Configurer des politiques de sécurité
2 Tâches
5 mins
Scénario
GogoRoad connaît un grand nombre d’échecs de tentatives de connexion. La direction soupçonne qu’il s’agit d’attaques malveillantes par un bot. La direction vous a demandé d’implémenter une nouvelle exigence de sécurité. Après le premier échec de la tentative de connexion, l’utilisateur ne peut pas faire d’autres tentatives sans vérification supplémentaire. Après chaque tentative, l’utilisateur doit attendre pendant une période de plus en plus longue avant de faire une nouvelle tentative. La première tentative ratée est retardée de cinq secondes.
Après la première tentative de connexion ratée, affichez un CAPTCHA sur la page de connexion pour vérifier que l’utilisateur est un humain et non un bot automatisé. Après deux tentatives infructueuses, activez une pénalité de verrouillage pour retarder les nouvelles tentatives de connexion par tranches de cinq secondes.
Vous trouverez dans le tableau suivant les identifiants dont vous avez besoin pour relever le défi.
Rôle | Nom d’utilisateur | Mot de passe |
---|---|---|
Développeur d’applications | author@gogoroad | pega123! |
Note: Votre environnement de travail est susceptible de prendre en charge la réalisation de plusieurs défis. Par conséquent, la configuration montrée dans la vidéo de présentation du défi peut ne pas correspondre exactement à votre environnement.
Présentation du défi
Détail des tâches
1 Configurer le CAPTCHA
- Dans l’en-tête de Dev Studio, cliquez sur Configure > Org & Security > Authentication > Security Policies pour ouvrir la page d’accueil Security Policies.
- Dans la section Frequently required policies, cochez la case Enable frequently required policies (except for PRAuth-based authentication services) pour activer les politiques de sécurité fréquemment requises.
Note: L’option Enable frequently required policies est activée par défaut dans Pega Platform, mais est désactivée pour les besoins de ce défi précis.
- Dans la section CAPTCHA policies, dans le champ Enable CAPTCHA Reverse Turing test module, sélectionnez Enabled pour activer la fonctionnalité CAPTCHA.
- Dans la liste Enable presentation of CAPTCHA upon initial login, sélectionnez Disabled pour vous assurer que le CAPTCHA n’apparaît qu’après le premier échec de tentative de connexion.
- Dans le champ Probability that CAPTCHA will be presented upon authentication failure (%), saisissez 100 pour vous assurer que le CAPTCHA est toujours présenté lorsqu’une tentative de connexion échoue.
2 Configurer la pénalité de verrouillage
- Dans la section Lockout policies, dans le champ Enable authentication lockout penalty, sélectionnez Enabled pour activer la pénalité de verrouillage.
- Dans le champ Failed login attempts before employing authentication lockout penalty, saisissez 2 pour que la pénalité de verrouillage prenne effet après deux tentatives infructueuses.
- Dans le champ Initial authentication lockout penalty in seconds, saisissez 5 pour fixer la première période de verrouillage à cinq secondes.
Note: Les périodes de verrouillage ultérieures augmentent par tranches de cinq secondes.
- Cliquez sur Submit pour appliquer les mises à jour de la politique de sécurité.
Tip: Lorsque vous importez des politiques de sécurité dans une instance Pega Platform™, vous devrez peut-être effacer la data page qui charge ces paramètres. Dans Dev Studio, naviguez jusqu’à la data page Declare_AuthPolicies et cliquez sur Load Management > Clear data page pour vider la data page.
Vérifier votre travail
- Déconnectez-vous de l’application. L’écran de connexion Pega apparaît.
- Sur l’écran de connexion, dans le champ User name, saisissez author@gogoroad.
- Dans le champ Password, saisissez un mot de passe non valide.
- Cliquez sur pour invoquer un message d’erreur et un champ CAPTCHA.
- Faites une deuxième tentative en utilisant des identifiants non valides.
- Saisissez la valeur CAPTCHA, puis cliquez sur .
- Faites une troisième tentative de connexion non valide pour vous assurer que le bouton Log in est indisponible pendant cinq secondes.
Note: Après votre troisième tentative de connexion, le système peut afficher un message Error Authentication failed . Rafraichissez la fenêtre de votre navigateur pour revenir à la page de connexion.
- Faites une quatrième tentative de connexion non valide pour vous assurer que le bouton Log in est indisponible pendant 10 secondes.
- Connectez-vous à l’application avec les bons identifiants pour vous assurer que vous pouvez accéder à l’application.
Note: Une fois que vous avez réussi à vous connecter, vous recevez une invitation à modifier votre mot de passe.
Tip: Pendant le développement de l’application, pour éviter les verrouillages d’utilisateurs, vous devrez peut-être désactiver les politiques de sécurité jusqu’à ce que votre application soit en production. Retournez à la page d’accueil Security Policies pour désactiver les paramètres.
Ce défi vise à appliquer ce que vous avez appris dans le Module suivant :
Disponible dans la mission suivante :
If you are having problems with your training, please review the Pega Academy Support FAQs.
Want to help us improve this content?