2: Preparing RSA Authentication Manager for Administration
61
RSA Authentication Manager 8.1 Administrator’s Guide
Administrative Role Scope and Permissions
The pre-defined administrative roles configured during Authentication Manager setup 
have scope over the top-level security domain by default. As a result, an administrator 
who is assigned to a pre-defined role can modify the account of a Super Admin, 
because the initial Super Admin account resides in the top-level security domain as 
well. This is because the top-level security domain is the only security domain in the 
deployment when Authentication Manager is initially set up.
Before assigning a pre-defined role to an administrator, consider whether you want to 
maintain the default behavior, or if you want to restrict the scope of the administrators 
assigned these roles to a lower-level security domain that does not include Super 
Admins or other higher-privileged administrators. There may be situations in which 
you want a lower-privileged administrator to modify the account of a 
higher-privileged administrator. 
General Permissions
Determines the actions an administrator 
can take on policies, security questions, 
delegated administration, users, user 
groups, and reports.
If the scope of the role does not include the 
top-level security domain, the role cannot 
manage identity attribute definitions, 
password policies, lockout policies, 
self-service troubleshooting policies, 
security questions and Console display 
options.
Authentication Permissions
Determines the authentication related tasks 
an administrator can perform. These tasks 
include management of RSA SecurID, user 
authentication attributes, authentication 
agents, trusted realms, RADIUS and 
on-demand authentication.
If the scope of the role does not include the 
top-level security domain, the role cannot 
manage RADIUS.
Self-Service Permissions
Determines the actions an administrator 
can take on provisioning requests.
Security Domain
The security domain that is associated with 
the administrative role. The new 
administrative role can only be managed 
by administrators whose scope includes the 
security domain that is associated with the 
role.
Administrative Role Settings
Description
Convert pdf pages into powerpoint slides - control SDK platform:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf pages into powerpoint slides - control SDK platform:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
62
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
For existing deployments, you can use the Security Console to audit the permissions 
available to an administrator. For instructions, see the Security Console Help topic 
“View Available Permissions of an Administrator.”
If you do not want to use the default scope of the pre-defined administrative roles, you 
can avoid unintentionally granting additional privileges to an administrator by doing 
one of the following:
• Make sure that the scope of the administrator does not include the following:
– A security domain that contains the user account or token of a 
higher-privileged administrator.
– The security domain that contains the administrator’s own token so that the 
administrator cannot modify his own token or other credentials to provide 
additional privileges to his account.
– The administrator’s own security domain so that the administrator cannot 
modify his own account.
• Create separate security domains to enforce your intended administrative scopes. 
For example, create one for Super Admins, one for other administrators, and one 
for users with no administrative role. Reduce the scope of the lower-privileged 
administrators to the security domains of users with no administrative role.
Configure Authentication Manager according the following model: 
– Create a distinct security domain for Super Admins.
– Place all other administrators, including those who have permission to edit 
users or authentication credentials, in lower-level domains.
– Place all other users in another security domain.
– Assign the appropriate role and scope to administrators. Make the 
lower-privileged administrator’s scope include only the security domain over 
which the administrator has authority. For example, make sure that the Help 
Desk administrator has scope only for the security domain of end users, and 
not for his own security domain or the security domain of the Super Admin. 
For instructions, see the Security Console Help topic, “Change the Scope of 
an Administrative Role.”
If you do want to allow administrators to manage the accounts of higher-privileged 
administrators, there are a number of ways you can configure your system to do this.
• Make sure that the lower-privileged administrator does not have permission to edit 
the following account settings of the higher-privileged administrator, by removing 
permissions from the lower level account to edit authentication data of the higher 
level account, such as:
– The credential that is required to authenticate to the Security Console, for 
example, the user password of a Super Admin
– Security questions
– LDAP password
– RSA Password
– Assigned SecurID tokens
control SDK platform:C# PowerPoint - How to Process PowerPoint
NET PowerPoint control, developers are able to split a PowerPoint into two or It enables you to move out useless PowerPoint document pages simply with
www.rasteredge.com
control SDK platform:VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
split one PPT (.pptx) document file into smaller sub library SDK, this VB.NET PowerPoint processing control & profession imaging controls, PDF document, image
www.rasteredge.com
2: Preparing RSA Authentication Manager for Administration
63
RSA Authentication Manager 8.1 Administrator’s Guide
– The ability to administer other users, including the ability to clear PINs, 
assign SecurID tokens and enable on-demand authentication
Note: 
Make sure that the administrative role assigned to the administrator does 
not include tasks that are not required for the administrator to perform his job. For 
more information, see the Security Console Help topic, “Edit Permissions for an 
Administrative Role.”
• If you do not use the Self-Service Console or risk-based authentication in your 
deployment, do the following:
– Remove the Reset Password permission from the Help Desk administrator 
who is helping end users.
– Assign the Assign Token and Reset Password permissions to an administrator 
other than the Help Desk administrator.
• Configure Authentication Manager to require a combination of authentication 
credentials. If Authentication Manager requires multiple credentials, for example 
an on-demand tokencode and a password, at least one of which the 
lower-privileged administrator does not have permission to edit, the 
lower-privileged administrator cannot fully control the higher-privileged 
administrator’s authentication credentials and authenticate to the Security Console 
or Operations Console as the higher level administrator.
Add an Administrative Role
An administrative role is a collection of permissions that can be assigned to an 
administrator. A role determines what level of control the administrator has over users, 
user groups, and so on.
You can add administrative roles to your deployment, and assign these roles to users. 
If you assign multiple administrative roles to a user, the permissions are combined.
Before You Begin
To create an administrative role, you must have an administrative role that:
• Grants permission to create administrative roles.
• Includes the permissions he or she wants to add to the new administrative role.
• Allows the administrator to delegate the permissions granted to his or her role. 
This is determined by the Permission Delegation setting for the role assigned to 
the administrator who is creating the role.
Procedure
1. In the Security Console, click Administration > Administrative Roles > Add 
New.
2. In the Administrative Role Name field, enter a name for the new administrative 
role. 
3. (Optional) If you want to allow administrators to delegate their role permissions to 
other administrators, select Permission Delegation.
control SDK platform:VB.NET PowerPoint: Merge and Split PowerPoint Document(s) with PPT
one of the split PPT document will contain slides/pages 1-4 &ltsummary> ''' Split a document into 2 sub Note: If you want to see more PDF processing functions in
www.rasteredge.com
control SDK platform:VB.NET PowerPoint: Extract & Collect PPT Slide(s) Using VB Sample
and you want to combine these extracted slides into a new of document 1 and some pages of document powerful & profession imaging controls, PDF document, image
www.rasteredge.com
64
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
4. In the Security Domain Scope tree, select the security domains in which the new 
administrative role grants permissions.
5. In the Identity Source Scope field, select the identity sources where you want this 
administrative role to grant permissions.
6. Click Next.
7. Assign general permissions to the administrative role.
8. (Optional) To restrict attributes, in the User Attribute Restriction field, select 
May only access specific attributes. An Attributes drop-down menu appears. 
Select Modify, View, or None for each attribute. If you select None, the attribute 
is hidden.
The value in this field must be consistent with the value specified in the Entry 
Type field on the Add an Identity Attribute Definition page. If the attribute 
definition is read-only, do not select Modify for the User Attribute Restriction. If 
the attribute definition is required, do not specify View or None in the User 
Attribute Restriction. If you do, you cannot add the role. For more information, 
see the Security Console Help topic “Add an Identity Attribute Definition.”
9. Click Next.
10. Assign authentication permissions to the administrative role.
11. Click Next.
12. Assign self-service permissions to the administrative role.
13. Click Next.
14. Use the Security Domain drop-down menu to select the security domain that is 
associated with the administrative role.
