Skip to main content

Configurer des politiques de sécurité

2 Tâches

5 mins

Visible to: All users
Intermédiaire Pega Platform 8.7 Sécurité Français

Scénario

GogoRoad connaît un grand nombre d’échecs de tentatives de connexion. La direction soupçonne qu’il s’agit d’attaques malveillantes par un bot. La direction vous a demandé d’implémenter une nouvelle exigence de sécurité. Après le premier échec de la tentative de connexion, l’utilisateur ne peut pas faire d’autres tentatives sans vérification supplémentaire. Après chaque tentative, l’utilisateur doit attendre pendant une période de plus en plus longue avant de faire une nouvelle tentative. La première tentative ratée est retardée de cinq secondes.

Après la première tentative de connexion ratée, affichez un CAPTCHA sur la page de connexion pour vérifier que l’utilisateur est un humain et non un bot automatisé. Après deux tentatives infructueuses, activez une pénalité de verrouillage pour retarder les nouvelles tentatives de connexion par tranches de cinq secondes.

Vous trouverez dans le tableau suivant les identifiants dont vous avez besoin pour relever le défi.

Rôle Nom d’utilisateur Mot de passe
Développeur d’applications author@gogoroad pega123!
Note: Votre environnement de travail est susceptible de prendre en charge la réalisation de plusieurs défis. Par conséquent, la configuration montrée dans la vidéo de présentation du défi peut ne pas correspondre exactement à votre environnement.

Vous devez initier votre votre propre instance Pega pour compléter ce Défi.

L'initialisation peut prendre jusqu'à 5 minutes, donc soyez patient.

Présentation du défi

Détail des tâches

1 Configurer le CAPTCHA

  1. Dans l’en-tête de Dev Studio, cliquez sur Configure > Org & Security > Authentication > Security Policies pour ouvrir la page d’accueil Security Policies.
  2. Dans la section Frequently required policies, cochez la case Enable frequently required policies (except for PRAuth-based authentication services) pour activer les politiques de sécurité fréquemment requises.
    Note: L’option Enable frequently required policies est activée par défaut dans Pega Platform, mais est désactivée pour les besoins de ce défi précis.
  3. Dans la section CAPTCHA policies, dans le champ Enable CAPTCHA Reverse Turing test module, sélectionnez Enabled  pour activer la fonctionnalité CAPTCHA.
  4. Dans la liste Enable presentation of CAPTCHA upon initial login, sélectionnez Disabled pour vous assurer que le CAPTCHA n’apparaît qu’après le premier échec de tentative de connexion.
  5. Dans le champ Probability that CAPTCHA will be presented upon authentication failure (%), saisissez 100 pour vous assurer que le CAPTCHA est toujours présenté lorsqu’une tentative de connexion échoue.
    CAPTCHA-policies-challenge-enabled

2 Configurer la pénalité de verrouillage

  1. Dans la section Lockout policies, dans le champ Enable authentication lockout penalty, sélectionnez Enabled  pour activer la pénalité de verrouillage.
  2. Dans le champ Failed login attempts before employing authentication lockout penalty, saisissez 2 pour que la pénalité de verrouillage prenne effet après deux tentatives infructueuses.
  3. Dans le champ Initial authentication lockout penalty in seconds, saisissez 5 pour fixer la première période de verrouillage à cinq secondes.
    Note: Les périodes de verrouillage ultérieures augmentent par tranches de cinq secondes.
    lockout-policies-challenge-enabled
  4. Cliquez sur Submit pour appliquer les mises à jour de la politique de sécurité.
    Security Policy Challenge - Submit configuration
    Tip: Lorsque vous importez des politiques de sécurité dans une instance Pega Platform™, vous devrez peut-être effacer la data page qui charge ces paramètres. Dans Dev Studio, naviguez jusqu’à la data page Declare_AuthPolicies et cliquez sur Load Management > Clear data page pour vider la data page.

Vérifier votre travail

  1. Déconnectez-vous de l’application. L’écran de connexion Pega apparaît.
  2. Sur l’écran de connexion, dans le champ User name, saisissez author@gogoroad.
  3. Dans le champ Password, saisissez un mot de passe non valide.
  4. Cliquez sur Log in  pour invoquer un message d’erreur et un champ CAPTCHA.
    Security Policy Challenge Test - Login Screen with Captcha
  5. Faites une deuxième tentative en utilisant des identifiants non valides.
  6. Saisissez la valeur CAPTCHA, puis cliquez sur Log in.
  7. Faites une troisième tentative de connexion non valide pour vous assurer que le bouton Log in est indisponible pendant cinq secondes.
    Note: Après votre troisième tentative de connexion, le système peut afficher un message Error Authentication failed . Rafraichissez la fenêtre de votre navigateur pour revenir à la page de connexion.
    Security Policy Challenge Test - Login Screen without Login button
  8. Faites une quatrième tentative de connexion non valide pour vous assurer que le bouton Log in est indisponible pendant 10 secondes.
  9. Connectez-vous à l’application avec les bons identifiants pour vous assurer que vous pouvez accéder à l’application.
Note: Une fois que vous avez réussi à vous connecter, vous recevez une invitation à modifier votre mot de passe.
Tip: Pendant le développement de l’application, pour éviter les verrouillages d’utilisateurs, vous devrez peut-être désactiver les politiques de sécurité jusqu’à ce que votre application soit en production. Retournez à la page d’accueil Security Policies pour désactiver les paramètres.

Ce défi vise à appliquer ce que vous avez appris dans le Module suivant :


Disponible dans la mission suivante :

If you are having problems with your training, please review the Pega Academy Support FAQs.

Did you find this content helpful?

Want to help us improve this content?

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice