Skip to main content

Défi

Configurer des politiques de sécurité

3 Tâches

5 mins

Visible to all users
Intermédiaire Pega Platform 8.4 Sécurité Français

Scénario

GogoRoad connaît un grand nombre d’échecs de tentatives de connexion. La direction soupçonne qu’il s’agit d’attaques malveillantes par un bot. La direction vous a demandé d’implémenter une nouvelle exigence de sécurité. Après le premier échec de la tentative de connexion, l’utilisateur ne peut pas faire d’autres tentatives sans vérification supplémentaire. Après chaque tentative, l’utilisateur doit attendre pendant une période de plus en plus longue avant de faire une nouvelle tentative. La première tentative ratée est retardée de cinq secondes.

Après la première tentative de connexion ratée, affichez un CAPTCHA sur la page de connexion pour vérifier que l’utilisateur est un humain et non un bot automatisé. Après deux tentatives infructueuses, activez une pénalité de verrouillage pour retarder les nouvelles tentatives de connexion par tranches de cinq secondes.

Vous trouverez dans le tableau suivant les identifiants dont vous avez besoin pour relever le défi.

Rôle ID opérateur Mot de passe
Développeur d’applications author@gogoroad pega123!

Présentation du défi

You must initiate your own Pega instance to complete this Défi.

L'initialisation peut prendre jusqu'à 5 minutes, donc soyez patient.

Détail des tâches

1 Configurer le CAPTCHA

  1. Dans l’en-tête de Dev Studio, cliquez sur Configure > Org & Security > Authentication > Security Policies pour ouvrir la page d’accueil Security Policies.
    Note: La case Enable frequently required policies est cochée par défaut.
  2. Dans la section CAPTCHA policies, dans le champ Enable CAPTCHA Reverse Turing test module, sélectionnez Enabled pour activer la fonctionnalité CAPTCHA.
  3. Dans la liste Enable presentation of CAPTCHA upon initial login, sélectionnez Disabled pour vous assurer que le CAPTCHA n’apparaît qu’après le premier échec de tentative de connexion.
  4. Dans le champ Probability that CAPTCHA will be presented upon authentication failure (%), saisissez 100 pour vous assurer que le CAPTCHA est toujours présenté lorsqu’une tentative de connexion échoue.
    CAPTCHA-policies-challenge-enabled

2 Configurer la pénalité de verrouillage

  1. Dans la section Lockout policies, dans le champ Enable authentication lockout penalty, sélectionnez Enabled pour activer la pénalité de verrouillage.
  2. Dans le champ Failed login attempts before employing authentication lockout penalty, saisissez 2 pour que la pénalité de verrouillage prenne effet après deux tentatives infructueuses.
  3. Dans le champ Initial authentication lockout penalty in seconds, saisissez 5 pour fixer la première période de verrouillage à cinq secondes.
    Note: Les périodes de verrouillage ultérieures augmentent par tranches de cinq secondes.
    lockout-policies-challenge-enabled
  4. Cliquez sur Submit pour appliquer les mises à jour de la politique de sécurité.
    Security Policy Challenge - Submit configuration
    Tip: Lorsque vous importez des politiques de sécurité dans une instance Pega Platform™, vous devrez peut-être effacer la data page qui charge ces paramètres. Dans Dev Studio, naviguez jusqu’à la data page Declare_AuthPolicies et cliquez sur Load Management > Clear data page pour vider la data page.

3 Vérifier votre travail

  1. Déconnectez-vous de l’application. L’écran de connexion Pega apparaît.
  2. Sur l’écran de connexion, dans le champ User name, saisissez author@gogoroad.
  3. Dans le champ Password, saisissez un mot de passe non valide.
  4. Cliquez sur Log in  pour invoquer un message d’erreur et un champ CAPTCHA.
    Security Policy Challenge Test - Login Screen with Captcha
  5. Faites une deuxième tentative en utilisant des identifiants non valides.
  6. Saisissez la valeur CAPTCHA, puis cliquez sur Log in.
  7. Faites une troisième tentative de connexion non valide pour vous assurer que le bouton Log in est indisponible pendant cinq secondes.
    Security Policy Challenge Test - Login Screen without Login button
  8. Faites une quatrième tentative de connexion non valide pour vous assurer que le bouton Log in est indisponible pendant 10 secondes.
  9. Connectez-vous à l’application avec les bons identifiants pour vous assurer que vous pouvez accéder à l’application.
Tip: Pendant le développement de l’application, pour éviter les verrouillages d’utilisateurs, vous devrez peut-être désactiver les politiques de sécurité jusqu’à ce que votre application soit en cours d’exploitation. Retournez à la page d’accueil Security Policies pour désactiver les paramètres.


Disponible dans la mission suivante :

If you are having problems with your training, please review the Pega Academy Support FAQs.

Did you find this content helpful?

Want to help us improve this content?

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice