2: Preparing RSA Authentication Manager for Administration
41
RSA Authentication Manager 8.1 Administrator’s Guide
Security Console Protection
By default, an administrator can use an RSA password or an LDAP password to 
access the Security Console. To use an LDAP password for this purpose, the 
administrator’s identity source must be an LDAP directory server. 
For additional security, you can configure Authentication Manager to require 
administrators to present an RSA SecurID passcode before they can access the 
Security Console.
You can change the default settings by configuring one or more of the following 
authentication methods:
• RSA password
• LDAP password
• RSA SecurID passcode 
Presenting a SecurID passcode before being allowed access ensures that the Security 
Console is protected by the same two-factor authentication that protects your network 
resources. If the Security Console is protected with a SecurID passcode, the SecurID 
PIN is case sensitive. 
When you first enable a new Security Console authentication method, RSA 
recommends that you also continue to allow administrators to authenticate with the 
previous method for a period of time. This gives you time to ensure that all 
administrators can authenticate with the new method before you discontinue the 
previous method.
Configure Security Console Authentication Methods
Use this procedure to configure the authentication method an administrator must use 
to access the Security Console. For example, you can add security by requiring 
administrators to present an RSA SecurID passcode before they can access the 
Security Console.
Procedure
1. In the Security Console, click Setup > System Settings.
2. Under Console & Session Settings, click Security Console Authentication 
Methods.
3. In the Console Authentication field, enter the authentication method(s) that 
administrators must use to log on to the Security Console. If you enter multiple 
authentication methods, use an available operator to create a valid expression. For 
example:
• To require an RSA password or LDAP password, enter 
RSA_Password/LDAP_Password.
• To require both an RSA SecurID passcode and LDAP password, enter 
SecurID_Native+LDAP_Password.
• To require an RSA password, enter RSA_Password.
Convert pdf to powerpoint online no email - SDK software project:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf to powerpoint online no email - SDK software project:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
42
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
• To require an LDAP password, enter LDAP_Password.
• To require an RSA SecurID passcode, enter SecurID_Native. 
If you enter an authentication method that is stronger than the current method, you 
are logged off and must authenticate with the new credential. For instance, if the 
original method was RSA_Password/LDAP_Password and you enter 
(RSA_Password/LDAP_Password)+SecurID_Native, you are logged off from 
the Security Console and must authenticate with an RSA Password or an LDAP 
Password, and an SecurID passcode. If you enter a method that is not stronger 
than the current method, the change only affects new authentication attempts.
4. (Optional) For Non-Unique User IDs, select Identical User IDs may exist in 
more than one identity source if you want to allow the same User ID to exist in 
more than one identity source. This can be useful if you have multiple identity 
sources that contain names for different types of users. 
Suppose that you have one identity source for employees and one for clients. This 
option allows identical User IDs that exist in both identity sources to be managed 
by the system, for example, if you have an employee with the User ID jsmith and 
a customer with the User ID jsmith.
5. (Optional) For LDAP Password, select Enable LDAP Password authentication 
method to enable the LDAP password as an authentication method.
6. Click Save.
7. Select Yes, update authentication methods.
8. Click Update Authentication Methods.
Identity Sources
An identity source is a repository that contains user and user group data. Each user and 
user group in a deployment is associated with an identity source. 
Authentication Manager supports the following as identity sources:
• An LDAP directory
Authentication Manager supports the following directories as identity sources:
– Microsoft Active Directory 2008 R2
– Microsoft Active Directory 2012
– Windows Active Directory 2012 R2
– Sun Java System Directory Server 7.0
– Oracle Directory Server Enterprise Edition 11g
In Active Directory, you can add a Global Catalog as an identity source, which is 
used to look up users and resolve group membership during authentications. You 
cannot use a Global Catalog identity source to perform administrative tasks.
• The Authentication Manager internal database
SDK software project:RasterEdge.com General FAQs for Products
Q3: Why there's no license information in my it via the email which RasterEdge's online store sends powerful & profession imaging controls, PDF document, image
www.rasteredge.com
SDK software project:RasterEdge Product License Agreement
is active, you may contact RasterEdge via email. permitted by applicable law, in no event shall powerful & profession imaging controls, PDF document, tiff
www.rasteredge.com
2: Preparing RSA Authentication Manager for Administration
43
RSA Authentication Manager 8.1 Administrator’s Guide
Data from an LDAP Directory
Authentication Manager has read-only access to all LDAP directory identity sources. 
After a directory is integrated with Authentication Manager, you can use the Security 
Console to do the following:
• View (but not add or modify) user and user group data that resides in the directory.
• Perform Authentication Manager administrative tasks. For example, enable or 
disable the use of on-demand authentication (ODA) and risk-based authentication 
(RBA), or assign tokens or user aliases to individual users who reside in the 
directory.
You must use the LDAP directory native user interface to modify data in a directory.
Data from the Internal Database
Authentication Manager provides an internal database where you can create users and 
user groups. For users and user groups in the internal database, administrators can use 
the Security Console to do the following:
• Add, modify, and view user and user group data.
• Enable or disable Authentication Manager functions, such as ODA and RBA, for 
individual users, including users whose accounts are in an LDAP directory.
The following information is stored only in the internal database:
• Data that is specific to Authentication Manager, such as policies for 
administrative roles, and records for authentication agents and SecurID 
authenticators
• Data that links Authentication Manager with LDAP directory user and user group 
records
Security Domain Overview
Security domains represent areas of administrative responsibility. All Authentication 
Manager objects are managed by, and belong to, a security domain. Security domains 
allow you to:
• Organize and manage users.
• Enforce system policies.
• Limit the scope of administrators’ control by limiting the security domains to 
which they have access.
User Organization and Management
When you create a security domain, it is nested within a parent security domain. You 
can nest the security domains to create an administrative hierarchy. Organizing users 
in security domains also helps you find users and assign them tokens or add them to 
user groups. For example, you can search for all users in the Boston security domain 
and then assign a token to each member. Each user can exist in only one security 
domain. 
SDK software project:VB.NET Create PDF from Excel Library to convert xlsx, xls to PDF
VB.NET How-to, VB.NET PDF, VB.NET Word, VB.NET Excel, VB.NET PowerPoint, VB.NET Tiff, VB.NET Imaging, VB.NET OCR, VB.NET Convert Excel to PDF document free
www.rasteredge.com
SDK software project:C# Create PDF from Excel Library to convert xlsx, xls to PDF in C#
or no border. Free online Excel to PDF converter without email. Quick integrate online C# source code into .NET class. C# Demo Code: Convert Excel to PDF in
www.rasteredge.com
44
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
By default, all users from an external LDAP identity source are added to the top-level 
security domain. You can use the Security Console to move these users to a 
lower-level security domain manually or you can configure domain mapping to add 
these users to a specific security domain. Make sure your mappings are in place before 
you manage users, so that you do not have to move users between security domains 
later. For more information, see Move Users Between Security Domains
on page 128. 
Users created in the internal database using the Security Console are created in the 
security domain to which the administrator has access. 
Policy Enforcement
When you set up Authentication Manager a top-level security domain is automatically 
created. You cannot edit the name of the top-level security domain. By default, an 
installation of Authentication Manager supports up to 1,000 security domains.
Authentication Manager enforces authentication policies at the security domain level, 
so consider grouping users subject to the same policies together in the same domain.
Scope of Administrator’s Control
By default, all SecurID tokens are managed in the top-level security domain. You can 
use the Security Console to transfer tokens from the top-level security domain to other 
security domains within the deployment.
Know the following about security domains:
• Security domains are organized in a hierarchy.
• Security domains are often created to mirror the departmental structure or the 
geographic locations of an organization.
For example, you can create separate security domains for each department, such as 
Finance, Research and Development (R&D), and Human Resources (HR), and then 
move users and user groups from each department into the corresponding security 
domain. To manage users in a given security domain, an administrator must have 
permission to manage that security domain.
In addition to making it easier to manager users, security domains allow you to limit 
the scope of an administrator’s permissions. For example, suppose you have security 
domains named Boston, New York, and San Jose. When you set the administrative 
scope for your administrative roles, you might choose to limit the role to only the 
Boston security domain. This means that the administrator assigned that role only has 
permission to manage the Boston security domain, and not the New York and San Jose 
security domains.
An arrangement such as this allows you greater control over administrators. You can 
limit administrators by department, geographic location, or in any other way that you 
choose. Hierarchies also give administrators more flexible control over users and their 
access rights and restrictions.
SDK software project:VB.NET Image: RasterEdge JBIG2 Codec Image Control for VB.NET
The encoded images in PDF file can also be viewed and processed online through our VB.NET PDF web viewer. No, image quality will not degrade.
www.rasteredge.com
SDK software project:C#: Frequently Asked Questions for Using XDoc.HTML5 Viewer for .
If you have additional questions or requests, please send email to support@rasteredge. com. The site configured in IIS has no permission to operate.
www.rasteredge.com
2: Preparing RSA Authentication Manager for Administration
45
RSA Authentication Manager 8.1 Administrator’s Guide
Security Domains and Policies
You also use security domains to enforce system policies. Policies control various 
aspects of a user’s interaction with Authentication Manager, such as password 
lifetime, length, format, frequency of change, and number of unsuccessful 
authentication attempts.
The following policies are assigned to security domains:
• Token Policy
on page 80
• Lockout Policy
on page 94
• O
ffline Authentication Policy
on page 86
• Password Policy
on page 89
• Self-Service Troubleshooting Policy
on page 96
• Risk-Based Authentication Policies
on page 98
• Risk-Based Authentication Message Policy
on page 101
Authentication Manager provides a default of each policy type and assigns them to 
each new security domain. You can accept the default policies or create custom 
policies. If you designate a custom policy as the default, that policy will be used for all 
new security domains and for all existing security domains that are configured to use 
the existing default policy.
For example, suppose you create a custom policy named Finance Password Policy and 
designate it as the default password policy. Finance Password Policy is automatically 
assigned to all new security domains, and to all security domains configured to use the 
default password policy. A few months later, you create another custom policy named 
Miller and Strauss Password Policy, and designate it as the default password policy. 
The Miller and Strauss Password Policy is then used by all security domains 
configured to use the default password policy, and will automatically be applied to all 
new security domains.
Lower-level security domain do not inherit policies from upper-level security 
domains. New security domains are assigned the default policy regardless of which 
policy is assigned to security domains above them in the hierarchy. For example, if the 
top-level security domain is assigned a custom policy, lower-level security domains 
are still assigned the default policy.
Add a Security Domain
A security domain defines an area of management responsibility, typically 
corresponding to a company’s internal business units, departments, and so on. A 
security domain represents a single unit in an organizational hierarchy. You build the 
hierarchy by creating relationships between security domains. You can create up to 
1,000 security domains.
SDK software project:C# Tiff Convert: How to Convert Dicom to Tiff Image File
If you need to convert and change one image to another image in C# program, there would be no need for RasterEdge.XDoc.PDF.dll. RasterEdge.XDoc.PowerPoint.dll.
www.rasteredge.com
SDK software project:RasterEdge Product License Options
Among all listed products on purchase page, Twain SDK has no Server License and only SDK To know more details or make an order, please contact us via email.
www.rasteredge.com
46
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
Before You Begin
• Learn about the custom and default policies available. For more information, see 
Security Domains and Policies
on page 45.
• Follow these guidelines:
– To use the default policy, select Always Use Default from the drop-down list. 
The default policy is automatically applied to the security domain.
– To use a custom policy, select a policy name from the drop-down list. This 
policy applies to that security domain until you explicitly change it.
– When you apply a policy that is also the default policy, that policy remains 
assigned to the security domain even if you change the default policy. To use 
the default policy, you must explicitly specify Always Use Default.
Procedure
1. In the Security Console, click Administration > Security Domains > Add New.
2. In the Security Domain Name field, enter a unique name. Do not exceed 100 
characters.
3. From the Parent drop-down list, select the parent security domain of the new 
security domain. The parent security domain is the security domain in which you 
want the new security domain to exist.
4. From the Password Policy drop-down list, select the password policy of the new 
security domain. Password policies enforce rules such as the required length of 
passwords, characters, and restricted words.
5. From the Lockout Policy drop-down list, select the lockout policy that you want 
to assign to the new security domain. Lockout policies lock out users after a 
designated number of consecutive unsuccessful logon attempts within a specified 
time period. Locked out users cannot authenticate. 
6. From the Self-Service Troubleshooting Policy drop-down list, select a policy for 
the new security domain. This policy controls how users log on to the Self-Service 
Console if they cannot authenticate using primary methods such as passwords or 
passcodes.
7. From the Risk-Based Authentication (RBA) Policy drop-down list, select a 
policy for the new security domain. RBA policies include the minimum assurance 
level that is required for logon and the identity confirmation methods that are 
allowed when an authentication attempt does not meet the minimum assurance 
level. 
8. From the SecurID Token Policy drop-down list, assign a SecurID token policy to 
the security domain. Token policies determine RSA SecurID PIN lifetime and 
format, and fixed passcode lifetime and format. The token policy also determines 
how to handle users or unauthorized people who enter a series of incorrect 
passcodes.
9. From the Offline Authentication Policy drop-down list, select an offline 
authentication policy for the security domain. Offline authentication policies 
define how users authenticate when they are not connected to the network.
2: Preparing RSA Authentication Manager for Administration
47
RSA Authentication Manager 8.1 Administrator’s Guide
10. (Optional) From the Workflow Policies drop-down list, select a workflow policy 
for the security domain. Workflow policies specify who receives e-mail, workflow 
definitions, the number of approval and distribution steps, and e-mail notifications 
for requests made through the Self-Service Console.
11. From the Risk-Based Authentication (RBA) Message Policy drop-down list, 
select a policy for the new security domain. This policy defines the message that 
users receive when they are challenged to configure their identity confirmation 
method.
12. Click Save.
Default Security Domain Mappings
By default, the system places all users from an external LDAP identity source in the 
top-level security domain. Configuring security domain mappings allows you to 
override the default behavior so that the system places users from a particular LDAP 
identity source, or from a specific organizational unit within the identity source, into a 
specific security domain. 
For example, if you want to map the users in your sales force to the “Corporate” 
security domain and your salespeople are stored in your LDAP directory under 
“ou=sales,dc=example,dc=com” then you can create a mapping between the security 
domain named “Corporate” and “ou=sales,dc=example,dc=com” distinguished name 
(DN). After the mapping is created, users in the sales ou appear as being managed by 
the “Corporate” security domain instead of the top-level security domain.
Consider the following:
• When no security domain mappings exist, the system adds users to the top-level 
security domain.
• When multiple security domain mappings exist, the system applies the most 
specific mapping to a new user record. 
For example, suppose there are two mappings for users in the external identity 
source based on ou=sales and ou=commercial,ou=sales. A user in 
ou=commercial,ou=sales is created using the rule for ou=commercial,ou=sales, 
but a user in ou=retail,ou=sales is created using the rule for ou=sales.
• Security domain mappings are applied only to users who have never been 
managed in the deployment.
– Prior to configuring security domain mapping, if an administrator performs an 
administrative action that affects a user, for example, enabling the user for 
on-demand authentication, that user is added to the top-level security domain. 
– After mapping, previously managed users remain in the security domain to 
which they currently belong. You must use the Security Console to move the 
users to another security domain manually. Updating the default security 
domain mappings for an identity source does not move all users in that 
identity source to the updated security domain.
48
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
• Delegated administration is enhanced by default security domain mappings. The 
mappings add users to security domains that are managed by specific 
administrators whose scope is restricted to the security domain. In this way, only 
administrators with the correct scope are allowed to manage users, and there is no 
need for a Super Admin to add the users to the security domain manually.
• Each security domain mapping points to a distinguished name in the external 
identity source, and the mapping applies to all objects within the DN except when 
a more specific mapping exists.
Planning for Domain Name System Updates
To allow users to locate your web tier and optional load balancer, you must buy 
publicly resolvable names for these systems. Do the following:
• Define a domain name, for example, mydomain.com
• Define host names, for example, myhost.mydomain.com
• Contact a Domain Name registrar, and register the domain name and associated 
host names.
Clients using Self-Service and risk-based authentication (RBA) must be able to 
resolve to the virtual host name using Domain Name System (DNS).
• If your deployment has a load balancer, the virtual hostname must resolve to the 
public IP address of the load balancer.
• If your deployment does not have a load balancer, the virtual hostname must 
resolve to the public IP addresses of each web tier.
Administrative Role Overview
Administrators manage all aspects of your deployment, such as users, tokens, and 
security domains. Each administrator is assigned an administrative role that has its 
own set of administrative privileges and areas of responsibility. 
Administrative roles control what an administrator can manage. When an 
administrative role is assigned to a user, the user becomes an administrator.
Types of Administrative Roles
There are two types of administrative roles:
• Predefined roles. Authentication Manager provides predefined roles. You can 
assign predefined roles in their default form, or you can edit the permissions for 
each role.
For example, if you do not want administrators with the Help Desk role to view 
authentication agents, you can use the Security Console to remove that permission 
from the role.
2: Preparing RSA Authentication Manager for Administration
49
RSA Authentication Manager 8.1 Administrator’s Guide
• Custom roles. You can create custom roles with different privileges and areas of 
administrative responsibility, depending on your organization’s needs.
For example, suppose your organizational hierarchy is divided into three security 
domains: HR, R&D, and Finance. Because financial data is sensitive, you might 
create a custom administrator who can run and view finance reports in the Finance 
security domain.
Administrative Role Assignment
After you have decided which roles you need for your deployment, and added any 
custom roles you require, you can assign the roles to administrators. 
Know the following about assigning administrative roles:
• You can assign administrative roles to any user in your identity source. You will 
probably only assign administrative roles to members of your information 
technology (IT) organization and possibly a few other trusted individuals in your 
organization.
• When you assign a role to a user, the user becomes an Authentication Manager 
administrator and can use the Security Console to administer the deployment.
• When you assign a role to an administrator, the administrator is then able to 
perform the administrative actions specified by the role in the security domains 
specified by the scope of the role.
• You can only assign administrative roles with privileges equal to or less than those 
of your own role. That is, you cannot assign privileges that you do not have. For 
example, if your administrative role only allows you to add, edit, and delete users, 
and create and assign administrative roles, you cannot assign a role that enables 
users to receive on-demand tokencodes.
• You cannot edit an administrative role that has more permissions than your role.
• You can assign more than one role to an administrator. When you do this, the 
administrator can only perform administrative actions in a security domain that is 
included in the scope of the role that grants the permission.
For example, suppose an administrator has one role that grants him permission to 
manage users in the San Jose security domain, and another role that grants him 
permission to manage authenticators in the New York security domain. In the 
Security Console, the administrator is allowed to manage users in the San Jose 
security domain, but not the New York security domain, so users in the New York 
security domain are not visible to the administrator. The same rule applies to 
authenticators. The administrator can manage and view authenticators in the New 
York security domain only.
• Be sure to assign roles that grant only enough permissions and include a scope just 
broad enough to accomplish their tasks. Avoid granting administrative roles to 
administrators who do not need them.
For example, if an administrator’s job only requires him to administer users in the 
Boston security domain, avoid including the San Jose and New York security 
domains in the scope of his role.
50
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
Administrative Role Components
An administrative role has two components:
• Permissions
based on the function of the role
• The Scope
(security domains and identity sources) in which the permissions can 
be applied
Permissions
The permissions in an administrative role determine the actions that an administrator 
can take on objects such as users, user groups, security domains, and policies. Be sure 
to assign permissions that allow administrators to manage all of the objects that are 
needed to accomplish their assigned tasks, but do not assign permissions that are not 
necessary.
You can modify the permissions to manage the following areas:
• Role basics
• Security domain administration
• Delegated administration
• Users
• User groups
• Reports
• RSA SecurID tokens
• User authentication attributes
• Authentication agents
• Trusted realms
• RADIUS
• On-demand tokencodes
• Provision requests
The following permissions are available for all objects in your deployment:
All. Perform any administrative action on the object.
Delete. Delete an object.
Add. Add an object.
Edit. View and edit an object, but not to add or delete.
View. View an object, but not to add, edit, or delete.
You can expand or reduce the scope of an administrator’s role by modifying 
permissions. For example, assume that you are the Super Admin for FocalView 
Software Company. The administrator in your Boston office has a role that limits him 
to assigning and managing authenticators. You want the administrator to also manage 
agents. You can modify the administrator’s current role instead of creating a new one.
Documents you may be interested
Documents you may be interested