Configurer des politiques de sécurité
Archived
2 Tâches
5 mins
Intermédiaire
Sécurité
Français
Scénario
GogoRoad connaît un grand nombre d’échecs de tentatives de connexion. La direction soupçonne qu’il s’agit d’attaques malveillantes par un bot. La direction vous a demandé d’implémenter une nouvelle exigence de sécurité. Après le premier échec de la tentative de connexion, l’utilisateur ne peut pas faire d’autres tentatives sans vérification supplémentaire. Après chaque tentative, l’utilisateur doit attendre pendant une période de plus en plus longue avant de faire une nouvelle tentative. La première tentative ratée est retardée de cinq secondes.
Après la première tentative de connexion ratée, affichez un CAPTCHA sur la page de connexion pour vérifier que l’utilisateur est un humain et non un bot automatisé. Après deux tentatives infructueuses, activez une pénalité de verrouillage pour retarder les nouvelles tentatives de connexion par tranches de cinq secondes.
Vous trouverez dans le tableau suivant les identifiants dont vous avez besoin pour relever le défi.
| Rôle | Nom d’utilisateur | Mot de passe |
|---|---|---|
| Développeur d’applications | author@gogoroad | pega123! |
Note: Votre environnement de travail est susceptible de prendre en charge la réalisation de plusieurs défis. Par conséquent, la configuration montrée dans la vidéo de présentation du défi peut ne pas correspondre exactement à votre environnement.
Présentation du défi
Détail des tâches
1 Configurer le CAPTCHA
- Dans l’en-tête de Dev Studio, cliquez sur Configure > Org & Security > Authentication > Security Policies pour ouvrir la page d’accueil Security Policies.
- Dans la section Frequently required policies, cochez la case Enable frequently required policies (except for PRAuth-based authentication services) pour activer les politiques de sécurité fréquemment requises.
Note: L’option Enable frequently required policies est activée par défaut dans Pega Platform, mais est désactivée pour les besoins de ce défi précis.
- Dans la section CAPTCHA policies, dans le champ Enable CAPTCHA Reverse Turing test module, sélectionnez Enabled pour activer la fonctionnalité CAPTCHA.
- Dans la liste Enable presentation of CAPTCHA upon initial login, sélectionnez Disabled pour vous assurer que le CAPTCHA n’apparaît qu’après le premier échec de tentative de connexion.
- Dans le champ Probability that CAPTCHA will be presented upon authentication failure (%), saisissez 100 pour vous assurer que le CAPTCHA est toujours présenté lorsqu’une tentative de connexion échoue.
2 Configurer la pénalité de verrouillage
- Dans la section Lockout policies, dans le champ Enable authentication lockout penalty, sélectionnez Enabled pour activer la pénalité de verrouillage.
- Dans le champ Failed login attempts before employing authentication lockout penalty, saisissez 2 pour que la pénalité de verrouillage prenne effet après deux tentatives infructueuses.
- Dans le champ Initial authentication lockout penalty in seconds, saisissez 5 pour fixer la première période de verrouillage à cinq secondes.
Note: Les périodes de verrouillage ultérieures augmentent par tranches de cinq secondes.
- Cliquez sur Submit pour appliquer les mises à jour de la politique de sécurité.
Tip: Lorsque vous importez des politiques de sécurité dans une instance Pega Platform™, vous devrez peut-être effacer la data page qui charge ces paramètres. Dans Dev Studio, naviguez jusqu’à la data page Declare_AuthPolicies et cliquez sur Load Management > Clear data page pour vider la data page.