4: Configuring Authentication Policies
81
RSA Authentication Manager 8.1 Administrator’s Guide
Token Policy Settings
The following table describes the token policy settings.
Token Policy Setting
Description
SecurID Token Policy Name
A unique name from 1 to 128 characters.
Incorrect Passcodes
Specifies how to handle situations where a user enters a 
number of incorrect passcodes before finally entering a 
correct passcode.
You can allow users to enter a limited or unlimited 
number of incorrect passcodes. When the limit is 
exceeded and followed by a correct passcode, users are 
prompted to enter the next tokencode that displays on 
their tokens.
This guards against situations in which an unauthorized 
person attempts to guess a passcode. In such a case, 
even if the person guessed a correct passcode, he or she 
is prompted for the next tokencode and has only one 
chance to enter it correctly. If the person enters the next 
tokencode incorrectly, authentication fails.
You can allow unlimited incorrect passcodes. Do this if 
you never want users to be prompted to enter their next 
tokencode, regardless of how many incorrect passcodes 
they enter before finally entering one correctly. Be 
aware, however, that if the lockout policy assigned to 
the security domain is set to lock users out after a 
specified number of failed authentications, when the 
user exceeds this limit, the user is locked out. See 
Password Policy
on page 89.
Default Policy
Designates the new policy as the default policy for the 
deployment. This security policy is then applied to all 
security domains in the deployment where SecurID 
Token Policy is set to Always Use Default. You can 
override the default policy at the individual security 
domain level.
Notes
Records any notes.
Periodic Expiration
An optional setting if you want to require users to 
change their SecurID PINs after a specified length of 
time. This enables the Maximum and Minimum 
Lifetime fields.
Pdf to ppt converter online for large - application control utility:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Pdf to ppt converter online for large - application control utility:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
82
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
Maximum Lifetime
A fixed passcode can be used instead of a PIN and 
tokencode to authenticate. Fixed passcodes are not 
recommended because they eliminate the advantages of 
two-factor authentication. This setting determines the 
maximum amount of time that a user can keep a fixed 
passcode before being required to change it. For 
example, suppose the maximum fixed passcode lifetime 
is set to 90 days. If users change their fixed passcode on 
June 1, they must change it again on August 30.
This setting prevents users from indefinitely keeping 
the same fixed passcode, which increases the likelihood 
that it might be guessed by an unauthorized person 
trying to access your network.
Minimum Lifetime
The minimum amount of time that a fixed passcode can 
exist before the user can change it. For example, 
suppose the minimum lifetime is set to 14 days. If users 
change their fixed passcode on June 15, they cannot 
change it again until June 29.
This setting prevents users from circumventing 
restrictions on reusing old fixed passcodes that may 
have previously been set. For example, suppose you 
restrict users from reusing their five most recent fixed 
passcodes. The minimum fixed passcode lifetime 
prevents users from immediately changing their fixed 
passcode six times so that they can reuse a particular 
fixed passcode.
Restrict Reuse
Prevents users from using the same two or three fixed 
passcodes repeatedly. For example, if you restrict the 
last three fixed passcodes, users cannot enter those 
three fixed passcodes and must choose another.
Reusing the same fixed passcodes increases the 
likelihood that an unauthorized person may guess a 
fixed passcode, especially if the fixed passcodes are all 
similar.
The restriction forces users to move beyond those 
couple of fixed passcodes that they are most 
comfortable with, and choose more secure fixed 
passcodes.
Token Policy Setting
Description
application control utility:VB.NET PowerPoint: Sort and Reorder PowerPoint Slides by Using VB.
Thus, we still offer the precise online guide for a large amount of robust PPT slides/pages provide powerful & profession imaging controls, PDF document, image
www.rasteredge.com
application control utility:C# TIFF: TIFF Editor SDK to Read & Manipulate TIFF File Using C#.
Handle large size of Tiff in partition, reducing the resource 2. Word/Excel/PPT/PDF/ Jpeg to Tiff conversion. Refer to this online tutorial page, you will see:
www.rasteredge.com
4: Configuring Authentication Policies
83
RSA Authentication Manager 8.1 Administrator’s Guide
PIN Creation Method
Selects the method by which SecurID PINs are 
generated. SecurID PINs can be system-generated or 
users can create their own PINs.
Note: 
RSA RADIUS does not allow system-generated 
PINs by default. If you allow system-generated PINs, 
authentications will fail unless you change the RADIUS 
configuration file, securid.ini, to allow 
system-generated PINs. For instructions, see Password 
Policy
on page 89.
Minimum Length
Prevents users from creating PINs that are too short and 
susceptible to brute force attacks.
Maximum Length
Prevents users from creating PINs that result in 
passcodes longer than the agent can accept. When you 
configure this field, make sure that your agent can 
accept the longest possible passcode.
Excluded Words Dictionary
A list of words that users cannot use as PINs. It includes 
common words that are likely to be included as part of 
any dictionary attacks on the system, for example, 
“password.” The excluded words dictionary prevents 
users from using common, and therefore, easily guessed 
words as PINs. 
You can upload an excluded words dictionary into 
Authentication Manager. The maximum file size for an 
excluded words dictionary is 20 MB. A deployment can 
only have one excluded words dictionary. If a 
dictionary is already installed, you must delete it before 
adding a new one.
For instructions, see the Security Console Help topic 
“Add a Password Dictionary.”
Character Requirements
Requiring specific characters makes it more difficult to 
guess the fixed passcode.
You can require alphabetic and numeric characters. You 
can also require a specific number of alphabetic or 
numeric characters.
Copy Settings from SecurID PIN 
Lifetime (Fixed Passcode)
Specifies whether you want the fixed passcode lifetime 
settings to be the same as the SecurID PIN settings, or 
whether you want to specify different settings.
Copy Settings from SecurID PIN 
Format (Fixed Passcode)
Specifies whether you want the fixed passcode format 
settings to be the same as the SecurID PIN settings, or 
whether you want to specify different settings.
Token Policy Setting
Description
application control utility:VB.NET Excel: Render and Convert Excel File to TIFF Image by Using
If you need the most comprehensive overview on VB.NET Excel converter add-on, please go If you want to view or edit PDF, Word, Excel or PPT document, you
www.rasteredge.com
application control utility:C# Imaging - Decode Identcode in C#.NET
Own advanced Identcode barcode reading functionality for C# PDF,Word, Excel & PPT editing projects. decode is located at one corner of a large-size image
www.rasteredge.com
84
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
Add a Token Policy
A token policy determines the lifetime and format of RSA SecurID PINs and fixed 
passcodes, as well as how to handle users who enter incorrect passcodes.
In a replicated deployment, changes to policies might not be immediately visible on 
the replica instance. This delay is due to the cache refresh interval. Changes should 
replicate within 10 minutes. For instructions to make changes take effect sooner on the 
replica instance, see Flush the Cache
on page 376.
Procedure
1. In the Security Console, click Authentication > Policies > Token Policies > Add 
New.
2. In the SecurID Token Policy Name field, enter a unique name with 1 to 128 
characters. The characters & % > < ‘ are not allowed.
3. For Incorrect Passcodes, specify how the system responds when a user enters an 
incorrect passcode.
You can allow users to enter a limited or unlimited number of incorrect passcodes. 
When the limit is exceeded and followed by a correct passcode, users are 
prompted to enter the next tokencode that displays on their tokens.
This setting guards against an unauthorized person attempting to guess a 
passcode. Even if the person guesses a correct passcode, he or she is prompted for 
the next tokencode and given only one chance to enter it correctly. If the person 
enters the next tokencode incorrectly, the user account is locked.
4. For Default Policy, select Set as default SecurID token policy if you want to 
designate the new policy as the default policy for the deployment. This security 
policy is applied to all security domains in the deployment where SecurID Token 
Policy is set to Always Use Default. You can override the default policy for each 
security domain. 
Emergency Access Code Character 
Requirements
Emergency access tokencodes and passcodes are used 
to temporarily replace an assigned SecurID token or 
SecurID PIN if the user does not have access to his 
token or has forgotten his PIN. Required characters are 
included in each passcode and tokencode that is 
generated. You may require the following types of 
characters:
• Numeric
• Alphabetic
• Special
Token Policy Setting
Description
application control utility:C# Imaging - Scan 1D POSTNET in C#.NET
C#.NET PDF document SDK. Seamlessly integrated with C#.NET MS Word, Excel and PPT documents SDK. Quickly scan POSTENT barcode from images in high-quality. Large
www.rasteredge.com
4: Configuring Authentication Policies
85
RSA Authentication Manager 8.1 Administrator’s Guide
5. (Optional) For Periodic Expiration, select Require periodic SecurID PIN 
changes if you want to require users to change their SecurID PINs after a 
specified length of time. If you select this option, specify the following:
• For Maximum Lifetime, specify how often SecurID PINs must be changed.
• For Minimum Lifetime, specify how long users must wait between SecurID 
PIN changes. This prevents users from bypassing the Restrict Re-use 
specification by repeatedly changing their SecurID PINs.
6. (Optional) For Restrict Reuse, specify the number of recent SecurID PINs a user 
is restricted from reusing.
7. For PIN Creation Method, select the method by which SecurID PINs are 
generated. You can choose that SecurID PINs be system-generated or allow users 
to create their own PINs. 
Note: 
RSA RADIUS does not allow system-generated PINs by default. If you 
allow system-generated PINs, authentications will fail unless you change the 
RADIUS configuration file, securid.ini, to allow system-generated PINs. For 
instructions, see the Operations Console Help topic “Edit RADIUS Server Files.”
