4: Configuring Authentication Policies
91
RSA Authentication Manager 8.1 Administrator’s Guide
Maximum Lifetime
The maximum amount of time a user can keep a 
password before being required to change it. For 
example, suppose this field is set to 90 days. If users 
change their password on June 1, they must change it 
again on August 30.
Setting this field prevents users from indefinitely 
keeping the same password, which increases the 
likelihood that it might be guessed by an unauthorized 
person trying to access your network.
Minimum Lifetime
The minimum amount of time that a password must 
exist before the user can change it. For example, 
suppose the minimum password lifetime is set to 14 
days. If users change their passwords on June 15, they 
cannot change it again until June 29.
Setting this field prevents users from circumventing 
restrictions on the reuse of old passwords that you may 
have set. For example, suppose you restrict users from 
reusing their five most recent passwords. This field 
prevents them from immediately changing their 
password six times so they can reuse a particular 
password.
Restrict Re-Use
Prevents users from reusing a small set of passwords. 
For example, suppose you restrict the last twenty 
passwords, and the last twenty passwords are 
“password1,” “password2,” “password3,” up to 
“password20.” Users cannot enter those twenty 
passwords.
Reusing the same passwords increases the likelihood 
that an unauthorized person may guess a password, 
especially if the passwords are all similar, for example, 
“favoritepet1” or “favoritepet11.”
Restrictions force users to move beyond the passwords 
that they are most comfortable with (for example, a 
pet’s name or child’s birthday), and choose more secure 
passwords.
Minimum Length
Prevents users from creating passwords that are too 
short and easily guessed by an unauthorized person 
attempting to access your network.
Maximum Length
Prevents users from creating passwords that are too 
long and difficult for authorized users to remember.
Password Policy Setting
Description
Convert pdf to powerpoint online no email - software control dll:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf to powerpoint online no email - software control dll:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
92
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
Excluded Characters
You can configure Authentication Manager to exclude 
up to 50 characters, including a blank space, from use in 
passwords. The initial password policy excludes @ and 
~ by default. You can change the excluded characters 
for this and any other policy.
Excluded Words Dictionary
A record of words that users cannot use as passwords. It 
includes commonly used words that are likely to be 
included as part of any dictionary attacks on the system, 
for example, “password.” The excluded words 
dictionary prevents users from using common, and 
therefore, easily guessed words as passwords. 
You can upload an excluded words dictionary into 
Authentication Manager. The maximum file size for an 
excluded words dictionary is 20 MB. A deployment can 
only have one excluded words dictionary. If a password 
dictionary is already installed, you must delete it before 
adding a new one.
For instructions to add a password dictionary, see the 
Security Console Help topic “Add a Password 
Dictionary.”
Character Requirements
Requiring specific characters in passwords can make 
guessing the password more difficult, particularly when 
the required characters are not alphanumeric.
Dictionary attacks on your system, in which 
unauthorized users use software to systematically enter 
all words in a dictionary in an attempt to guess valid 
passwords, are rendered less effective when passwords 
contain special characters.
For example, the password “maryland” is more likely to 
be included in a dictionary attack than “mary%land” or 
“mary**land.”
You can require the following types of characters:
• Alphabetic
• Uppercase
• Lowercase
• Numeric
• Special
Password Policy Setting
Description
software control dll:RasterEdge.com General FAQs for Products
Q3: Why there's no license information in my it via the email which RasterEdge's online store sends powerful & profession imaging controls, PDF document, image
www.rasteredge.com
software control dll:RasterEdge Product License Agreement
is active, you may contact RasterEdge via email. permitted by applicable law, in no event shall powerful & profession imaging controls, PDF document, tiff
www.rasteredge.com
4: Configuring Authentication Policies
93
RSA Authentication Manager 8.1 Administrator’s Guide
Add a Password Policy
In a replicated deployment, changes to policies might not be immediately visible on 
the replica instance. This delay is due to the cache refresh interval. Changes should 
replicate within 10 minutes. To make changes take effect sooner on the replica 
instance, see Flush the Cache
on page 376.
Procedure
1. In the Security Console, click Authentication > Policies > Password Policies > 
Add New.
2. Under Password Policy Basics, do the following:
a. In the Password Policy Name field, enter a unique name for the new 
password policy. Do not exceed 128 characters.
b. (Optional) To require users to use only system-generated passwords, select 
Require users to use system-generated passwords.
c. (Optional) To designate this policy as the default policy, select Set as the 
default password policy. When this option is selected, new security domains 
use this password policy.
3. Under Lifetime, do one of the following:
a. Clear the default setting Require periodic password changes, and go to step 
c.
b. Leave the default setting Require periodic password changes selected, and 
specify the following options: 
– For Maximum Lifetime, specify how long a password can be used.
– For Minimum Lifetime, specify how long users must wait before 
changing a password. Specifying a minimum lifetime prevents users from 
bypassing re-use restrictions by immediately changing their passwords.
c. To prevent users from using a password they have used previously, select 
Restrict Re-use. You can specify the number of previous passwords that 
cannot be used or prevent any previous passwords from being used again.
4. Under Format, do the following:
a. In the Minimum Length field, enter the minimum number of characters 
required in a password. The default is 8.
b. In the Maximum Length field, enter the maximum number of characters 
allowed in a password. The default is 32.
c. (Optional) In the Excluded Characters field, enter any characters that you do 
not want to allow users to include in passwords. You can specify up to 50 
excluded characters.
software control dll:VB.NET Create PDF from Excel Library to convert xlsx, xls to PDF
VB.NET How-to, VB.NET PDF, VB.NET Word, VB.NET Excel, VB.NET PowerPoint, VB.NET Tiff, VB.NET Imaging, VB.NET OCR, VB.NET Convert Excel to PDF document free
www.rasteredge.com
software control dll:C# Create PDF from Excel Library to convert xlsx, xls to PDF in C#
or no border. Free online Excel to PDF converter without email. Quick integrate online C# source code into .NET class. C# Demo Code: Convert Excel to PDF in
www.rasteredge.com
94
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
d. From the Excluded Words Dictionary drop-down list, select which excluded 
words dictionary that you want to use. This dictionary contains a list of 
prohibited passwords.
e. (Optional) In the Character Requirements fields, enter the minimum 
number of each character type required for a valid password.
5. Click Save.
Lockout Policy
A lockout policy defines how many failed logon attempts users can make before 
Authentication Manager locks their account, and how the account can be unlocked: 
either automatically or by administrator intervention. You assign lockout policies to 
security domains. This policy applies to all users assigned to that security domain.
When you set up Authentication Manager, a default lockout policy is automatically 
created. The default lockout policy locks the user out after five consecutive 
unsuccessful authentication attempts within one day and requires administrator 
intervention to unlock a user account. You can edit this policy, or create a custom 
lockout policy and designate it as the default. You can also assign custom policies to 
individual security domains
Lockout policies assigned to upper-level security domains are not inherited by 
lower-level security domains. For example, if you assign a custom policy to the 
top-level security domain, all new security domains that you create below it in the 
hierarchy still use the default lockout policy.
Lockout policies apply to all logon attempts regardless of how many different 
authentication methods a user uses to authenticate. The methods include tokens, fixed 
passcodes, password-based authentication to the Security Console or Self-Service 
Console, on-demand tokencodes, and risk-based authentication. For example, if a user 
has two failures with a software token and one failure with a hardware token, that 
counts as three failed attempts.
Lockout Policy Settings
The following table describes the lockout policy settings.
Lockout Policy Setting
Description
Lockout Policy Name
A unique name from 1 to 128 characters.
Default Policy
An optional field that designates the new policy as the 
default policy for the deployment. When this option is 
selected, new security domains use this lockout policy 
unless a custom policy is assigned to the security 
domain.
Notes
A field to record any notes.
software control dll:VB.NET Image: RasterEdge JBIG2 Codec Image Control for VB.NET
The encoded images in PDF file can also be viewed and processed online through our VB.NET PDF web viewer. No, image quality will not degrade.
www.rasteredge.com
software control dll:C#: Frequently Asked Questions for Using XDoc.HTML5 Viewer for .
If you have additional questions or requests, please send email to support@rasteredge. com. The site configured in IIS has no permission to operate.
www.rasteredge.com
4: Configuring Authentication Policies
95
RSA Authentication Manager 8.1 Administrator’s Guide
Add a Lockout Policy
In a replicated deployment, changes to policies might not be immediately visible on a 
replica instance. This delay is due to the fact that policy data is cached for 10 minutes. 
For instructions on minimizing the delay so that changes take effect sooner on a 
replica instance, see Flush the Cache
on page 376.
Procedure
1. In the Security Console, click Authentication > Policies > Lockout Policies > 
Add New.
2. In the Lockout Policy Name field, enter a unique name for the new lockout 
policy. Do not exceed 128 characters.
3. (Optional) To make this the default policy for all new security domains, and for 
any existing security domains already assigned the default policy, select Default 
Policy.
4. In the Lock User Accounts field, specify whether you want to allow users 
unlimited failed authentications, or limit the number of failed authentications 
allowed before they are locked out. By default, the system locks accounts after 
five consecutive authentication attempts fail within one day. 
5. To limit the number of failed authentications, use the Unlock field to specify that 
you want the system to automatically unlock users after a specified amount of 
time, or that locked out users must be unlocked by an administrator. The default is 
Administrators unlock user accounts. 
6. Click Save.
Lock User Accounts
Specifies whether you want to allow users unlimited 
failed authentications, or limit the number of failed 
authentications before users are locked out. By default, 
the system locks accounts after five consecutive 
authentication attempts fail within one day. 
Unlock
When a user is locked out of the deployment, the 
lockout policy governs how a user is re-enabled. If the 
policy is configured to automatically unlock the user 
account, the locked out user is re-enabled after a 
specified amount of time elapses. The time is specified 
in the lockout policy. If the policy is configured so that 
locked-out users must be unlocked by an administrator, 
the user remains locked out until an administrator 
explicitly re-enables the user.
Lockout Policy Setting
Description
software control dll:C# Tiff Convert: How to Convert Dicom to Tiff Image File
If you need to convert and change one image to another image in C# program, there would be no need for RasterEdge.XDoc.PDF.dll. RasterEdge.XDoc.PowerPoint.dll.
www.rasteredge.com
software control dll:RasterEdge Product License Options
Among all listed products on purchase page, Twain SDK has no Server License and only SDK To know more details or make an order, please contact us via email.
www.rasteredge.com
96
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
Self-Service Troubleshooting Policy
The self-service troubleshooting feature allows Self-Service Console users to 
troubleshoot routine authentication problems when they cannot access protected 
resources using primary methods, such as passwords or passcodes. 
The self-service troubleshooting policy defines an alternative form of authentication, 
such as security questions, used to access the Troubleshooting feature. The policy also 
specifies the circumstances that lock a user out of the Troubleshooting feature.
You must select one of the following methods to unlock users: 
• System automatically unlocks user accounts after a specified amount of time
• Administrators unlock user accounts manually
You can manually unlock a user’s account at any time.
You assign these policies to security domains. The policy applies to all users assigned 
to the security domain.
Self-service troubleshooting policies assigned to upper-level security domains are not 
inherited by lower-level security domains. For example, if you assign a custom policy 
to the top-level security domain, all new security domains that you create below it in 
the hierarchy are still assigned the default self-service troubleshooting policy.
Self-service troubleshooting policies allow you to define secondary authentication 
methods. A secondary authentication method allows a user to access the Self-Service 
Console even if the primary authentication method is not working. 
Important: 
Self-service troubleshooting policies only determine the lockout criteria 
for the self-service troubleshooting feature. To set lockout requirements for the 
Self-Service Console, Security Console, and resources protected by Authentication 
Manager, see the Security Console Help topic “Lockout Policy.”
Self-service troubleshooting policies apply to all logon attempts regardless of how 
many different tokens a user uses to authenticate. For example, if a user has two 
unsuccessful attempts with a software token and one unsuccessful attempt with a 
hardware token, that counts as three unsuccessful attempts.
Self-Service Troubleshooting Policy Settings
The following table describes the Self-Service troubleshooting policy settings.
Self-Service Troubleshooting 
Policy Setting
Description
Self-Service Troubleshooting 
Policy Name
A unique name from 1 to 128 characters.
Default Policy
An optional field that designates the new policy as the 
default policy for the deployment. When this option is 
selected, new security domains use this Self-Service 
troubleshooting policy.
4: Configuring Authentication Policies
97
RSA Authentication Manager 8.1 Administrator’s Guide
Add a Self-Service Troubleshooting Policy
In a replicated deployment, changes to policies might not be immediately visible on 
the replica instance. This delay is due to the cache refresh interval. Changes should 
replicate within 10 minutes. For instructions to make changes take effect sooner on the 
replica instance, see Flush the Cache
on page 376.
Procedure
1. In the Security Console, click Authentication > Policies > Self-Service 
Troubleshooting Policies > Add New.
2. In the Self-Service Troubleshooting Policy Name field, enter the policy name. 
Use a unique name, and do not exceed 128 characters.
3. (Optional) To designate the new policy as the default policy for the system, select 
Default Policy. When this option is selected, new security domains use this 
policy.
4. (Optional) Select the Authentication Method with which users authenticate if 
they cannot use their primary authentication method.
Notes
A field to record any notes.
Authentication Method
Specifies the mode in which users will authenticate if 
they have trouble with their primary authentication 
method. Selecting “Security Questions” requires users 
to answer security questions upon enrollment or when 
they first access the Self-Service Security Console.
Lock User Accounts
Controls the number of failed authentication attempts a 
user is permitted to the Self-Service Console. You can 
allow an unlimited number of failed attempts, or a 
specified number of failed attempts within a specified 
number of days, hours, minutes, or seconds. After the 
number has been reached, this policy locks the user's 
account. 
Unlock
When a user is locked out of the Self-Service Console, 
the lockout policy governs how a user is re-enabled. If 
the policy is configured to automatically unlock the 
user account, the locked out user is re-enabled after a 
specified amount of time elapses. If the policy is 
configured so that locked-out users must be unlocked 
by an administrator, the user remains locked out until an 
administrator explicitly re-enables the user.
Self-Service Troubleshooting 
Policy Setting
Description
98
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
5. The Lock User Accounts field controls the number of unsuccessful 
authentication attempts a user is permitted to make to the Self-Service 
Troubleshooting feature. You can allow an unlimited number of unsuccessful 
attempts, or a specified number of unsuccessful attempts within a specified 
number of days, hours, minutes, or seconds. After the number has been reached, 
this policy locks the user's account out of the troubleshooting feature.
6. In the Unlock field, you can either require administrators to unlock accounts after 
users have exceeded the limit specified in the Lock User Accounts field, or you 
can allow the system to automatically unlock accounts after a specified number of 
days, hours, minutes, or seconds.
7. Click Save.
Risk-Based Authentication Policies
To use RBA in your deployment, you must create an RBA policy, or edit the default 
policy, and associate the policy with a security domain. A policy can be associated 
with multiple security domains. For more information, see Add a Risk-Based 
Authentication Policy
on page 99.
Risk-Based Authentication (RBA) Policy Settings
You use the Security Console to define a risk-based authentication (RBA) policy for a 
security domain. An RBA policy includes the following settings.
Risk-Based Authentication 
Policy Setting
Description
RBA Policy Name
A unique name from 1 to 128 characters.
Default Policy
Sets the default RBA policy for the deployment.
Notes
A field to record any notes.
Automatic Enablement
Determines whether the system automatically enables 
users for RBA during the first successful authentication to 
an RBA-protected resource.
Minimum Assurance Level
The confidence threshold that each authentication attempt 
must meet to avoid being challenged for identity 
confirmation.
Note: 
If you increase the minimum assurance level, the 
system provides greater identity assurance, but users are 
more likely to be prompted for identity confirmation.
4: Configuring Authentication Policies
99
RSA Authentication Manager 8.1 Administrator’s Guide
Add a Risk-Based Authentication Policy
Risk-based authentication (RBA) is a multifactor authentication solution that 
strengthens traditional password-based systems by applying knowledge of the client 
device and user behavior to assess the potential risk of an authentication request. The 
RBA policy determines how RBA works in each security domain.
In a replicated deployment, changes to policies might not be immediately visible on 
the replica instance. This delay is due to the cache refresh interval. Changes should 
replicate within 10 minutes. To make changes take effect sooner on the replica 
instance, see Flush the Cache
on page 376.
Before You Begin
Understand the concept of minimum assurance level. For more information, see 
Minimum Assurance Level
on page 278.
Procedure
1. In the Security Console, click Authentication > Policies > Risk-Based 
Authentication Policies > Add New.
2. Under RBA Policy Basics, do the following:
a. In the RBA Policy Name field, enter a unique policy name. Do not exceed 
128 characters.
b. (Optional) If you want to make this the default RBA policy for the 
deployment, select Set as default RBA policy.
c. (Optional) Add any notes in the Notes field.
Silent Collection Period
Allows the system to establish a baseline authentication 
history for RBA users during a specified period of time. 
During silent collection, the system registers the users 
authentication device automatically, and does not require 
the user to use an identity confirmation method.
Identity Confirmation Methods
Methods that can be used to provide identity confirmation 
during logon.
New Device Registration
Determines the system response to unregistered 
authentication devices. 
Total Registered Devices
Maximum number of registered devices preserved in each 
user’s device history. If the number of registered devices 
exceeds the limit, the nightly cleanup job deletes the least 
recently used devices.
Unregister Devices
Length of time an inactive authentication device remains 
in the user device history.
Risk-Based Authentication 
Policy Setting
Description
100
4: Configuring Authentication Policies
RSA Authentication Manager 8.1 Administrator’s Guide
3. Under Enablement and Assurance Settings, do the following:
a. (Optional) If you want to automatically enable users for RBA after successful 
authentication, select Allow system to enable users for RBA automatically 
during authentication in the Automatic Enablement field.
b. In the Minimum Assurance Level field, select the assurance level that is 
required to authenticate without prompting for identity confirmation. The 
system determines the assurance level of each authentication attempt based on 
the user’s profile, authentication device, and authentication history. The 
higher the level, the greater the chance that the user will be prompted for 
identity confirmation. The default setting is Medium.
Note: 
Changing this setting may affect how often users are prompted to 
confirm their identity.
4. Under Device Registration and Identity Confirmation Settings, do the 
following:
a. For Silent Collection Period, do one of the following:
• To enable silent collection, select Allow silent collection. Enter the 
number of days to enable silent collection for each user.
• To disable silent collection, select Do not allow silent collection. This is 
the default setting.
b. For Identity Confirmation Methods, select the methods to make available to 
users if an authentication request does not meet the minimum assurance level. 
You must select at least one method. If you select two methods, the user 
chooses which method to use.
c. For New Device Registration, select one of the following to register a user's 
device.
• To add a device automatically, select Register the user authentication 
device automatically after successful authentication.
• To allow the user to choose whether to add a device to the device history, 
select Prompt the user to choose whether the system registers the 
device after successful authentication. This is the default setting.
Important: 
Select this option if users will access RBA-protected resources 
from shared or public computers.
5. Under Device Administration Settings, do the following:
a. In the Total Registered Devices field, enter the maximum number of 
registered devices preserved in each user’s device history. If the number of 
registered devices exceeds the limit, the nightly cleanup job deletes the least 
recently used devices.
b. In the Unregister Devices field, enter the number of consecutive days that a 
device can remain inactive before the system removes it from the user device 
history.
6. Click Save.
Documents you may be interested
Documents you may be interested