15. Review the summary of the administrative role, and click Save.
Assign an Administrative Role
You can assign an administrative role to a user so that the user can perform specified 
actions in a designated security domain. A user can have more than one administrative 
role.
Follow these guidelines:
• You can only assign and add administrative roles with the same or a narrower 
scope, and that have equal or fewer permissions to your own administrative role.
• You can assign administrative roles to a single user at a time or to multiple users at 
the same time.
If a password is required to access the Security Console, administrators use the 
password assigned to them in their user record.
Procedure
1. In the Security Console, click Administration > Administrative Roles > 
Manage Existing.
2. Use the search fields to find the administrative role that you want to assign.
control SDK platform:VB.NET PowerPoint: Sort and Reorder PowerPoint Slides by Using VB.
clip art or screenshot to PowerPoint document slide large amount of robust PPT slides/pages editing methods & profession imaging controls, PDF document, image
www.rasteredge.com
control SDK platform:VB.NET PowerPoint: Use PowerPoint SDK to Create, Load and Save PPT
guide for PPT document, we divide this page into three parts in VB.NET to create an empty PowerPoint file with or local file and get the exact PPT slides number;
www.rasteredge.com
2: Preparing RSA Authentication Manager for Administration
65
RSA Authentication Manager 8.1 Administrator’s Guide
3. Click the administrative role that you want to assign.
4. From the context menu, click Assign More.
5. Use the search fields to find the user that you want to assign to the administrative 
role.
User searches are case sensitive.
6. Select the user that you want to assign to the administrative role, and click Assign 
to Role.
View Available Permissions of an Administrator
Under some configurations, a lower-privileged administrator, for example, an 
administrator assigned the default Help Desk Administrator role, may be able to 
modify the account of a higher-privileged administrator. To audit the permissions 
assigned to administrators and verify that lower-privileged administrators do not have 
permissions that allow them to modify the accounts of higher-privileged 
administrators, use the following procedure.
Before You Begin
You must be a Super Admin.
Procedure
1. In the Security Console, click Identity > Users.
2. Use the search fields to find Administrators.
3. Click the name of the administrator and select Available Permissions from the 
context menu.
The user's assigned administrative roles are displayed. For each role, the 
following information displays:
Security Domain. The security domain of the administrators who are allowed to 
manage the assigned role.
Security Domain Scope. The scope of the administrator's role, i.e., where the 
administrator can perform the tasks for this administrative role.
Identity Source Scope. The identity sources the administrator may access, if her 
administrative role includes managing users or user groups.
Permission Delegation. Whether the assigned administrator can create new 
administrative roles that include this role's permissions.
Administrative Tasks and Permissions. The permissions the administrator has 
to modify objects in the system, for example, permission to add users, or just view 
them.
control SDK platform:VB.NET PowerPoint: Convert & Render PPT into PDF Document
Using this VB.NET PowerPoint to PDF converting demo code below, you can easily convert all slides of source PowerPoint document into a multi-page PDF file.
www.rasteredge.com
control SDK platform:VB.NET PowerPoint: Add Image to PowerPoint Document Slide/Page
can separate a multi-page PPT document into 2, 4 How to Sort and Reorder PPT Document Pages. provide powerful & profession imaging controls, PDF document, tiff
www.rasteredge.com
66
2: Preparing RSA Authentication Manager for Administration
RSA Authentication Manager 8.1 Administrator’s Guide
Next Steps
If you find that an administrator has scope or permissions that give more privileges 
than appropriate, you can do the following:
• Add or remove roles from the set of roles assigned to the administrator. For more 
information, see Assign an Administrative Role
on page 64.
• Edit one or more of the administrator’s roles to change the scope, set of 
permissions or both that role includes. This affects all administrators assigned the 
role. For more information, see the Security Console Help topic, “Edit an 
Administrative Role.”
• Create a new role having the correct scope and the exact set of permissions 
required, and assign it to the administrator. You can create a new role or duplicate 
an existing role and modify it. For more information, see Add an Administrative 
Role
on page 63. 
control SDK platform:C# PowerPoint: C# Codes to Combine & Split PowerPoint Documents
pages of document 1 and some pages of document &ltsummary> /// Split a document into 2 sub to provide powerful & profession imaging controls, PDF document, tiff
www.rasteredge.com
control SDK platform:VB.NET PowerPoint: Read, Edit and Process PPTX File
How to convert PowerPoint to PDF, render PowerPoint to SVG to read, create, annotate, view, convert and watermark NET PowerPoint reading control SDK into VB.NET
www.rasteredge.com
3: Deploying Authentication Agents
67
RSA Authentication Manager 8.1 Administrator’s Guide
3
Deploying Authentication Agents
RSA Authentication Agents
Authentication agents are software applications that securely pass user authentication 
requests to and from RSA Authentication Manager. Authentication agents are 
installed on each machine, such as a domain server, web server, or a personal 
computer, that you protect with Authentication Manager.
For example, agent software residing on a web server intercepts all user requests for 
access to protected web pages. When a user attempts to access a protected URL, the 
agent requests the User ID and passcode and passes the User ID and passcode to the 
Authentication Manager for authentication. If the authentication is successful, the user 
is granted access to protected web pages.
Authentication Agent Types
When you deploy an agent, you specify whether the agent is unrestricted or restricted.
Unrestricted agents. Unrestricted agents process all authentication requests from all 
users in the same deployment as the agent. 
However, to allow a user to authenticate with a logon alias, the user must belong to a 
user group that is associated with the logon alias and that is enabled on the 
unrestricted agent. 
Restricted agents. Restricted agents process authentication requests only from users 
who are members of user groups that have been granted access to the agent. Users 
who are not members of a permitted user group cannot use the restricted agent to 
authenticate. Resources protected by restricted agents are considered to be more 
secure because they process requests only from a subset of users.
Obtaining RSA Authentication Agents
The agent that you need depends on the type of resource you want to protect. For 
example, to protect an Apache web server, you need to download the RSA 
Authentication Agent for Apache. 
The download package includes an Installation and Administration Guide and a 
Readme. Read these documents before installing the agent. For information about 
installing agent software, see your agent documentation.
You may purchase products that contain embedded RSA Authentication Agent 
software. For example, these products include remote access servers and firewalls.
68
3: Deploying Authentication Agents
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
Do one of the following.
• For an RSA agent and for a third-party agent that requires an RSA agent, go to 
http://www.emc.com/security/rsa-securid/rsa-securid-authentication-age
nts.htm#!offerings
.
Locate the agent software for your platform and download the agent software 
and the RBA Integration Script Template.
• For a third-party agent that has an embedded RSA agent, go to the RSA 
Secured web site at 
https://gallery.emc.com/community/marketplace/rsa?view=overview
, and 
locate the listing for RSA Implementation Guide for Authentication Manager 
for your agent.
Download the RSA Implementation Guide for Authentication Manager for 
your agent. Save it to your desktop or a local drive that you can access during 
the integration process.
Note: 
Only certified partner solutions have an implementation guide. For 
other agents that are certified as RSA SecurID Ready, you can create a custom 
implementation.
Next Steps
See Deploying an Authentication Agent
on page 68.
Deploying an Authentication Agent
Authentication agents are software applications that securely pass user authentication 
requests to and from RSA Authentication Manager. Before an authentication agent 
can communicate with RSA Authentication Manager, you must deploy the agent.
Procedure
1. Use the Security Console to generate a configuration file for the agent. This 
allows the agent to locate Authentication Manager servers. For more information, 
see Generate the Authentication Manager Configuration File
on page 69.
2. Install an authentication agent on each machine that you want to protect. See your 
agent documentation for installation instructions. 
3. Use the Security Console to add a record for the new agent to the internal 
database. In this step, you can specify whether you are creating a restricted agent. 
The agent record identifies the agent to RSA Authentication Manager. This 
process is called registering the agent. For more information, see Add an 
Authentication Agent
on page 70.