8. For Minimum Length, specify the minimum number of characters that a SecurID 
PIN can contain.
9. For Maximum Length, specify the maximum number of characters that a 
SecurID PIN can contain.
10. (Optional) If you want certain words to be disallowed as PINs, select a dictionary 
from the Excluded Words Dictionary drop-down list. 
For more information on the Excluded Words Dictionary, see 
the Security Console 
Help topic “Add a Password Dictionary.”
11. For Character Requirements, specify whether the SecurID PIN must be numeric 
or alphanumeric and the minimum number of each character type required for a 
valid SecurID PIN.
12. Under Fixed Passcode Lifetime, do one of the following:
• Select Use same settings from SecurID PIN if you want the fixed passcode 
and SecurID PIN lifetime settings to be the same. 
• Select Define separate settings if you want to specify different lifetime 
settings for the fixed passcode, and specify the differences.
13. Under Fixed Passcode Format, do one of the following:
• Select Use same settings from SecurID PIN if you want the fixed passcode 
and SecurID PIN format settings to be the same. 
• Select Define separate settings if you want to specify different format 
settings for the fixed passcode, and specify the length, dictionary, and 
character requirements.
14. Under Emergency Access Code Format, specify the types of characters that you 
want to include in emergency access codes.
15. Click Save.
86
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
Offline Authentication Policy
An offline authentication policy defines the way users authenticate when they are not 
connected to the network.
Offline authentication extends RSA SecurID authentication to users when the 
connection to RSA Authentication Manager is not available (for example, when users 
work away from the office or when network conditions make the connection 
temporarily unavailable).
An offline authentication policy is assigned to each security domain. A deployment 
can have multiple offline authentication policies.
Two policies can conflict if the user is in one security domain and the agent (their 
computer) is in a different security domain, and the security domains have different 
offline authentication policies. 
RSA does not recommend offline authentication for the following authenticators:
• PINPad or software tokens
• Tokens that do not require PINs
• Fixed passcodes
These authenticators are likely to contain fewer characters than required by the 
minimum offline passcode length setting. You can override this setting to explicitly 
allow offline authentication using these authenticators.
Offline Authentication Policy Settings
The following table describes the password policy settings.
Offline Authentication Policy 
Setting
Description
Offline Authentication Policy 
Name
A unique name from 1 to 128 characters.
Offline Authentication
Allows users to authenticate with their tokens when 
their computer is not connected to the network.
4: Configuring Authentication Policies
87
RSA Authentication Manager 8.1 Administrator’s Guide
Windows Password Integration
Integrates RSA SecurID into the Windows password 
logon process. Users provide their Windows logon 
passwords only during initial online authentication. 
Passwords are then stored with the users’ authentication 
data in the internal database and, for offline 
authentication, in the offline data.
During subsequent authentications, users enter only 
their user names and SecurID passcodes. The 
Authentication Manager gets the Windows password 
from Authentication Manager and passes it to the 
Windows logon system.
• Enable Windows Password Integration - You enable 
Windows password integration on the Add Offline 
Authentication Policy and Edit Offline 
Authentication Policy pages in the Security Console.
• Remove Windows Password Integration - To clear 
the cached copy of a user’s Windows credential, clear 
the Windows Password Integration checkbox on the 
Assigned SecurID Tokens & Authentication 
Attributes page in the Security Console. When you 
clear this checkbox, the user must enter his or her 
Windows password the next time he or she logs on.
Default Policy
An optional field that designates the new policy as the 
default policy for the deployment. When this option is 
selected, new security domains use this offline 
authentication policy.
Notes
A field to record any notes.
Minimum Passcode Length
Adjusts the cryptographic strength of the offline 
authentication policy. RSA recommends that the 
minimum passcode length setting be at least twelve 
characters. For example, if your RSA SecurID tokens 
display six characters, require users to specify PINs that 
are at least six characters.
To download offline data, the user’s passcode (PIN + 
tokencode) length must be 8 to 16 characters.
Offline Authentication Policy 
Setting
Description
88
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
Add an Offline Authentication Policy
An offline authentication policy defines the way users authenticate when they are not 
connected to the network. In a replicated deployment, changes to policies might not be 
immediately visible on the replica instance. This delay is due to the cache refresh 
interval. Changes should replicate within 10 minutes. If you want to make changes 
take effect sooner on the replica instance, see Flush the Cache
on page 376.
Important: 
Any changes made to an offline policy cause all previously generated 
offline data to be discarded and regenerated.
Procedure
1. In the Security Console, click Authentication > Policies > Offline 
Authentication Policies > Add New.
2. In the Offline Authentication Policy Name field, enter a unique name from 1 to 
128 characters.
3. (Optional) If you want this policy to allow offline authentication, select Enable 
Offline Authentication. This allows users to authenticate with their tokens when 
their computers are not connected to the network.
4. (Optional) To allow Authentication Manager to automatically provide the user's 
Windows Login Password with a successful SecurID authentication, select 
Enable Windows password integration.
5. (Optional) If you want this policy to be the default offline authentication policy, 
select Set as default offline authentication policy. The default policy is applied 
to all new security domains.
6. From the Minimum Online Passcode Length drop-down menu, select the 
minimum length of the passcode (PIN + tokencode) a user must enter to download 
days of offline data.
7. (Optional) PINPad tokens, software tokens, and tokens that do not require PINs 
are likely to contain less characters than required by the minimum offline 
passcode length setting. RSA recommends that you do not allow offline 
authentication with these types of tokens. You can however, use the Allow Offline 
Authentication Using field to override the minimum length setting for users that 
authenticate with any of these tokens.
8. (Optional) Select the Allow offline emergency codes to be generated checkbox 
if you want RSA Authentication Manager to generate offline emergency codes for 
users.
4: Configuring Authentication Policies
89
RSA Authentication Manager 8.1 Administrator’s Guide
9. Select the type of offline emergency codes that you want to generate: 
• Offline emergency tokencodes. Generate these for users who have 
misplaced their tokens. Users must enter their PIN followed by the emergency 
tokencode to gain entry to their computers. 
• Offline emergency passcodes. Generate these only for users who have 
forgotten their PINs and need a full passcode. In such cases, make sure you 
properly identify the users before providing them with emergency passcodes. 
Because emergency passcodes enable authentication without a PIN, RSA 
recommends that you use emergency tokencodes instead. 
10. In the Lifetime field, enter the length of time, in days, for which emergency codes 
are valid. The default is thirty days.
11. In the Maximum Days of Offline Data field, enter the amount, in days, of offline 
data that you want to allow users to download.
12. In the Days of Offline Data Warning field, specify the number of remaining days 
of offline authentication data that triggers a warning to users. The default is seven 
days. Users who receive the warning must reconnect to the network and replenish 
their supply of offline logon days. If users run out of offline logon days, they must 
contact an administrator. 
13. In the Offline Authentication Failures field, enter the number of allowable failed 
offline authentication attempts before users must use an emergency code to gain 
entry to their computers.
14. (Optional) Select the Offline Logging checkbox if you want authentication log 
entries uploaded to Authentication Manager when the user reconnects to the 
network.
15. Click Save.
Password Policy
A password policy defines users’ password length, format, and frequency of change. 
You assign password policies to security domains. The policy applies to all users who 
are assigned to that security domain. Note that user password policies do not apply to 
Operations Console administrators. 
All RSA Authentication Manager users must have a password as part of their user 
record. If you use the Authentication Manager internal database as your identity 
source, the password is stored in the internal database. 
Password characteristics are controlled by password policies. 
Authentication Manager password policies only apply to users in the internal 
database. When users are stored in an LDAP directory, the directory password policy 
applies.
When you set up Authentication Manager, a default password policy is automatically 
created. You can edit this policy, or create a custom password policy and designate it 
as the default.
90
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
One password policy is always designated as the default policy. When you create new 
security domains, Authentication Manager automatically assigns the default password 
policy to the new security domains. You can use the default password policy or assign 
a custom policy to each security domain.
Password policies assigned to upper-level security domains are not inherited by 
lower-level security domains. For example, if you assign a custom policy to the 
top-level security domain, all new security domains that you create below it in the 
hierarchy are still assigned the default password policy.
Enabling system-generated passwords requires users to use passwords generated by 
Authentication Manager according to the password policy applied to the users’ 
security domain.
Enabling this option ensures that users’ passwords are random and therefore less 
likely to be guessed by an unauthorized person attempting to access your network.
When users are initially assigned their password, or when their passwords expire, they 
are prompted to choose from a list of system-generated passwords when they attempt 
to use their password.
You need to balance security needs with consideration of what is reasonable to expect 
from users. Requiring a long password may be counter productive and hard to 
remember, locking more users out of the network and generating calls to the Help 
Desk.
Password Policy Settings
The following table describes the password policy settings.
Password Policy Setting
Description
Password Policy Name
A unique name from 1 to 128 characters. The characters 
& % > < are not allowed in the policy name.
System-Generated Passwords
An optional field that requires users to use only 
system-generated passwords
Default Policy
An optional field that designates the new policy as the 
default for the deployment. When this option is 
selected, new security domains use this password 
policy.
Notes
Records any notes.
Periodic Expiration
An optional setting to require users to change their 
password after a specified length of time. This enables 
the Maximum and Minimum Lifetime fields.
Documents you may be interested
Documents you may be interested