セキュリティポリシーの設定
3 タスク
5 分
シナリオ
GogoRoadでは、ログイン試行の失敗が大量に発生しています。 経営陣は、これらの試行はインターネットボットによる悪質な攻撃ではないかと疑っています。 経営陣から、新しいセキュリティ要件を実装するように依頼されました。 初回のログイン試行に失敗した後、ユーザーがさらにログインを行う場合は追加の検証を行う必要があります。 ログイン試行に失敗してから次にログインしようとするまでのユーザーの待ち時間は徐々に長くなります。 初回の試行に失敗した後は、5秒の遅れが発生します。
初回のログイン試行失敗の後、ログインページにCAPTCHAを表示して、ユーザーが人間であり自動化されたボットではないことを確認します。 ログイン試行が2回失敗した後で、以降のログイン試行を5秒ずつ遅らすために、ロックアウトペナルティを有効にします。
以下の表は、チャレンジに必要なログイン情報をまとめたものです。
ロール | オペレーター ID | パスワード |
---|---|---|
アプリケーションデベロッパー | author@gogoroad | pega123! |
チャレンジ ウォークスルー
詳細なタスク
1 Configure CAPTCHA
- In the header of Dev Studio, click Configure > Org & Security > Authentication > Security Policies to open the Security Policies landing page.
補足: The Enable frequently required policies check box is enabled by default.
- In the CAPTCHA policies section, in the Enable CAPTCHA Reverse Turing test module field, select
Enabled
to enable the CAPTCHA feature. - In the Enable presentation of CAPTCHA upon initial login list, select Disabled to ensure that the CAPTCHA appears only after the first failed login attempt.
- In the Probability that CAPTCHA will be presented upon authentication failure (%) field, enter 100 to ensure that the CAPTCHA is always presented when a login attempt fails.
2 Configure the lockout penalty
- In the Lockout policies section, in the Enable authentication lockout penalty field, select
Enabled
to activate the lockout penalty. - In the Failed login attempts before employing authentication lockout penalty field, enter 2 to set the lockout penalty to take effect after two failed attempts.
- In the Initial authentication lockout penalty in seconds field, enter 5 to set the first lockout period to five seconds.
補足: Subsequent lockout periods increase in five second increments.
- Click Submit to apply the security policy updates.
ヒント: When you import security policies in a Pega Platform™ instance, you may need to clear the data page that loads those settings. In Dev Studio, navigate to the Declare_AuthPolicies data page and click Load Management > Clear data page to flush the data page.
3 Confirm your work
- Log out of the application. The Pega login screen is displayed.
- On the login screen, in the User name field, enter author@gogoroad.
- In the Password field, enter an invalid password.
- Click to invoke an error message and a CAPTCHA field.
- Make a second attempt by using invalid credentials.
- Enter the CAPTCHA value, and then click .
- Make a third invalid login attempt to ensure the Log in button is unavailable for five seconds.
- Make a fourth invalid login attempt to ensure the Log in button is unavailable for ten seconds.
- Log in to the application with the correct credentials to ensure that you can access the application.
ヒント: During application development, to prevent user lockouts, you may need to disable security policies until your application is in production. Return to the Security Policies landing page to disable the settings.
このモジュールは、下記のミッションにも含まれています。
トレーニングを実施中に問題が発生した場合は、Pega Academy Support FAQsをご確認ください。