11: RSA Self-Service
251
RSA Authentication Manager 8.1 Administrator’s Guide
Customizing the Self-Service Console
You can customize the Self-Service Console to meet your business needs and to 
enhance the user experience.
Enable or Disable Self-Service Features
. Display only the features that meet your 
business needs.
Customize Self-Service Console Web Pages
. Brand the Self-Service Console with 
your logo. Customize the header text and footer text with messages to your users.
Customizing the Self-Service Console User Help
. Customize the content of the 
Self-Service Console Help file to reflect how your company uses self-service.
Enable or Disable Self-Service Features
You can customize your Self-Service deployment by enabling or disabling 
Self-Service features. For example, suppose you do not want users to recover their lost 
or forgotten passwords by themselves. You can hide the Forgot your password link, 
which allows users to change their passwords.
The following features are disabled by default:
• Allow email delivery of CT-KIP URL if user cannot scan QR Code
• Display Forgot your password link
• Display Troubleshoot SecurID token link
• Display I forgot my PIN option
All settings are global and apply to your entire deployment.
Before You Begin
RSA recommends that you carefully consider the security implications before 
enabling these features. 
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. On the Settings page, under Customization, click Enable or Disable 
Self-Service Features.
3. Under Enable or Disable Self-Service Features, select the options for features 
that you want to enable in the Self-Service Console, and clear the options for 
features that you want to disable.
4. Under Set Display Options for Self-Service Console - Home Page, select the 
display options that you want to show on the Home page of the Self-Service 
Console, and clear the options that you want to hide.
Note: 
If you clear Display Log On Section, users cannot log on from the Home 
page or view their profile information on the My Account page of the Self-Service 
Console.
Pdf change font size - Compress reduce PDF size in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
C# Code & .NET API to Compress & Decompress PDF Document
best pdf compressor; change font size in pdf fillable form
Pdf change font size - VB.NET PDF File Compress Library: Compress reduce PDF size in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
VB.NET PDF Document Compression and Decompression Control SDK
pdf custom paper size; apple compress pdf
252
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
5. Under Set Display Options for Self-Service Console - My Account Page, select 
the display options that you want to show on the My Account page of the 
Self-Service Console, and clear the options that you want to hide.
6. Under Set Display Options for Troubleshooting, select the display options that 
you want to show on Self-Service Console, and clear the options that you want to 
hide.
7. Click Save.
Next Steps
If you enabled the I Have Forgotten My Smart Card PIN or it is Blocked Option 
under Set Display Options for Troubleshooting, you must import the PIN unlocking 
keys before users can use this option. For instructions, see Clear an RSA SecurID PIN
on page142. 
Customize Self-Service Console Web Pages
You can customize the following elements of the Self-Service Console web pages and 
risk-based authentication (RBA) logon pages. 
Procedure
1. In the Operations Console, go to Deployment Configuration > Web-Tier 
Deployments > Customization.
2. On the Web Tier Customization page, do the following.
• (Self-Service Console and RBA logon pages) Select a new logo file for 
Self-Service Console and RBA logon pages. You can replace the RSA logo 
with your own. The logo file must be a .gif file that is less than 5 MB. The 
image must fit within 500 pixels wide by 50 pixels high.
• (Self-Service Console) Enter text for the header for Self-Service Console 
only. You can add some user information, such as “Welcome to the your 
company name Self-Service Console, where you can request an on-demand 
tokencode and update your user profile.”
• (Self-Service Console) Enter text for footer 1 for Self-Service Console only. 
You can add up to three lines of text.
• (Self-Service Console) Enter text for footer 2.
• (Self-Service Console) Enter text for footer 3.
3. Click Save.
Next Steps
See Update the Web-Tier
on page186.
C# PDF insert text Library: insert text into PDF content in C#.net
Powerful .NET PDF edit control allows modify existing scanned PDF text. Ability to change text font, color, size and location and output a new PDF document.
change font size in pdf; adjust size of pdf in preview
C# PDF Annotate Library: Draw, edit PDF annotation, markups in C#.
Able to edit and change PDF annotation properties such as font size or color. Abilities to draw markups on PDF document or stamp on PDF file.
reader compress pdf; best pdf compression
11: RSA Self-Service
253
RSA Authentication Manager 8.1 Administrator’s Guide
Customizing the Self-Service Console User Help
You can customize the content of the Self-Service Console Help file to reflect how 
your company uses self-service.
By editing the Self-Service Console Help HTM files, you can customize the Help to:
• Reflect any changes that you make to the Self-Service Console when editing the 
properties file.
• Add information that is specific to your company, for example, terminology. 
• Remove information that is not applicable to your company. 
The location of the HTM files on the Authentication Manager appliance is 
/opt/rsa/am/server/apps/rsa-help/eclipse/plugins/
com.rsa.ucmuserconsole.help/console-help.
The location of the HTM files on the web tier is 
RSA_WT_HOME/server/apps/rsa-help/eclipse/plugins/
com.rsa.ucmuserconsole.help/console-help.
Modifying the Self-Service Console Help file on the Authentication Manager 
appliance does not modify the Self-Service Console Help file on the web tier. Copy 
the Self-Service Console Help file from the console-help directory on the appliance to 
the console-help directory on each web-tier server where you want the customized 
Help to display.
Provisioning Overview
The Provisioning feature of Self-Service automates workflows for distributing 
authenticators and allows users to perform many of the provisioning tasks from the 
Self-Service Console.
Note: 
The Provisioning feature is included with the Authentication Manager 
Enterprise Server license. If you have a Base Server license, and you want 
provisioning, you must upgrade to the Enterprise Server license. 
You can configure provisioning so that users can request, enable, and troubleshoot 
authenticators, as well as use emergency access. Provisioning includes predefined 
administrative roles that you can assign for managing authenticators, approving 
requests, and distributing authenticators. 
Users can perform the following provisioning actions from the Self-Service Console:
• Request enrollment
• Request new or additional tokens 
• Enable a token
• Request the on-demand tokencode service
• Request replacement tokens if tokens are lost, broken, temporarily unavailable, or 
about to expire
C# PDF Sticky Note Library: add, delete, update PDF note in C#.net
Allow users to add comments online in ASPX webpage. Able to change font size in PDF comment box. Able to save and print sticky notes in PDF file.
change pdf page size; change font size pdf text box
C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
PDF document, keeps the elements (like images, tables and chats) of original PDF file and maintains the original text style (including font, size, color, links
300 dpi pdf file size; pdf compression settings
254
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
• Request user group membership for access to protected resources 
• Request on-demand authentication
Administrative Roles in Provisioning
Provisioning includes the following predefined administrative roles, which you can 
customize.
Token Administrator. Imports and manages tokens, and assigns tokens to users.
Request Approver. Approves, updates, and rejects Self-Service provisioning 
requests including new user accounts, user group membership, and token requests.
Token Distributor. Manages token provisioning requests. Determines how to 
assign and deliver tokens to users.
For each predefined role, you can configure the permissions shown in the following 
table for each administrator.
You can limit the administrative scope of each role to a security domain and a identity 
source. You can also allow a provisioning administrator to delegate the role’s 
permissions to other administrators. For example, the Request Approver for a 
corporate division might want to delegate approval permissions to department-level 
administrators. 
You can also assign provisioning permissions to any administrative role in 
Authentication Manager. Use the Security Console to configure administrative roles.
General Permissions
Authentication 
Permissions
Self-Service 
Permissions
• Manage Policies
• Manage Security 
Questions
• Manage Delegated 
Administration
• Manage Users
• Manage User Groups
• Manage Reports
• Manage SecurID Tokens
• Manage User Groups
• Manage User Authentication 
Attributes
• Manage Authentication 
Agents
• Manage Trusted Realms
• Manage On-Demand 
Authentication
Provisioning Requests
Generate Barcodes in Web Image Viewer| Online Tutorials
Change Barcode Properties. Select "Font" to choose human-readable text font style, color, size RasterEdge OCR Engine; PDF Reading; Encode & Decode JBIG 2 Files;
pdf paper size; change font size in pdf comment box
C# PDF Field Edit Library: insert, delete, update pdf form field
Able to add text field to specified PDF file position in C#.NET class. Support to change font size in PDF form. Able to delete form fields from adobe PDF file.
pdf reduce file size; change page size of pdf document
11: RSA Self-Service
255
RSA Authentication Manager 8.1 Administrator’s Guide
Scope for Request Approvers and Token Distributors
Request Approvers can approve requests under the following conditions.
For Request Approver workflow instructions, see the Security Console Help topic 
“Approve and Reject User Requests.”
Token Distributors can only review and close requests in their security domain. 
Privileges for Request Approvers and Token Distributors
Request Approvers and Token Distributors can change the type of token requested by 
users. For example, they can change a request for a keyfob token to a request for a 
USB token.
Request Approvers and Token Distributors cannot:
• Change hardware token requests to software token requests, or the reverse. 
• Change requests for the on-demand tokencode service to hardware or software 
token requests, or the reverse.
RSA recommends that Request Approvers and Token Distributors do not change a 
request for a keyfob to a PINPad-style token because the PIN for a keyfob is not 
compatible with the PINPad-style token and the PIN fails when users try to use it.
If you change the PIN policy, verify that it does not affect any of the pending token 
requests. RSA recommends that you take appropriate action on pending requests 
before you change the PIN policy for any tokens.
For Token Distributor workflow instructions, see the Security Console Help topic 
“Complete User Requests.”
Type of Request
Approval Conditions
Authenticators
Unassigned authenticators are available within the approver’s 
scope.
Group Membership
Both the user and group are in the Approver’s scope.
Default Group
Approver has scope for the user, regardless of scope over the 
group.
Any Request
User must be in the Approver’s security domain.
VB.NET Image: Visual Basic .NET Guide to Draw Text on Image in .
Please note that you can change some of the LoadImage) Dim DrawFont As New Font("Arial", 16 provide powerful & profession imaging controls, PDF document, image
pdf file size; adjust pdf size
C# Image: Use C# Class to Insert Callout Annotation on Images
including GIF, PNG, BMP, JPEG, TIFF, PDF & Word projects; Easy to set annotation filled font property individually an easy way; C# demo code to change the filled
reader shrink pdf; best compression pdf
256
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
Workflow for Provisioning Requests
Provisioning uses workflows to automate token deployment. A workflow defines the 
number of steps or work tasks required for each type of user provisioning request. The 
users and administrators who perform tasks in a workflow are called workflow 
participants. 
The following table lists the types of workflow participants and the tasks they can 
perform. 
Assigning Administrative Roles
If you use workflows for provisioning requests, you need to assign the Token 
Administrator, Request Approver, and Token Distributor Administrator roles. For 
more information about administrative roles in provisioning, see Administrative Roles 
in Provisioning
on page254. For instructions, see Assign an Administrative Role
on 
page64.
Workflow Policy
Self-Service uses workflow policies to automate deployment of authenticators and to 
fulfill other requests from users, for example, on-demand authentication (ODA). 
Workflow policies determine how user requests are handled. They apply to the entire 
deployment. Each user request is governed by one workflow policy. The workflow 
policy includes:
• General workflow settings
• User and group settings
Workflow Participant
Tasks
User
From the Self-Service Console, the user initiates a request that 
starts a workflow. The types of user requests are: 
• Enrollment
• New or additional SecurID tokens
• Replace hardware and software tokens that are about to expire
• Replace broken or permanently lost tokens
• On-demand tokencode service 
• Additional user group membership
Request Approver
From the Security Console, the Request Approver:
• Views all requests. 
• Approves, rejects, cancels, or defers action on requests.
• Comments on requests, if necessary.
• Changes the token type, if necessary.
Token Distributor
From the Security Console, the distributor:
• Views user requests that require distribution. 
• Determines how to assign and deliver tokens to users.
• Records how tokens are delivered to users.
11: RSA Self-Service
257
RSA Authentication Manager 8.1 Administrator’s Guide
• Hardware and software token request settings
• On-demand tokencode request settings
• The number of steps for each type of request
• List of e-mail notification recipients for provisioning requests
• The content of e-mail notifications for each type of request
For more information about ODA and RBA, see Chapter10, Deploying On-Demand 
Authenticatio
n
and Chapter12, Deploying Risk-Based Authenticatio
n
.
Configuring Provisioning
You must enable provisioning and configure the features and services that you want 
for your Self-Service Console users. You can specify workflow policies and customize 
e-mail notifications for user requests. If you need to create multiple token and user 
group membership requests, advanced users can run a bulk import utility. The 
following list is a guide to configuring provisioning. 
Procedure
1. Enable Provisioning
on page257.
2. Change the Default Workflow Policy
on page257.
3. Assign a Workflow Policy to a Security Domain
on page258.
4. Change Workflow Definitions
on page258.
5. Using E-mail Notifications for Provisioning Requests
on page259.
6. Configure Authenticators for Self-Service Users
on page261.
7. Configure Shipping Addresses for Hardware Authenticators
on page262.
8. (Optional) Creating Multiple Requests and Archiving Requests
on page263
Enable Provisioning
You must enable provisioning to allow users to request enrollment, user groups, 
authenticators, and on-demand authentication on the Self-Service Console. 
Procedure
1. In the Security Console, go to Setup > Self-Service Settings > Enable or Disable 
Self-Service Features.
2. Select Enable Provisioning Features.
3. Click Save.
Change the Default Workflow Policy 
If your company wants to change the number of Request Approvers in a workflow 
definition, who receives e-mail, or the content of the e-mails sent to workflow 
participants, you can change the default workflow policy for your company as needed.
258
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
Each deployment has a default workflow policy that is assigned to all new security 
domains. You can change the default policy. The default policy applies to all security 
domains that are configured to use the default policy.
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. Under Provisioning, click Workflow Policies.
3. Use the search fields to find the policy you want to set as the default.
4. From the search results, click the policy you want to set as the default and click 
Edit from the context menu.
5. Under Workflow Policy Basics, select the Default Policy check box to designate 
the new policy as the default policy for the deployment.
6. Click Save.
Assign a Workflow Policy to a Security Domain
When you install Authentication Manager or create a new deployment, a default 
workflow policy is created. When you create a security domain, you can use the 
default policy, or you can create custom policies and assign them to security domains. 
The policy that you choose applies to all users owned by the security domain.
Procedure
1. In the Security Console, click Administration > Security Domains > Manage 
Existing.
2. From the security domain tree, select the security domain that you want to edit and 
click Edit from the context menu.
3. Under Policies, in the Workflow Policy field, use the drop-down menu to select a 
policy for the security domain.
4. Click Save.
Change Workflow Definitions
Each type of user request has a default workflow definition, which you can customize 
to meet the needs of your organization. A workflow definition defines the number of 
steps or work items for each type of request. Each approval step requires a unique 
Request Approver. A workflow definition consists of the following:
• Zero to four approval steps: Request Approvers view all requests, and approve or 
reject the requests.
• Zero to one distribution step: Token Distributors view user token requests and 
determine how to assign and deliver the tokens.
For example, suppose a company requires all new employees to enroll in Self-Service 
and request new tokens so they can access the company network. If your company 
policy requires two people—a manager and a system administrator—to approve token 
requests from new employees, you can customize the workflow definition to 
accommodate this requirement.
11: RSA Self-Service
259
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click Setup > Self-Service Settings.
2. Under Provisioning, click Workflow Policies.
3. Use the search fields to find the policy that you want to edit.
4. Select the policy that you want to edit.
5. From the context menu, click Edit.
6. To change the workflow definition for a particular type of request, click one of the 
following tabs:
• User and User Group. Requests for a Self-Service account from users in a 
directory server, users not in a directory server, and user group membership.
• Hardware Token. Requests for hardware tokens.
• Software Token. Requests for software tokens.
• On-Demand Authentication. Requests for on-demand authentication.
7. Under Workflow Definitions, click the drop-down arrow to change the number of 
approval or distribution steps for a request.
8. Click Save.
Note: 
If you have not saved your edits, you can click Reset to change the policy back 
to its original setting.
Using E-mail Notifications for Provisioning Requests
Provisioning workflow participants can receive e-mail notifications when a request is 
submitted, waiting for approval, approved, cancelled, rejected, or is unsuccessful. You 
can allow the following workflow participants to receive e-mail notifications:
• All workflow participants. Users, Request Approvers, Token Distributors
• Super Admin
• Workflow participants in parent security domain
You can add a comment to the request properties configuration that will be included in 
the e-mail notification, for example, to explain why a request is denied.
Before Authentication Manager can send e-mail notifications, you must configure 
SMTP. For more information, see the Security Console Help topic “Configure the 
SMTP Mail Service.”
If you enable e-mail notifications to workflow participants in the parent security 
domain, all Request Approvers and Token Distributors in security domains above the 
security domain where a request originates receive workflow e-mail notifications.
You can deselect the default setting that enables workflow e-mail notifications to all 
workflow participants (Users, Request Approvers, Token Distributors). You cannot 
disable workflow e-mail notifications by participant type, except for Super Admin.
260
11: RSA Self-Service
RSA Authentication Manager 8.1 Administrator’s Guide
Configure E-mail Notifications for Provisioning Workflow Participants
Self-Service can automatically send e-mail to workflow participants to notify them 
that they need to take action on requests, for example, when a request is submitted, 
waiting for approval, cancelled, rejected, or unsuccessfully submitted. You can specify 
who receives workflow e-mail notifications.
Self-Service sends e-mail notifications automatically to users about their requests. 
You cannot disable e-mail notifications to users.
Procedure
1. In the Security Console, click Setup > Self-Service.
2. Under Provisioning, click Workflow Policies.
3. Use the search fields to find the policy you want to change.
4. From the search results, click the policy you want to change and click Edit from 
the context menu.
5. Under E-mail Notification Settings, select one or more of the following options:
• Enable e-mail notifications for all workflow participants - All workflow 
participants (managers, or administrators with permission to approve requests 
or distribute tokens) receive e-mail notifications.
• Enable e-mail notifications for Super Admin - Super Admins receive 
e-mail notifications.
• Enable e-mail notifications for parent workflow participants - All 
approvers and distributors in the parent security domain of the user that made 
the request receive e-mail notifications.
6. Click Save.
Managing Authenticators for Self-Service Users
Users can request authenticators and emergency access through the Self-Service 
Console. You can use the Security Console to manage the types of authenticators 
available, emergency access tokencodes, and requests to replace expiring tokens.
Hardware Token Types Available for Request. You can select which types of 
tokens are available, the authentication method, and a default type for 
Self-Service users.
Software Token Profiles Available for Request. You can select which software 
token profiles are available. The software token profile designates the 
authentication method and the token delivery method. You can allow users to edit 
token attribute details, and to select a default type for Self-Service users.
On-Demand Authentication (ODA) Settings. You can allow users to request the 
ODA service as a primary authentication type. You need to configure the ODA 
settings to enable provisioning users to request this service.
Token File Password Settings. You can require users to provide a password to 
protect the software token file
.
Documents you may be interested
Documents you may be interested