Skip to main content

チャレンジ

セキュリティポリシーの設定

シナリオ

GogoRoadでは、ログイン試行の失敗が大量に発生しています。 経営陣は、これらの試行はインターネットボットによる悪質な攻撃ではないかと疑っています。 経営陣から、新しいセキュリティ要件を実装するように依頼されました。 初回のログイン試行に失敗した後、ユーザーがさらにログインを行う場合は追加の検証を行う必要があります。 ログイン試行に失敗してから次にログインしようとするまでのユーザーの待ち時間は徐々に長くなります。 初回の試行に失敗した後は、5秒の遅れが発生します。

初回のログイン試行失敗の後、ログインページにCAPTCHAを表示して、ユーザーが人間であり自動化されたボットではないことを確認します。 ログイン試行が2回失敗した後で、以降のログイン試行を5秒ずつ遅らすために、ロックアウトペナルティを有効にします。

以下の表は、チャレンジに必要なログイン情報をまとめたものです。

ロール ユーザー名 パスワード
アプリケーションデベロッパー [email protected] pega123!
補足: 練習環境では、複数のチャレンジの完了をサポートする場合があります。 その結果、チャレンジのウォークスルーに表示される設定は、お客様の環境と完全に一致しない場合があります。

チャレンジ ウォークスルー

このチャレンジを完了するには、Pegaインスタンスを起動する必要があります。

起動には5分ほどかかることがありますので、しばらくお待ちください。

詳細なタスク

1 CAPTCHAを設定する

  1. Dev Studioのヘッダーで、「Configure」>「Org & Security」>「Authentication」>「Security Policies」をクリックして、「Security Policies」ランディングページを開きます。
  2. 「Frequently required policies」セクションで、Enable frequently required policies (except for PRAuth-based authentication services)チェックボックスを選択して、よく必要になるセキュリティポリシーを有効にします。
    補足: 「Enable frequently required policies」オプションは、Pega Platformではデフォルトで有効ですが、今回のチャレンジのために無効にされています。
  3. 「CAPTCHA policies」セクションの「Enable CAPTCHA Reverse Turing test module」フィールドで、「Enabled 」を選択してCAPTCHA機能を有効にします。
  4. 「Enable presentation of CAPTCHA upon initial login」リストで、「Disabled」を選択して、最初のログイン試行失敗の後にのみCAPTCHAが表示されるようにします。
  5. 「Probability that CAPTCHA will be presented upon authentication failure (%)」フィールドに「100」と入力して、ログイン試行が失敗した場合は常にCAPTCHAが表示されるようにします。
    CAPTCHA-policies-challenge-enabled

2 ロックアウトペナルティを設定する

  1. 「Lockout policies」セクションの「Enable authentication lockout penalty」フィールドで、「Enabled 」を選択してロックアウトペナルティを有効にします。
  2. 「Failed login attempts before employing authentication lockout penalty」フィールドに「2」を入力して、試行が2回失敗したらロックアウトペナルティを適用するように設定します。
  3. 「Initial authentication lockout penalty in seconds」フィールドに「5」を入力し、最初のロックアウト時間を5秒に設定します。
    補足: 以降のロックアウト時間は、5秒ずつ増加します。
    lockout-policies-challenge-enabled
  4. 「Submit」をクリックして、セキュリティポリシーの更新を適用します。
    Security Policy Challenge - Submit configuration
    ヒント: Pega Platform™のインスタンスにセキュリティポリシーをインポートするときに、これらの設定をロードするデータページをクリアしなければならない場合があります。 Dev Studioで、Declare_AuthPoliciesデータページに移動し、「Load Management」>「Clear data page」をクリックしてデータページをフラッシュします。

作業の確認

  1. アプリケーションをログアウトします。 Pegaのログイン画面が表示されます。
  2. ログイン画面の「User name」フィールドに、[email protected]と入力します。
  3. 「Password」フィールドに、無効なパスワードを入力します。
  4. 「Log in」 をクリックして、エラーメッセージと「CAPTCHA」フィールドを表示させます。
    Security Policy Challenge Test - Login Screen with Captcha
  5. 無効なログイン情報を使用して、2回目の試行を行います。
  6. CAPTCHAの値を入力して、「Log in」をクリックします。
  7. 3回目の無効なログイン試行を行って、「Log in」ボタンが5秒間使用できなくなることを確認します。
    補足: 3回目のログインを試みた後、システムがError Authentication failed メッセージを表示することがあります。 ブラウザのウィンドウを更新すると、ログインページに戻ります。
    Security Policy Challenge Test - Login Screen without Login button
  8. 4回目の無効なログイン試行を行って、「Log in」ボタンが10秒間使用できなくなることを確認します。
  9. 正しいログイン情報を使用してアプリケーションにログインし、アプリケーションにアクセスできることを確認します。
補足: ログインに成功すると、パスワードの変更を促すメッセージが表示されます。
ヒント: アプリケーション開発時に、ユーザーのロックアウトを防ぐために、アプリケーションを本番環境に配置するまで、セキュリティポリシーを無効にすることが必要になる場合があります。 「Security Policies」ランディングページに戻って、設定を無効にします。

このチャレンジは、下記のモジュールで学習したことを実践するための内容です。


このモジュールは、下記のミッションにも含まれています。

If you are having problems with your training, please review the Pega Academy Support FAQs.

このコンテンツは役に立ちましたか?

改善できるところはありますか?

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice