2: Preparing RSA Authentication Manager for Administration
51
RSA Authentication Manager 8.1 Administrator’s Guide
These actions give the administrator permission within the Boston security domain 
and any of Boston’s lower-level security domains, if applicable. If the administrative 
scope only includes the Boston security domain, the administrator can only manage 
the objects, users, authenticators, and agents, for example, belonging to that domain.
Suppose that multiple administrators have the role that manages authenticators. If you 
modify the role so that one of the administrators can also manage agents, all 
administrators with that role can also manage agents. In this case, you may want to 
create a new role for the one administrator who manages both authenticators and 
agents.
Another option is to create a second role that allows agent management and then 
assign the role to the administrator. In this case, the administrator would have two 
assigned roles.
For example, if an administrator’s only task is assigning tokens to users, you would 
probably assign the following permissions to the role:
• View users
• View tokens
• Assign tokens to users
• Issue assigned software tokens
• Replace assigned tokens
• Import tokens (optional)
• Enable and disable tokens (optional)
The optional permissions above slightly expand the administrative role to complement 
the stated task of assigning tokens to users. You would not, however, assign the 
permissions to add and delete users, resynchronize tokens, or manage emergency 
offline authentication, as they are not related to the stated task of assigning tokens to 
users.
Permissions Required to Create Administrative Roles and Delegate 
Permissions
An administrator who creates a new administrative role must have the following 
permissions associated with their role:
• Permission to create administrative roles.
• The same permissions that he or she wants to add to the new administrative role.
• Permission to delegate the permissions granted to his or her role. This is 
determined by the Permission Delegation setting for the role assigned to the 
administrator who is creating the new role.
• Permission to manage the security domain that is associated with the new role.
Convert pdf slides to powerpoint - control application utility:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf slides to powerpoint - control application utility:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
52
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
When you assign permissions to a role, make sure the administrator has all the 
permissions necessary to perform assigned tasks. For example:
• An administrator who assigns tokens to user must have permission to view and 
assign tokens, and view users.
• An administrator who resets user passwords must have permission to reset 
passwords and view user records.
• An administrator who assigns administrative roles to users must have permission 
to assign roles and view user records.
• An administrator who assigns users to user groups must have permission to assign 
users to user groups and view user records.
You can delegate permissions to other administrators if your role permits you to create 
or assign existing roles to other users. For instructions on selecting Permission 
Delegation, see the Security Console Help topic “Duplicate an Administrative Role.”
Permission Limits for Managing Identity Attribute Definitions
You can limit what permissions an administrative role grants to manage specific 
custom-defined identity attribute definitions. For any identity attribute definition, an 
administrative role can grant Modify, View, and None permissions. For more 
information, see the Security Console Help topic “User Attributes.”
You can set permissions for specific identity attribute definitions on the Permissions 
page when you add or edit an administrative role. For more information, see the 
Security Console Help topics “Duplicate an Administrative Role” and “Edit 
Permissions for an Administrative Role.”
Scope
The scope of an administrative role determines in what security domains an 
administrator may manage objects and from what identity sources an administrator 
may manage users and user groups. For more information, see Security Domain 
Overview
on page 43.
Be sure to assign a scope broad enough so that the administrator can access the 
necessary security domains and identity sources. However, avoid assigning a scope 
that grants access to security domains and identity sources where the administrator has 
no responsibilities.
Also, avoid creating situations in which an administrator can view and manage a 
certain user group, but cannot at least view all the users in that user group. This 
happens when a user group from a security domain within the administrator’s scope 
contains users from a security domain outside the administrator’s scope. When the 
administrator views the user group members, he or she only sees the members from 
the security domain within his or her scope. This creates a situation in which 
administrators may take action on a group, for example, granting a group access to a 
restricted agent, without being aware of all the users affected. This can result in users 
being granted privileges that they should not have.
control application utility:C# PowerPoint - How to Process PowerPoint
slides sorting library can help you a lot. Extract Slides from PowerPoint in C#.NET. Use C# sample code to extract single or several
www.rasteredge.com
control application utility:VB.NET PowerPoint: Read, Edit and Process PPTX File
split PowerPoint file, change the order of PPTX sildes and extract one or more slides from PowerPoint How to convert PowerPoint to PDF, render PowerPoint to
www.rasteredge.com
2: Preparing RSA Authentication Manager for Administration
53
RSA Authentication Manager 8.1 Administrator’s Guide
To avoid this situation, follow these guidelines:
• Allow all administrators to at least have view permission on all users in all 
security domains. This ensures that there are no cases where administrators are 
unaware of any members of a group they are administering.
• Make sure that a user group and all members of the user group are in the same 
security domain. This ensures that administrators who have permissions to view 
user groups and to view users are able to see all member users.
• If you want the administrator to run reports on the viewable information, grant the 
appropriate permission. Some reports require more than view permission.
Know the following about scoping administrative roles:
• When the scope of an administrative role is defined most broadly, the role can 
manage the security domain where the role definition was saved and all of the 
lower-level security domains beneath it.
• An administrative role that manages an upper-level security domain always 
manages the lower-level security domains beneath it.
• You can limit the scope of an administrative role to specific security domains, as 
long as those security domains are at or below the security domain that is 
associated with the role. An administrative role can only manage down the 
security domain hierarchy, never up.
• The security domain where you save the administrative role impacts the scope of 
the role. For example, suppose the top-level security domain is Boston, and the 
lower-level security domains are named New York and San Jose. If you save an 
administrative role to the New York security domain, administrators with that role 
can only manage objects in the New York security domain and in lower-level 
security domains within the New York security domain. Administrators with that 
role cannot manage objects in the Boston or San Jose security domains.
You can save the Super Admin role in the top-level security domain, and then save 
all other administrative roles in a lower-level security domain. This prevents 
lower-level administrators, for example, Help Desk Administrators, from editing 
the Super Admin’s password and then using the Super Admin’s password to 
access the Security Console.
control application utility:VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
add image to slide, extract slides and merge library SDK, this VB.NET PowerPoint processing control powerful & profession imaging controls, PDF document, image
www.rasteredge.com
control application utility:VB.NET PowerPoint: Sort and Reorder PowerPoint Slides by Using VB.
clip art or screenshot to PowerPoint document slide large amount of robust PPT slides/pages editing powerful & profession imaging controls, PDF document, image
www.rasteredge.com
54
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
Scope Example
For example, consider the following hierarchy. 
• An administrative role saved in the top-level security domain can be scoped to 
manage any security domain in the deployment. For example, it can manage only 
security domain F, or every security domain. 
• An administrative role saved in security domain A can be defined to manage 
security domain A and all the lower-level security domains below it.
• An administrative role saved in security domain C can be defined to manage E, or 
both C and E.
• An administrative role saved in security domain E can be defined to manage only 
security domain E.
An administrative role can be defined so that it manages only users or user groups 
within a particular administrative scope who match certain criteria. These are called 
attribute-based roles. For example, if you have defined an identity attribute definition 
for location, an administrative role can manage all users in security domain A and 
down the hierarchy (C, D, E, and F).
You can also create a role that only allows an administrator to edit specified custom 
user identity attribute definitions. You configure permissions to a specific identity 
attribute definition as part of the role’s permissions.
control application utility:VB.NET PowerPoint: Use PowerPoint SDK to Create, Load and Save PPT
Besides, users also can get the precise PowerPoint slides count as soon as the PowerPoint document has been loaded by using the page number getting method.
www.rasteredge.com
control application utility:VB.NET PowerPoint: Extract & Collect PPT Slide(s) Using VB Sample
want to combine these extracted slides into a please read this VB.NET PowerPoint slide processing powerful & profession imaging controls, PDF document, image
www.rasteredge.com
2: Preparing RSA Authentication Manager for Administration
55
RSA Authentication Manager 8.1 Administrator’s Guide
For a given attribute, the role can specify one of the following access permissions:
• None
• Read-Only
• Modify
Predefined Administrative Roles
The following are the predefined administrative roles:
• Super Admin
• Root Domain Administrator
• Security Domain Administrator
• RADIUS Administrator
• User Administrator
• Token Administrator
• Help Desk Administrator
• Privileged Help Desk Administrator
• Agent Administrator
• Request Approver
• Token Distributor
• Trust Administrator
Super Admin
The Super Admin role is the only role with full administrative permission in all 
security domains in your deployment. Use this role to create other administrators, and 
to create your security domain hierarchy. 
Assign this role only to the most trusted administrators.
Only a Super Admin can manage the Super Admin role.
You cannot duplicate, edit, or delete the Super Admin role.
A Super Admin is the only administrator who can do the following:
• Configure external directories as identity sources so that users in the directories 
can be accessed through the Security Console.
• Upgrade a product license.
Use session lifetimes to limit administrative sessions. For more information, see the 
Security Console Help topic “Edit Session Lifetime Settings.”
The number of Super Admins is based on the needs of your organization. You assign 
the Super Admin role in the same way that you assign all of the other administrative 
roles. For information, see Administrative Role Settings
on page 60.
control application utility:VB.NET PowerPoint: Merge and Split PowerPoint Document(s) with PPT
of the split PPT document will contain slides/pages 1-4 code in VB.NET to finish PowerPoint document splitting If you want to see more PDF processing functions
www.rasteredge.com
control application utility:VB.NET PowerPoint: Complete PowerPoint Document Conversion in VB.
It contains PowerPoint documentation features and all PPT slides. Control to render and convert target PowerPoint or document formats, such as PDF, BMP, TIFF
www.rasteredge.com
56
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
Your deployment should have at least two Super Admins. This ensures that you have 
full administrative control in situations where a Super Admin leaves for vacation or 
some other extended absence.
For example, if your organization has locations in Boston, New York, and San Jose, 
you might have four Super Admins: two in Boston, and one each in New York and San 
Jose. This arrangement allows for a vacation or extended-leave backup for the Super 
Admins in the Boston site, where most of the system management occurs. It also 
allows management of the deployment to occur from the New York or San Jose site if 
the Boston headquarters loses connectivity, or is otherwise unable to manage the 
deployment.
No one, including the administrators assigned the Super Admin role, can modify the 
Super Admin role.
The following occurrences can leave your deployment with no Super Admin:
• The only user assigned to the Super Admin role is deleted.
• The only user assigned to the Super Admin role is unassigned from the role.
• The only user assigned to the Super Admin role is locked out of the Security 
Console. This can happen if you change the Security Console logon requirement 
from password to SecurID, and you change the requirement before assigning a 
token to the Super Admin.
If any of these events occur, use the Super Admin Restoration utility to restore a Super 
Admin. For instructions, see Restore the Super Admin
on page 419.
Root Domain Administrator
The Root Domain Administrator has complete responsibility for managing all aspects 
of the security domain tree including top-level objects such as policies and attribute 
definitions. This role does not include certain Super Admin permissions.
The default permissions for this role include complete management of the following:
• Policies
• Security questions
• Delegated administration
• Users
• User groups
• Reports
• Tokens
• User authentication attributes
• Authentication agents
• Trusted realm
• RADIUS
• On-demand authentication
control application utility:VB.NET PowerPoint: Convert & Render PPT into PDF Document
Using this VB.NET PowerPoint to PDF converting demo code below, you can easily convert all slides of source PowerPoint document into a multi-page PDF file.
www.rasteredge.com
control application utility:VB.NET PowerPoint: Add Image to PowerPoint Document Slide/Page
insert or delete any certain PowerPoint slide without methods to reorder current PPT slides in both powerful & profession imaging controls, PDF document, tiff
www.rasteredge.com
2: Preparing RSA Authentication Manager for Administration
57
RSA Authentication Manager 8.1 Administrator’s Guide
Security Domain Administrator
The Security Domain Administrator manages all aspects of a branch of the security 
domain hierarchy. This administrator has all permissions within that branch except the 
ability to manage top-level objects, such as policies and attribute definitions. By 
default the scope of this role includes the entire deployment.
To limit the scope of this role scope to a lower-level security domain, edit the scope of 
the duplicate role. This role has the same permissions as the Super Admin, but is 
limited to the security domain in which it is created. The Security Domain 
Administrator can delegate some responsibilities of this role.
The default permissions for this role include complete management of the following:
• Security domains
• Administrative roles
• Permissions
• User groups
• Reports
• Tokens
• User accounts
• Agents
RADIUS Administrator
The RADIUS Administrator grants administrative responsibility to manage RADIUS 
servers. This administrator can not delegate the responsibilities of this role.
The default permissions for this role includes complete management of RADIUS and 
Agents.
User Administrator
The User Administrator manages users, assigns tokens to users, and accesses selected 
authentication agents. This administrator cannot delegate the responsibilities of this 
role.
The default permissions for this role include limited management of the following:
• Users—add, delete, edit, view, assign authentication methods (RBA or ODA)
• User groups—view user group, assign user group membership
• Reports—add, delete, edit, view, run, schedule
• Tokens—view, reset SecurID PINs, enable and disable SecurID tokens, 
resynchronize tokens, assign tokens to users, replace tokens, issue software 
tokens, manage online and offline emergency access tokencodes
• User accounts—manage fixed passcode, manage logon aliases, edit default shell 
manage incorrect passcode count, clear cached Windows credential, manage 
offline emergency access passcode
• Agents—view, grant user groups access to restricted authentication agents
58
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
User Administrators can run a subset of the Authentication Manager reports. For more 
information, see Reports
on page 337.
Token Administrator
The Token Administrator can import and manage tokens, and assign tokens to users. 
This administrator cannot delegate the responsibilities of this role. 
The default permissions for this role include limited management of the following:
• Users—view
• Reports—add, delete, edit, view report definition, run, schedule
• Tokens—import token, delete token, edit token, view token, reset SecurID PINs, 
resynchronize tokens, manage online and offline emergency access tokencodes, 
assign tokens to users, replace tokens, issue software tokens, manage incorrect 
passcode count.
Help Desk Administrator
The Help Desk Administrator resolves user access issues through password reset and 
unlocking or enabling accounts. This administrator cannot delegate the 
responsibilities of this role.
The default permissions for this role include limited management of the following:
• Users—view, reset passwords, enable and disable accounts, terminate active 
sessions.
• User groups—view user groups
• Tokens—view token, reset SecurID PINs, resynchronize tokens, enable and 
disable SecurID tokens
• Agents—view
Privileged Help Desk Administrator
The Privileged Help Desk Administrator resolves user access issues through password 
reset and unlocking or enabling accounts. In addition, this role grants the ability to 
view and provide both online and offline emergency access help. This administrator 
cannot delegate the responsibilities of this role.
The default permissions for this role include limited management of the following:
• Users—view, reset passwords, enable and disable accounts, terminate active 
sessions
• User groups—view user groups
• Tokens—view token, reset SecurID PINs, resynchronize tokens, enable and 
disable SecurID tokens
• Agents—view
• Fixed passcode—view and edit fixed passcodes
• Offline emergency access passcode—May manage offline emergency access 
passcode
2: Preparing RSA Authentication Manager for Administration
59
RSA Authentication Manager 8.1 Administrator’s Guide
Agent Administrator
The Agent Administrator manages authentication agents and grants access to selected 
authentication agents. This administrator cannot delegate the responsibilities of this 
role.
The default permissions for this role include limited management of the following:
• Users—view
• User groups—view user groups, assign user group membership
• Reports—add, delete, edit, view report definition, run, schedule
• Agents—add, delete, edit, view, manage node secret, grant user groups access to 
agents
• Security Domains—view
Agent Administrators can run a subset of the Authentication Manager reports. For 
more information, see Reports
on page 337.
Request Approver
The Request Approver can view and approve requests. This administrator can not 
delegate the responsibilities of this role.
The default permissions for this role include limited management of the following:
• Requests—view and approve
• Users—view
• Tokens—view token
If a user requests enrollment in a security domain, the approver in that security domain 
can approve the request before the user is in the actual domain.
Token Distributor
The Token Distributor can view requests, distribute requested tokens, and determine 
how to assign and deliver tokens to users.
The default permissions for this role include limited management of the following:
• Requests—view and distribute
• Users—view
• Tokens—view token
Trust Administrator
The Trust Administrator can manage cross-deployment trusts, trusted users, and 
trusted user groups. This administrator can not delegate the responsibilities of this 
role.
The default permissions for this role include limited management of the following:
• Trusted users—add, delete, edit, and view trusted users
• Trusted user groups—add, delete, edit, and view trusted user groups
60
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
• Trusted user group restricted access—edit and view
• May assign trusted users to trusted user groups
• May grant trusted user groups access to an agent.
• May configure trusted realms.
Administrative Role Settings
The following table describes the settings of an administrative role.
Administrative Role Settings
Description
Administrative Role Name
Name of an administrative role. A role 
name must be unique in the security 
domain where it is defined, but does not 
have to be unique for the deployment.
Administrative role names typically reflect 
administrators' functions within an 
organization, such as Help Desk, IT, or 
Human Resources. 
Permission Delegation
Allows administrators to delegate their role 
permissions to other administrators. 
This selection only applies to 
administrators who also have the ability to 
create, edit, and assign administrative 
roles.
Notes
A brief explanation of the role.
Security Domain Scope
Determines where an administrator 
assigned the role has administrative 
permissions. When an administrative role 
grants permissions in a security domain, 
permissions are also granted in each of its 
lower-level security domains in the 
security domain hierarchy.
Identity Source Scope
The identity sources where you want the 
administrative role to grant permissions.
Documents you may be interested
Documents you may be interested