Configurando políticas de segurança
2 Tarefas
5 min
Scenario
A GogoRoad está passando por um grande número de falhas nas tentativas de login. A gerência desconfia de que as tentativas são ataques mal-intencionados de um bot de internet. A gerência pediu para você implementar um novo requisito de segurança. Após a primeira falha de tentativa de login, o usuário não pode fazer novas tentativas sem outras verificações. Após cada tentativa, o usuário deve aguardar um período cada vez mais longo antes de tentar novamente. A primeira falha de tentativa tem uma espera de cinco segundos.
Após a primeira falha de tentativa de login, exiba um CAPTCHA na página de login para verificar se o usuário é humano e não um bot automático. Após duas falhas de tentativas, habilite uma penalidade de bloqueio para aumentar o tempo para realizar novas tentativas de login com incrementos de cinco segundos.
A tabela a seguir apresenta as credenciais necessárias para concluir o desafio.
Papel | Nome do usuário | Senha |
---|---|---|
Desenvolvedor de aplicativo | author@gogoroad | pega123! |
Nota: Seu ambiente de prática pode oferecer suporte para a conclusão de múltiplos desafios. Como resultado, a configuração exibida na apresentação do desafio pode não corresponder exatamente ao seu ambiente.
Challenge Walkthrough
Detailed Tasks
1 Configurar CAPTCHA
- No cabeçalho do Dev Studio, clique em Configurar > Org e Segurança > Autenticação > Políticas de segurança (Configure > Org & Security > Authentication > Security Policies) para abrir a página inicial Políticas de segurança (Security Policies).
- Na seção Políticas requeridas frequentemente (Frequently required policies), marque a checkbox Enable frequently required policies (except for PRAuth-based authentication services) (Habilitar as políticas requeridas frequentemente [exceto para serviços de autenticações baseado em PRAuth]) para habilitar as políticas de segurança requiridas com frequência.
Nota: A opção Habilitar políticas requeridas frequentemente (Enable frequently required policies) fica ativada por padrão na Pega Platform, mas está desativada para facilitar este desafio específico.
- Na seção Políticas de CAPTCHA (CAPTCHA policies), no campo Habilitar módulo de teste de Turing reverso do CAPTCHA (Enable CAPTCHA Reverse Turing test module), selecione Enabled para habilitar o recurso CAPTCHA.
- Na lista Habilitar apresentação de CAPTCHA no login inicial (Enable presentation of CAPTCHA upon initial login), selecione Desabilitado (Disabled) para garantir que o CAPTCHA só seja exibido após a primeira falha de tentativa de login.
- No campo Probabilidade de que o CAPTCHA seja apresentado em uma falha de autenticação (%) (Probability that CAPTCHA will be presented upon authentication failure (%)), insira 100 para garantir que o CAPTCHA seja sempre apresentado quando uma tentativa de login falhar.
2 Configure a penalidade de bloqueio
- Na seção Políticas de bloqueio (Lockout policies), no campo Habilitar penalidade de bloqueio de autenticação (Enable authentication lockout penalty), selecione Enabled para ativar a penalidade de bloqueio.
- No campo Falhas de tentativas de login antes de aplicar a penalidade de bloqueio de autenticação (Failed login attempts before employing authentication lockout penalty), insira 2 para aplicar a penalidade de bloqueio após duas tentativas com falha.
- No campo Penalidade de bloqueio de autenticação inicial em segundos (Initial authentication lockout penalty in seconds), insira 5 para definir o primeiro período de bloqueio para cinco segundos.
Nota: Os períodos de bloqueio subsequentes aumentam em incrementos de cinco segundos.
- Clique em Enviar (Submit) para aplicar as atualizações da política de segurança.
Dica: Quando você importa políticas de segurança em uma instância da Pega Platform™, pode ser necessário limpar a página de dados que carrega essas configurações. No Dev Studio, navegue para a página de dados Declare_AuthPolicies e clique em Gerenciamento de carregamentos > Limpar página de dados (Load Management > Clear data page) para limpar a página de dados.
Confirm your work
- Faça logout do aplicativo. A tela de login da Pega é exibida.
- Na tela de login, no campo Nome do usuário (User name), insira author@gogoroad.
- No campo Senha (Password), insira uma senha inválida.
- Clique em (Log in)para acionar uma mensagem de erro e um campo CAPTCHA.
- Faça uma segunda tentativa usando credenciais inválidas.
- Insira o valor CAPTCHA e depois clique em .
- Faça uma terceira tentativa para garantir que o botão Fazer login fique indisponível por cinco segundos.
Nota: Após a terceira tentativa de login, o sistema pode exibir uma mensagem de Error Authentication failed (Erro de falha de autenticação). Atualize sua janela do navegador para retornar à página de login.
- Faça uma quarta tentativa para garantir que o botão Fazer login fique indisponível por dez segundos.
- Faça login no aplicativo com as credenciais corretas para garantir que você consegue acessar o aplicativo.
Nota: Depois de fazer login, você recebe um aviso para alterar sua senha.
Dica: Durante o desenvolvimento do aplicativo, para evitar bloqueios de usuários, pode ser necessário desativar as políticas de segurança até que o seu aplicativo esteja em produção. Volte para a página inicial Políticas de segurança (Security Policies) para desativar as configurações.
Este Desafio serve para praticar o que você aprendeu nos seguintes Módulo:
Disponível na seguinte missão:
If you are having problems with your training, please review the Pega Academy Support FAQs.
Quer nos ajudar a melhorar esse conteúdo?