3: Deploying Authentication Agents
69
RSA Authentication Manager 8.1 Administrator’s Guide
Generate the Authentication Manager Configuration File
You must configure communication between the authentication agents and RSA 
Authentication Manager. To do this, use the Security Console to generate a zip file 
(AM_Config.zip) that contains the RSA Authentication Manager configuration file, 
sdconf.rec. To configure communication, you copy sdconf.rec to each agent host. 
The sdconf.rec file contains a snapshot of the server topology as it was when the file 
was generated. The agent uses the data in the sdconf.rec file as a backup. 
The generated zip file also contains a failover.dat file that can be configured on the 
agent. The failover.dat file allows agent auto-registration to complete when the 
primary instance is unavailable or separated from the agent host by a firewall that uses 
Network Address Translation (NAT).This file includes a list of the primary and replica 
instances, and their alias IP addresses.
Before You Begin
• Make sure an agent is connected to Authentication Manager.
• Review the configuration settings. See the Security Console Help topic 
“Configure Agent Settings.”
Procedure
1. In the Security Console, click Access > Authentication Agents > Generate 
Configuration File.
2. From the Maximum Retries drop-down menu, select the number of times you 
want the authentication agent to attempt to establish communication with 
Authentication Manager before returning the message “Cannot initialize agent - 
server communications.”
3. From the Maximum Time Between Each Retry drop-down menu, select the 
number of seconds that you want to set between attempts by the authentication 
agent to establish communications with Authentication Manager.
4. Click Generate Config File.
5. Click Download Now, and save AM_Config.zip to your local machine.
Next Steps
• Copy AM_Config.zip, containing the sdconf.rec file and the failover.dat file, to 
each agent host. 
• Configure the agent with the new sdconf.rec file and if necessary, the failover.dat 
file. For instructions, see your agent documentation.
70
3: Deploying Authentication Agents
RSA Authentication Manager 8.1 Administrator’s Guide
Add an Authentication Agent
Before an authentication agent can communicate with Authentication Manager, you 
must add the agent to the internal database. This process is called registering the agent. 
The agent record identifies the agent to Authentication Manager.
Deployments that use risk-based authentication (RBA) require additional 
configuration. If you use RBA to protect a web-based application, such as an 
SSL-VPN, web portal, or a thin client, you must integrate the web-based application 
with Authentication Manager. For more information, see Implementing Risk-Based 
Authentication
on page 281.
Procedure
1. In the Security Console, click Access > Authentication Agents > Add New.
2. From the Security Domain drop-down menu, select the security domain to which 
you want to add the new agent.
3. Under Authentication Agent Basics, do the following:
a. For Hostname, enter a new hostname for the agent host, and then click 
Resolve IP.
The IP address is automatically entered. If you enter a new name, the name 
must be unique.
Note: 
For IPv4/IPv6 agents, the hostname can be any agent descriptor and 
does not necessarily need to be a fully qualified host name. IP address 
resolution is not supported for IPv4/IPv6 agents.
b. (Optional) In the IP Address field, enter the IP address of the agent.
If you use an existing server name, this field is automatically populated and 
read-only. If no address is specified, UDP agents will use auto-registration to 
provide the address to the server.
Note: 
Do not enter IP addresses in the IPv6 format. IPv4/IPv6 agents will use 
the hostname to provide the address to the server. 
c. (Optional) In the Alternate IP Addresses field, enter alternate IP addresses 
for the agent.
You enter alternate IP addresses if the agent has more than one network 
interface card, or is located behind a static network address translation (NAT) 
firewall.
If you use an existing server name, this field is automatically populated and 
read-only.
4. (Optional) Under Authentication Agent Attributes, you can select the following 
options:
• To specify the type of agent, select the type from the Agent Type list.
If the agent is a web agent, select Web Agent, otherwise keep the default 
selection Standard Agent. The populated agent types are labels, there is no 
functional difference by choosing Web Agent or Standard Agent.
Documents you may be interested
Documents you may be interested