3: Deploying Authentication Agents
71
RSA Authentication Manager 8.1 Administrator’s Guide
• To disable the agent, select Agent is disabled. 
You might select this option to stop access to a resource temporarily.
• To add a restricted agent, select Allow access only to members of user 
groups who are granted access to this agent.
Only users who are members of user groups that have permission to access a 
restricted agent can use this agent to authenticate. Any user can use an 
unrestricted agent to authenticate.
• To assign a manual or automatic contact list to the new agent, use the 
Authentication Manager Contact List buttons.
5. (Optional) To configure how users from a trusted realm authenticate to this agent, 
select Enable Trusted Realm Authentication, and then select whether you want 
to allow all trusted users to authenticate through the new agent or only those 
trusted users who belong to a trusted user group that has been granted explicit 
permission to use the agent.
6. (Optional) To allow users to authenticate to this agent using RBA, do the 
following.
• Select Enable this agent for risk-based authentication.
• If you want to restrict RBA access on this server agent, select Allow access 
only to users who are enabled for risk-based authentication.
• Select an authentication method for RBA users.
7. Choose one of the following options to save the settings for this agent.
• If you enabled this agent for RBA, click Save Agent and Go to Download 
Page.
The system saves the settings and displays the Integration Script page, where 
you select and download the integration script for this agent.
• If you did not enable this agent for RBA, click Save.
Note: 
If the hostname is not a fully qualified host name or the IP address is not 
specified, a Confirmation Required dialog, summarizing the hostname and the IP 
address is displayed. Here, you can either edit the agent details or save the agent 
information.
Next Steps
• Review the configuration settings. See the Security Console Help topic 
“Configure Agent Settings.”
• (Optional) Generate an integration script. See the Security Console Help topic 
“Generate an integration Script for a Web-based Application.”
Picture from pdf to powerpoint - SDK software API:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Picture from pdf to powerpoint - SDK software API:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
72
3: Deploying Authentication Agents
RSA Authentication Manager 8.1 Administrator’s Guide
Node Secret for Encryption
The node secret is a shared secret known only to the authentication agent and 
Authentication Manager. Authentication agents use the node secret to encrypt 
authentication requests that they send to Authentication Manager.
Authentication Manager automatically creates and sends the node secret to the agent 
in response to the first successful authentication on the agent. 
The agent and the Authentication manager server must agree on the state of the node 
secret. For example, if the server expects the agent to have a node secret but the agent 
does not have one, or if the agent thinks it has a node secret and the server does not 
think the agent has one.
Manual Delivery of the Node Secret
In most deployments, automatically delivering the node secret is sufficient. However, 
you can choose to manually deliver the node secret for increased security. When you 
manually deliver the node secret, you must:
• Use the Security Console to create the node secret. For instructions, see Manage 
the Node Secret
on page 73.
• Deliver the node secret to the agent, for example, on a disk, and use the Node 
Secret Load utility to load the node secret on to the agent.
The Node Secret Load utility does the following:
• Decrypts the node secret file.
• Renames the file after the authentication service name, usually securid.
• Stores the renamed file on your machine. For more information on where the 
renamed node secret file is stored, see your agent documentation. 
When you manually deliver the node secret, take the following security precautions:
• Use the longest possible, alphanumeric password. The maximum length is 16 
characters. The minimum length, required special characters, and excluded 
characters are determined by these default password policy for the deployment.
• If possible, deliver the node secret on external electronic media to the agent 
administrator, and verbally deliver the password. Do not write down the 
password. If you deliver the node secret through e-mail, deliver the password 
separately.
• Make sure that all personnel involved in the node secret delivery are trusted 
personnel.
For additional information about creating and sending the node secret file, see Manage 
the Node Secret
on page 73.
SDK software API:C# PDF insert image Library: insert images into PDF in C#.net, ASP
How to Insert & Add Image, Picture or Logo on PDF Page Using C#.NET. Import graphic picture, digital photo, signature and logo into PDF document.
www.rasteredge.com
SDK software API:VB.NET TIFF: How to Draw Picture & Write Text on TIFF Document in
drawing As RaterEdgeDrawing = New RaterEdgeDrawing() drawing.Picture = "RasterEdge" drawing provide powerful & profession imaging controls, PDF document, tiff
www.rasteredge.com
3: Deploying Authentication Agents
73
RSA Authentication Manager 8.1 Administrator’s Guide
Manage the Node Secret
To ensure a secure transaction the first time a user attempts to authenticate with a 
SecurID passcode, the authentication agent and Authentication Manager 
automatically communicate using a hashed value of the unique node secret and store it 
on the agent computer. From then on, each authentication interaction uses the node 
secret to encrypt the communication between the two systems.
Procedure
1. In the Security Console, click Access > Authentication Agents > Manage 
Existing.
2. Click the Restricted or Unrestricted tab, depending on whether the agent that 
you want to search for is restricted or unrestricted.
3. Use the search fields to find the agent with the node secret that you want to 
manage.
4. Click the agent with the node secret that you want to manage, and click Manage 
Node Secret.
5. If you want to clear the node secret from the Authentication Manager server, 
select the Clear Node Secret checkbox.
To allow the agent to authenticate to the server, you must also clear the node secret 
on the agent.
6. (Optional) If you want to create a new node secret, select the Create Node Secret 
checkbox.
7. (Optional) If you chose to create a new node secret, enter and confirm a password 
to encrypt the node secret file.
When you create a password, the maximum length is 16 characters. The minimum 
length, required characters, and excluded characters are determined by the default 
password policy for the deployment.
8. Click Save.
9. Click Download Now.
Refresh the Node Secret Using the Node Secret Load Utility
The node secret rarely needs to be refreshed, however there are times when it is 
necessary. Problems with the node secret can result in authentication or node 
verification errors. Refresh the node secret when:
• The node secret on the agent is lost, for example, when you perform a factory 
reset or reinstall the agent.
• The authentication agent record is either deleted or re-added.
• The node secret is deleted from one end of the connection but not the other, for 
example, the node secret is deleted from the Authentication Manager appliance 
but not from an associated agent.
SDK software API:VB.NET Image: Image Cropping SDK to Cut Out Image, Picture and
first! VB.NET Image & Picture Cropping Application. Do you need to save a copy of certain part of an image file in a programming way?
www.rasteredge.com
SDK software API:VB.NET Image: Image Resizer Control SDK to Resize Picture & Photo
VB.NET Method to Resize Image & Picture. Here we display the method that We are dedicated to provide powerful & profession imaging controls, PDF document, image
www.rasteredge.com
74
3: Deploying Authentication Agents
RSA Authentication Manager 8.1 Administrator’s Guide
You do not need to refresh the node secret when you:
• Change the agent name.
• Change the IP address.
The Node Secret Load utility, agent_nsload, is located in the RSA Authentication 
Manager 8.1 download kit.
Procedure
1. Create a node secret using the Security Console. For more information, see 
Manage the Node Secret
on page 73.
2. From the RSA Authentication Manager 8.1 download kit, copy agent_nsload 
from the rsa-ace_nsload directory for the agent’s platform to the agent host.
RSA provides the following platform-specific versions of the utility:
• Windows
• LINUX
• HP-UX
• IBM AIX
3. From a command line on the agent host, run the Node Secret Load utility. Type:
agent_nsload -f path -p password
where:
• path is the directory location and name of the node secret file.
• password is the password used to protect the node secret file.
Automatic Agent Registration
The Automated Agent Registration and Update utility (sdadmreg.exe), included with 
the RSA Authentication Agent software, enables new authentication agents to 
automatically add an agent record to the Authentication Manager internal database. 
This process is called registering the agent. Allowing authentication agents to 
self-register saves time and money by eliminating the need for an administrator to 
perform these tasks.
By default, when the agent host starts, the Automated Agent Registration and Update 
utility automatically runs to allow any IP address changes to be registered in the 
internal database. You can also run this utility whenever IP address of the agent host 
changes. This is useful for systems that use the Dynamic Host Configuration Protocol 
(DHCP) to assign IP addresses. If you use DHCP and do not enable this utility, you 
must manually update the IP addresses each time the agent host changes its IP address.
You can also run the Automated Agent Registration and Update utility manually 
whenever the IP address of an agent host changes, to update the IP address in the 
internal database.
SDK software API:VB.NET Image: Image Scaling SDK to Scale Picture / Photo
VB.NET DLLs to Scale Image / Picture. There are two dlls that will be involved in the process of VB.NET image scaling, which are RasterEdge.Imaging.Basic.dll
www.rasteredge.com
SDK software API:C# Word - Paragraph Processing in C#.NET
C# users can set paragraph properties and create content such as run, footnote, endnote and picture in a paragraph. Create Picture in Paragraph.
www.rasteredge.com
3: Deploying Authentication Agents
75
RSA Authentication Manager 8.1 Administrator’s Guide
Note: 
The RSA Authentication Agent 6.1.2 for Microsoft Windows automatically 
updates the internal database with any IP address changes. If you are using this agent, 
you do not need to manually run the utility.
It is important that you protect your critical IT infrastructure from potential Denial of 
Service (DOS) attacks. To reduce the vulnerability of your system:
• Disable agent auto-registration on critical machines, such as e-mail and VPN 
servers.
• In your IT infrastructure, give critical agents static IP addresses. 
• Protect IP addresses within Authentication Manager. To do this, select Protect IP 
Address on the Authentication Agent page in the Security Console.
Allow an Agent to Auto-Register
Authentication agents can automatically add an agent record to the internal database. 
The process of adding an agent record is called registering the agent.
If your network uses Dynamic Host Configuration Protocol (DHCP) to assign IP 
addresses, consider enabling agent auto-registration. When enabled, agent IP 
addresses are automatically updated whenever the IP address of the agent host 
changes.
The Auto-Registration utility automatically registers users’ computers in the 
Authentication Manager database the first time users start their computers with 
Authentication Agent installed. This utility and eliminates the need for an 
administrator to manually create the agent host record.
Before You Begin
• Install an authentication agent.
• Configure the agent host. See your agent documentation for information.
Procedure
1. In the Security Console, click Setup > System Settings> Agents.
2. Select Allow authentication agent auto-registration.
3. Click Save.
Download an RSA Authentication Manager Server Certificate
The RSA Authentication Manager server certificate is required to set up agent 
auto-registration.
Procedure
1. In the Security Console, click Access > Authentication Agents > Download 
Server Certificate File.
2. Click Download Now.
3. Select Save it to disk.
SDK software API:C# TIFF: How to Insert & Burn Picture/Image into TIFF Document
Support adding image or picture to an existing or new creating blank TIFF are dedicated to provide powerful & profession imaging controls, PDF document, tiff
www.rasteredge.com
SDK software API:VB.NET PowerPoint: Add Image to PowerPoint Document Slide/Page
clip art or screenshot, the picture will be insert or delete any certain PowerPoint slide without powerful & profession imaging controls, PDF document, tiff
www.rasteredge.com
76
3: Deploying Authentication Agents
RSA Authentication Manager 8.1 Administrator’s Guide
Next Step
To set up agent auto-registration, copy the file to the auto-registration installation 
directory on the agent host machine and run the .exe file.
Contact Lists for Authentication Requests
Contact lists are ordered lists of instances available to accept authentication requests, 
and are created either automatically by Authentication Manager, or manually by an 
administrator.
Authentication Manager uses contact lists to determine to which instance 
authentication requests are sent. Authentication Manager sends contact lists to each 
agent after the initial contact between the agent and Authentication Manager.
Depending on your license type, your Authentication Manager deployment can have a 
primary instance and up to 15 replica instances. To increase efficiency, use contact 
lists to route authentication requests from agents to the instances that can respond the 
quickest.
Agents request new contact lists as a part of subsequent authentications. Periodically, 
the agent reviews all the instances listed in the contact list to determine where to send 
authentication requests. The agent uses metrics, such as the amount of time it takes the 
instance to respond to authentication requests, to determine where to send requests.
If none of the servers on the contact list respond to authentication requests, the agent 
reverts to the Authentication Manager configuration file and uses an IP address in the 
configuration file to reconnect with Authentication Manager.
RSA RADIUS supports contact lists for the RADIUS server agent. RADIUS client 
agents do not support contact lists because there is no authentication agent software 
installed on RADIUS clients. The associated agent record in the internal database 
enables Authentication Manager to track RADIUS authentication attempts made 
through the RADIUS server. For more information, see RADIUS Clients
on page 305.
IPv4/IPv6 agents do not support contact lists. 
Automatic Contact Lists
An automatic contact list is assigned to each instance in your deployment. The list 
contains the IP addresses of each instance the contact list is assigned to, up to a limit 
of 11. Agents receive automatic contact lists by default.
Authentication Manager automatically updates these lists each time a new instance is 
added to the deployment. When the list is updated, a time stamp associated with the 
list is also updated. Agents use this time stamp to determine when to request an 
updated list.
The Super Admin can edit an automatic contact list in the Security Console on the 
Edit Authentication Manager Contact List page. Any edits that you make to an 
automatic contact list may be overwritten when a new instance is added to the 
deployment.
SDK software API:VB.NET Image: VB.NET Planet Barcode Generator for Image, Picture &
png, gif, jpeg, bmp and tiff) and a document file (supported files are PDF, Word & Generate Planet Barcode on Picture & Image in VB.NET. In this part, we will
www.rasteredge.com
SDK software API:VB.NET Image: Create Code 11 Barcode on Picture & Document Using
Write Code 11 barcode image on single-page or multi-page PDF, TIFF or Word document using VB.NET code. Code 11 Barcode Generation on PDF Using VB.NET Code.
www.rasteredge.com
3: Deploying Authentication Agents
77
RSA Authentication Manager 8.1 Administrator’s Guide
Manual Contact Lists
The Super Admin updates manual contact lists to reflect the most recent list of 
instances. Manual lists can contain the IP address of any instance in the deployment, 
up to a limit of 11.
For many organizations, automatic contact lists are sufficient. However, you may 
choose to create a manual contact list if you have a specific way that you want to route 
authentication requests.
For example, suppose that you are an administrator at a company that has Boston, 
New York, and San Jose locations. The New York and San Jose locations are small 
and all authentications are routed to Authentication Manager replica instances at each 
site. The Boston location, however, is largest, and the primary instance at that location 
handles all Boston location users, as well as all VPN requests from external users. You 
can create a manual contact list that routes authentication requests to the replica 
instances. This leaves the primary instance free to replicate data to the replica 
instances in New York and San Jose.
For instructions, see the Security Console Help topics, “Add a Manual Contact List,” 
“Assign a Manual Contact List to an Authentication Agent,” and “Edit a Manual 
Contact List.”
4: Configuring Authentication Policies
79
RSA Authentication Manager 8.1 Administrator’s Guide
4
Configuring Authentication Policies
Policies
Policies control various aspects of your deployment. Authentication Manager 
provides a default of each policy type and assigns them to each new security domain. 
You can also assign a custom policy. If you designate a new default policy, the new 
default policy is automatically assigned to existing security domains that use the 
default policy and to new security domains.
The policy assigned to a lower-level security domain is not inherited from upper-level 
security domains. New security domains are assigned the default policy that is in place 
at the time they are created, regardless of which policy is assigned to security domains 
above them in the hierarchy. For example, if the top-level security domain is assigned 
a custom policy, lower-level security domains are still assigned the default policy.
You can use the following policies to help administer your system.
Token Policy
on page 80. A token policy defines users’ RSA SecurID PIN lifetime 
and format, and fixed passcode lifetime and format, as well as how a deployment 
handles users or unauthorized people who enter a series of incorrect passcodes. A 
passcode is a SecurID PIN + a tokencode. The tokencode is the number displayed on 
the front of a SecurID token.
O
ffline Authentication Policy
on page 86. An offline authentication policy defines the 
way users authenticate when they are not connected to the network.
Password Policy
on page 89. Password policies define the users' password length, 
format, and frequency of change.
Lockout Policy
on page 94. Lockout policies define how many failed logon attempts 
users can make before the system locks their account. Lockout policies apply to the 
total number of logon attempts a user makes regardless of the type of credential used 
for each attempt. For example, if a user has two failures with a password and one 
failure with on-demand authentication, the policy counts three failed attempts and 
locks the user's account.
Self-Service Troubleshooting Policy
on page 96. The self-service troubleshooting 
policy allows Self-Service Console users to troubleshoot routine authentication 
problems if they cannot access protected resources using primary methods, such as 
passwords or passcodes. This policy defines an alternative form of authentication, 
such as security questions, used to access the troubleshooting feature. The policy also 
specifies the circumstances that lock a user out of the troubleshooting feature.
Risk-Based Authentication Policies
on page 98. Risk-based authentication (RBA) 
policies contain all RBA settings, including the minimum assurance level that is 
required for logon, and the identity confirmation methods that can increase the 
assurance level of a logon request.
80
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
Risk-Based Authentication Message Policy
on page 101. The RBA message policy 
defines the message that users receive when they are challenged to configure their 
identity confirmation method.
Workflow Policy
on page 256. Workflow policies determine how user requests are 
handled. They apply to the entire deployment. Each user request is governed by one 
workflow policy. 
Token Policy
A token policy defines users’ RSA SecurID PIN lifetime and format, and fixed 
passcode lifetime and format, as well as how a deployment handles users or 
unauthorized people who enter a series of incorrect passcodes. A passcode is a 
SecurID PIN + a tokencode. The tokencode is the number displayed on the front of a 
SecurID token.
You assign token policies to security domains. The token policy applies to all users 
assigned to that security domain.
When a user authenticates with a token, the token policy being enforced belongs to the 
users’ security domain, rather than to the token’s security domain. For example, if a 
user assigned to the New York security domain authenticates with a token assigned to 
the Boston security domain, the token policy of the New York security domain 
dictates policy requirements.
When you edit a token policy, existing PINs and fixed passcodes are not validated 
against the excluded words dictionary and history requirements. They are, however, 
validated against all other policy requirements.
Token policies assigned to upper-level security domains are not inherited by 
lower-level security domains. For example, if you assign a custom policy to the 
top-level security domain, all new security domains that you create below it in the 
hierarchy are still assigned the default token policy.
You need to balance security needs with consideration of what is reasonable to expect 
from users. Requiring a long PIN may be counterproductive and hard to remember, 
locking more users out of the network and generating calls to the Help Desk.
Documents you may be interested
Documents you may be interested