offerings
.
Locate the agent software for your platform and download the agent software and 
the RBA Integration Script Template.
• For a third-party agent that has an embedded RSA agent, go to the RSA Secured 
web site at 
https://gallery.emc.com/community/marketplace/rsa?view=overview
, and 
locate the listing for RSA Implementation Guide for Authentication Manager for 
your agent.
Download the RSA Implementation Guide for Authentication Manager for your 
agent. Save it to your desktop or a local drive that you can access during the 
integration process.
application control utility:Online Convert PowerPoint to PDF file. Best free online export
Convert a PPTX/PPT File to PDF. Just upload your file by clicking on the blue button or drag-and-drop your pptx or ppt file into the drop area.
www.rasteredge.com
application control utility:How to C#: Convert PDF, Excel, PPT to Word
How to C#: Convert PDF, Excel, PPT to Word. PDF, MS-Excel, MS-PPT to Word Conversion Overview. By integrating XDoc.Word SDK into your C#.NET project, PDF, MS
www.rasteredge.com
12: Deploying Risk-Based Authentication
283
RSA Authentication Manager 8.1 Administrator’s Guide
Note: 
Only certified partner solutions have an implementation guide. For other 
agents that are certified as RSA SecurID Ready, you can create a custom 
implementation.
Next Steps
See Deploying an Authentication Agent
on page 68.
Install the RBA Integration Script Template
If the RBA integration script template that you downloaded from RSA SecurCare 
Online is newer than the integration script template that is installed in Authentication 
Manager, use the newer one. You must perform this procedure to find the version 
number in your deployment. The version number is located in the integration script 
template header, for example, <Version>1.0</Version>.
Before You Begin
If you want to use SSH, enable SSH connectivity on the Authentication Manager 
appliance. For instructions, see Enable SSH on the Appliance
on page 413. 
Procedure
1. Using an SSH client or an SCP client, log on to the appliance using the operating 
system account User ID rsaadmin and password.
2. Copy the downloaded integration script template to the 
/opt/rsa/am/utils/rba-agents directory on the appliance. 
Wait a few minutes for Authentication Manager to refresh the list of integration 
script templates.
3. Verify that the version number in the header of the generated integration script (.js 
file) is the same as the version number in the header of the downloaded integration 
script template (.xml file). For example, look for <Version>1.0</Version> near the 
top of the generated .js file or the .xml template. 
4. Repeat step 1 through step 3 for each agent.
Next Steps
Configure the Authentication Agent for Risk-Based Authentication
on page 283
Configure the Authentication Agent for Risk-Based Authentication
To protect a web-based application with risk-based authentication (RBA), you must 
configure the authentication agent for RBA and generate an integration script to 
deploy to the web-based application’s default logon page. The integration script 
redirects the user from the web-based application's default logon page to a customized 
logon page that allows Authentication Manager to authenticate the user with RBA.
application control utility:How to C#: Convert Word, Excel and PPT to PDF
How to C#: Convert Word, Excel and PPT to PDF. MS Office to PDF Conversion Overview. By integrating XDoc.PDF SDK into your C#.NET project, Microsoft Office
www.rasteredge.com
application control utility:VB.NET PowerPoint: Convert & Render PPT into PDF Document
directly encode converted image source into PDF document file converted image source to PDF format, RasterEdge VB other encoding APIs to convert rendered image
www.rasteredge.com
284
12: Deploying Risk-Based Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. On the primary instance Security Console, click Access > Authentication Agents 
> Manage Existing.
2. Click the appropriate agent, and click Edit.
3. In the Risk-Based Authentication (RBA) section, select Enable this agent for 
risk-based authentication. 
4. To enable RBA as the only authentication method for this agent, select Allow 
access only to users who are enabled for risk-based authentication. If a user is 
not enabled for RBA, the agent will deny access to the resource.
5. From the Authentication Method drop-down list, select Password or SecurID. 
This field determines the authentication method that the agent requires when 
using RBA.
6. Click Save Agent & Go to Download Page.
7. From the Agent Type drop-down list, select the appropriate agent, and click 
Download File.
The system generates the JavaScript integration file based on the .xml integration 
script template that is stored in Authentication Manager.
8. When prompted, save the JavaScript file locally.
Next Steps
• Verify that components such as the web tier and load balancer are installed and 
configured correctly. For more information, see the 
RSA Authentication Manager 8.1 Setup and Configuration Guide. 
• Use the RSA Implementation Guide for Authentication Manager for the agent that 
you downloaded. Configure the agent to pass authentication requests to and from 
Authentication Manager by uploading the generated script to the agent.
• Test the RBA integration. For instructions, see Testing Your Risk-Based 
Authentication Integration
on page 284.
Testing Your Risk-Based Authentication Integration
Test your risk-based authentication (RBA) integration to verify that Authentication 
Manager can authenticate users for the agent. If the test is unsuccessful, troubleshoot 
the setup, and repeat the test until it succeeds.
The Authentication Activity Monitor logging detail can be used for troubleshooting if 
the test is unsuccessful.
Procedure
1. Create a test user in the Security Console by adding a new user to the internal 
database and the default security domain (SystemDomain).
For instructions, see Add a User to the Internal Database
on page 125.
2. Verify that the RBA policy associated with the default security domain 
(SystemDomain) has the following configuration and edit the policy if necessary:
• Automatic enablement is allowed.
application control utility:C# TIFF: Learn to Convert MS Word, Excel, and PPT to TIFF Image
C# TIFF - Conversion from Word, Excel, PPT to TIFF. In order to convert Microsoft Word, Excel, and PowerPoint to quiet easy to integrate this SDK into your C#
www.rasteredge.com
application control utility:VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
to split one PPT (.pptx) document file into smaller sub control add-on can do PPT creating, loading powerful & profession imaging controls, PDF document, image
www.rasteredge.com
12: Deploying Risk-Based Authentication
285
RSA Authentication Manager 8.1 Administrator’s Guide
• Silent collection is allowed.
For instructions on editing an RBA policy, see the Security Console Help topic 
“Edit a Risk-Based Authentication Policy.”
3. Start the Authentication Activity Monitor in the Security Console.
Click Start Monitor to view real-time authentication activity.
4. Do one of the following:
• Go to another computer on the same network, start the browser, and go to the 
logon page for your web-based application.
• Start a different browser application on the same machine if you have more 
than one installed. For example, if you used Firefox to access the Security 
Console, you may use Internet Explorer to access the logon page for your 
web-based application.
The logon page for your web-based application automatically redirects you to the 
Authentication Manager logon page. If you are not redirected to this page, 
troubleshoot the test. For more information, see Troubleshooting the 
Authentication Test
on page 285.
5. Enter the logon credentials for the test user.
6. Verify that your browser loads the correct landing page for the network resource 
that you are trying to access.
7. Review authentication logging in the Authentication Activity Monitor. If the test 
succeeded, familiarize yourself with entries that are logged for successful 
authentication. If the test is unsuccessful, review the entries and review 
Troubleshooting the Authentication Test
on page 285.
Troubleshooting the Authentication Test
If the authentication test is unsuccessful, follow the recommended troubleshooting 
methods in the following table based on the system behavior that you observed during 
the test. 
System Behavior
Action
Browser displays the 
default logon page for 
your web-based 
application instead of the 
Authentication Manager 
logon page.
• Verify that you generated and deployed the RBA integration 
script correctly. For more information, see the implementation 
guide for your web-based application.
• Verify that the integration script file for your web-based 
application is encoded as ISO-8859-1 (also referred to as 
Latin-1) or ASCII. Other file encoding formats are not 
supported.
application control utility:VB.NET PowerPoint: Read & Scan Barcode Image from PPT Slide
VB.NET PPT PDF-417 barcode scanning SDK to detect PDF-417 barcode Allow VB.NET developers to output PPT ISSN barcode scanning result into data string.
www.rasteredge.com
application control utility:C# PDF Convert: How to Convert MS PPT to Adobe PDF Document
VB.NET Read: PDF Text Extract; VB.NET Read: PDF Image Extract; VB.NET Write: Insert text into PDF; C# PDF Convert: How to Convert MS PPT to Adobe PDF Document.
www.rasteredge.com
286
12: Deploying Risk-Based Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
Web-based application 
redirects you to a logon 
page that does not load.
• Verify that your browser allows JavaScript. For more 
information, see your browser documentation.
• Verify that your browser has cookies enabled. For more 
information, see your browser documentation.
• Verify that you are using a supported browser. For a list of 
supported browsers, see the RSA Authentication Manager 8.1 
Setup and Configuration Guide.
• Do one of the following:
– For a deployment with a web tier, verify that the URL 
resolves to the virtual host and virtual host port.
– For a deployment without a web tier and with a load 
balancer, verify that the URL resolves to the load balancer 
and the load balancer port.
– For a deployment without a web tier and a load balancer, 
verify that the URL resolves to the primary instance and 
primary instance port.
• Verify that all firewalls are configured to allow inbound traffic 
to the host and port that are specified in the URL.
• Verify that the Domain Name System (DNS) server has the 
appropriate hostnames and IP addresses for RBA. See Planning 
for Domain Name System Updates
on page 48.
• Also, verify that any Network Address Translation (NAT) or 
load balancers do not interfere with requests that must be 
routed to an Authentication Manager host, which is either the 
web tier or an Authentication Manager instance, depending on 
your deployment scenario.
These actions can resolve issues in which the browser enters a 
redirect loop.
• Verify that web tier instances can communicate with the 
primary and replica instances. Also, if your deployment 
includes a load balancer, verify that it can communicate with 
the web tier instances.
If none of these methods resolves the issue, RSA recommends the 
following:
Generate and redeploy the integration script to the logon page for 
your web-based application. For more information, see the 
implementation guide for your web-based application.
System Behavior
Action
12: Deploying Risk-Based Authentication
287
RSA Authentication Manager 8.1 Administrator’s Guide
The web-based 
application redirects you 
to a page with the error 
message “Agent 
Integration Error”.
• Verify that you created an agent record in Authentication 
Manager. For more information, see Add an Authentication 
Agent
on page 70.
• Generate and redeploy the integration script to the logon page 
for your web-based application. For more information, see the 
implementation guide for your web-based application.
• If your deployment includes a load balancer, verify that the 
load balancer has persistence configured. Persistence, which is 
also called “session affinity” or “sticky sessions,” allows a load 
balancer to send a client to the same server during a session. 
For Authentication Manager, the load balancer must send the 
client to the same Authentication Manager instance or web tier 
during an authentication session. For more information, see 
your load balancer documentation.
• Find a more detailed error message in rsa-console.log. For 
instructions, see the Operations Console Help topic “Download 
Troubleshooting Files.
Page error occurs after 
you log on as the test 
user.
Verify that you are using a supported deployment scenario for 
RBA. For supported deployment scenarios, see the 
RSA Authentication Manager 8.1 Planning Guide.
After you enter the logon 
credentials for the test 
user, you are prompted 
to log on again.
Do the following:
• Verify that the account settings in Authentication Manager 
allow the test user to log on. The user must exist and belong to 
the default security domain (SystemDomain), and the account 
must be enabled. The account must not be expired, and the user 
must not be locked out. For more information, see Enable a 
User Account
on page 127.
• Verify that the RBA policy for the default security domain 
(SystemDomain) allows automatic enablement and silent 
collection. For more information, see Risk-Based 
Authentication Policies
on page 98.
• Verify that the user is enabled for RBA, if RBA does not allow 
automatic enablement.
• Verify that the Authentication Activity Monitor displays all the 
required log entries. You will see the following entry types: 
authentication method success with password and SecurID, 
authentication method success with RBA, artifact generation 
success, and artifact delivery success. 
If this does not resolve the issue, RSA recommends clearing the 
node secret for Authentication Manager and your web-based 
application. For more information on clearing the node secret for 
Authentication Manager, see Manage the Node Secret
on 
page 73. For more information on clearing the node secret for 
your web-based application, see your web-based application 
documentation.
System Behavior
Action
288
12: Deploying Risk-Based Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
User Enablement for Risk-Based Authentication Users
You enable users for risk-based authentication (RBA) using one of the following 
methods:
Automatic. When a user accesses an RBA-protected resource, the user becomes 
enabled for RBA automatically after the first successful authentication. For 
instructions, see the Security Console Help topic “Enable Users Automatically for 
Risk-Based Authentication.”
Manual. Only specified users can access RBA-protected resources. An administrator 
must manually enable these users for RBA. For instructions, see the Security Console 
Help topic “Enable Users Manually for Risk-Based Authentication.”
Enabling Identity Confirmation Methods for a Risk-Based 
Authentication Policy
If your deployment uses risk-based authentication (RBA), you must enable at least 
one identity confirmation method. RBA is a multifactor authentication solution that 
strengthens traditional password-based systems by applying knowledge of the client 
device and user behavior to assess the potential risk of an authentication request. If the 
assessed risk is high, the user is challenged to further confirm his or her identity using 
one of the following methods:
• On-demand authentication (ODA). The user must correctly enter a PIN and a 
one-time tokencode that is sent to a preconfigured mobile phone number or e-mail 
account.
• Security questions. The user must correctly answer one or more pre-enrolled 
security questions.
If you enable both security questions and ODA, the user can choose to configure one 
or both methods. With both methods configured, the user can choose a method when 
prompted to confirm identity.
How a User Configures an Identity Confirmation Method
To configure an identity confirmation method, a user must do one of the following:
• Complete the configuration process inline during silent collection. 
During silent collection, if the user’s assurance level meets the required assurance 
level, the user is prompted to configure an identity confirmation method. 
• Complete the configuration process by invitation using the Self-Service Console. 
After an administrator sends users the link to the Self-Service Console with 
instructions on how to configure a method, users log on to the Self-Service 
Console and configure an identity confirmation method.
12: Deploying Risk-Based Authentication
289
RSA Authentication Manager 8.1 Administrator’s Guide
Device Settings for Risk-Based Authentication
For risk-based authentication (RBA), the system uses device history as a factor in 
determining risk. The device history is a list of user authentication devices from 
previous, successful logons. The system maintains a device history for each user. 
Once added to the list, the device is considered to be registered. When the user tries to 
access an RBA-protected resource using a registered device, the authentication 
attempt is likely to have a higher assurance level. When the user attempts to logon 
with an unknown device, the system challenges the user for identity confirmation. If 
the logon is successful, the new device is added to the user’s device history list.
You specify how the system registers and manages user’s devices for RBA. You can 
configure the following client device settings.
Configure Device Registration for a Risk-Based Authentication Policy
Device registration is the process of saving a user's authentication device in the user's 
device history list. Each device in the list was used during a previous, successful 
logon. When the user tries to access an RBA-protected resource using a registered 
device, the authentication attempt is likely to have a higher assurance level.
The system can register a new device automatically, or users can choose to register the 
device. If you expect users to access RBA-protected resources from public or shared 
devices, you may want to allow them to decide which devices they want to register.
Setting
Description
New device registration
Authentication Manager can register a new 
device automatically or ask users if they want 
to register the device. If you expect users to 
access RBA-protected resources from public or 
shared devices, allow them to decide which 
devices they want to register.
Total registered devices
You can set the maximum number of registered 
devices preserved in each user’s device history. 
If the number of registered devices exceeds the 
limit, the nightly cleanup job deletes the least 
recently used devices.
Unregister devices
You can specify when inactive devices are 
removed from a user’s device history. For 
example, you can specify that devices are 
removed from a user’s device history after 60 
days of inactivity. Consider the needs of all 
your users. Although most users might use the 
same client devices frequently to access 
RBA-protected resources, some users might 
only use public client devices infrequently.
290
12: Deploying Risk-Based Authentication
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click Authentication > Policies > Risk-Based 
Authentication Policies > Manage Existing.
2. Click the policy that you want to configure, and select Edit.
3. In the Device Registration and Identity Confirmation Settings section, select 
one of the following for New Device Registration:
• To add the device to the user device history automatically after authentication, 
select Register the user authentication device automatically after 
successful authentication.
• To prompt the users to choose if they want to add the device to the device 
history, select Prompt the user to choose whether the system registers the 
device after successful authentication.
4. Click Save.
Configure Device History Settings for a Risk-Based Authentication Policy
For risk-based authentication (RBA), the system maintains a device history for each 
user. The device history is a list of user authentication devices from previous 
successful logons. Once added to the list, the device is considered to be registered. 
When the user tries to access an RBA-protected resource using a registered device, the 
authentication attempt is likely to have a higher assurance level.
You can set the maximum number of registered devices preserved in each user’s 
device history. If the number of registered devices exceeds the limit, the nightly 
cleanup job deletes the least recently used devices.
Also, you can specify when inactive devices are removed from a user’s device history. 
For example, you can specify that devices are removed from a user’s device history 
after 30 days of inactivity.
Procedure
1. In the Security Console, click Authentication > Policies > Risk-Based 
Authentication Policies > Manage Existing.
2. Click the policy that you want to configure, and select Edit.
3. Under Device Administration Settings, enter numbers for the following fields:
• In the Total Registered Devices field, enter the maximum number of 
registered devices preserved in each user’s device history.
• In the Unregister Devices field, enter the number of consecutive days that a 
device can remain inactive before the system removes it from the user device 
history.
4. Click Save.
Documents you may be interested
Documents you may be interested