Skip to main content

Reto

Configuración de las políticas de seguridad

2 Tareas

5 minutos

Visible to all users
Intermedio Pega Platform 8.7 Seguridad Español

Escenario

GogoRoad está experimentando una gran cantidad de intentos de sesión fallidos. La gerencia sospecha que los intentos provienen de ataques maliciosos de un bot de internet. La gerencia le ha solicitado implementar un nuevo requerimiento de seguridad. Después del primer intento de sesión fallido, el usuario no puede realizar intentos adicionales sin una verificación complementaria. Después de cada intento, el usuario debe esperar un período progresivamente más extenso antes de poder realizar otro intento. El primer intento fallido tiene una espera de cinco segundos.

Después del primer intento de inicio de sesión fallido, se muestra un CAPTCHA en la página de inicio de sesión para verificar que el usuario sea un humano y no un bot automatizado. Después de dos intentos fallidos, habilite una penalidad de bloqueo para retrasar los futuros intentos de sesión en incrementos de 5 segundos.

La siguiente tabla incluye las credenciales que necesita para completar el reto.

Rol Nombre de usuario Contraseña
Desarrollador de aplicaciones author@gogoroad pega123!
Nota: Su entorno de práctica podría admitir la compleción de varios retos. Como resultado, es posible que la configuración que se muestra en el tutorial del reto no coincida exactamente con su entorno.

Recorrido del Reto

Debe iniciar su propia instancia de Pega para completar este Título del desafío.

La inicialización puede demorar hasta 5 minutos. Le pedimos que tenga paciencia.

Tareas detalladas

1 Configurar CAPTCHA

  1. En el encabezado de Dev Studio, haga clic en Configure > Org & Security > Authentication > Security Policies (Configurar > Organización y seguridad > Autenticación > Políticas de seguridad) para abrir la landing page Security Policies (Políticas de seguridad).
  2. En la sección Frequently required policies (Políticas requeridas con frecuencia), seleccione la checkbox Enable frequently required policies (except for PRAuth-based authentication services)  para activar las políticas de seguridad requeridas con frecuencia.
    Nota: La opción Frequently required policies (Políticas requeridas con frecuencia) está habilitada de forma predeterminada en Pega Platform, pero está deshabilitada para simplificar este reto en particular.
  3. En la sección CAPTCHA policies (Políticas CAPTCHA), en el campo Enable CAPTCHA Reverse Turing test module (Habilitar módulo de prueba de Turing inverso CAPTCHA), seleccione Enabled  para habilitar la función de CAPTCHA.
  4. En la lista Enable CAPTCHA Reverse Turing test module (Habilitar presentación de CAPTCHA durante el inicio de sesión inicial), seleccione Disabled  (Deshabilitado) para asegurase de que el CAPTCHA solo aparezca después del primer intento de inicio de sesión fallido.
  5. En el campo Probability that CAPTCHA will be presented upon authentication failure (%) (Probabilidad de que el CAPTCHA se presente durante una falla de autenticación [%]), introduzca 100 para asegurarse de que el CAPTCHA siempre se presente durante un intento de inicio de sesión fallido.
    CAPTCHA-policies-challenge-enabled

2 Configurar la penalidad de bloqueo

  1. En la sección Lockout policies (Políticas de bloqueo), en el campo Enable authentication lockout penalty (Habilitar penalidad de bloqueo de autenticación), seleccione Enabled  para activar la penalidad de bloqueo.
  2. En el campo Failed login attempts before employing authentication lockout penalty (Intentos de sesión fallidos antes de aplicar la penalidad de bloqueo de autenticación), introduzca 2 para aplicar la penalidad de bloqueo después de dos intentos fallidos.
  3. En el campo Initial authentication lockout penalty in seconds (Penalidad de bloqueo de autenticación inicial en segundos), introduzca 5 para establecer el primer período de bloqueo en cinco segundos.
    Nota: Los períodos de bloqueo subsiguientes aumentan en incrementos de cinco segundos.
    lockout-policies-challenge-enabled
  4. Haga clic en Submit (Enviar) para aplicar las actualizaciones en las políticas de seguridad.
    Security Policy Challenge - Submit configuration
    Tip: Cuando importa las políticas de seguridad en una instancia de Pega Platform™, necesita borrar la página de datos que carga dicha configuración. En Dev Studio, diríjase a la página de datos Declare_AuthPolicies y haga clic en Load Management > Borrar página de datos (Gestión de carga > Borrar página de datos) para borrar la página de datos.

Confirme su trabajo

  1. Cierre sesión en la aplicación. Aparecerá la pantalla de inicio de sesión de Pega.
  2. En la pantalla de inicio de sesión, en el campo User name (Nombre de usuario), introduzca author@gogoroad.
  3. En el campo Password (Contraseña), introduzca una contraseña no válida.
  4. Haga clic en Log in  (Iniciar sesión) para generar un mensaje de error y un campo CAPTCHA .
    Security Policy Challenge Test - Login Screen with Captcha
  5. Realice un segundo intento con credenciales no válidas.
  6. Introduzca el valor de CAPTCHA y, a continuación, haga clic en Log in (Iniciar sesión).
  7. Realice un tercer intento de inicio de sesión no válido para asegurarse de que el botón Log in (Iniciar sesión) no estará disponible durante cinco segundos.
    Nota: Después del tercer intento de inicio de sesión, el sistema podría mostrar un mensaje Error Authentication failed . Actualice la ventana del navegador para regresar a la página de inicio de sesión.
    Security Policy Challenge Test - Login Screen without Login button
  8. Realice un cuarto intento de inicio de sesión no válido para asegurarse de que el botón Log in (Iniciar sesión) no estará disponible durante diez segundos.
  9. Inicie sesión en la aplicación con las credenciales correctas para asegurarse de que pueda acceder a la aplicación.
Nota: Después del inicio de sesión correcto, recibirá un aviso para cambiar su contraseña.
Tip: Durante el desarrollo de aplicaciones, para evitar bloqueos de usuarios, es posible que necesite deshabilitar las políticas de seguridad antes de que su aplicación esté en producción. Regrese a la landing page Security Policies (Políticas de seguridad) para deshabilitar la configuración.

Este Reto es para practicar lo aprendido en el siguiente Módulo:


Disponible en la siguiente misión:

Si tiene problemas con su formación, por favor consulte las preguntas frecuentes de Pega Academy.

¿Le ha resultado útil este contenido?

¿Quiere ayudarnos a mejorar este contenido?

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice