Skip to main content

Challenge

Configurando políticas de segurança

2 Tarefas

5 min

Visible to all users
Intermediate Pega Platform 8.7 Segurança Portuguese

Scenario

A GogoRoad está passando por um grande número de falhas nas tentativas de login. A gerência desconfia de que as tentativas são ataques mal-intencionados de um bot de internet. A gerência pediu para você implementar um novo requisito de segurança. Após a primeira falha de tentativa de login, o usuário não pode fazer novas tentativas sem outras verificações. Após cada tentativa, o usuário deve aguardar um período cada vez mais longo antes de tentar novamente. A primeira falha de tentativa tem uma espera de cinco segundos.

Após a primeira falha de tentativa de login, exiba um CAPTCHA na página de login para verificar se o usuário é humano e não um bot automático. Após duas falhas de tentativas, habilite uma penalidade de bloqueio para aumentar o tempo para realizar novas tentativas de login com incrementos de cinco segundos.

A tabela a seguir apresenta as credenciais necessárias para concluir o desafio.

Papel Nome do usuário Senha
Desenvolvedor de aplicativo [email protected] pega123!
Nota: Seu ambiente de prática pode oferecer suporte para a conclusão de múltiplos desafios. Como resultado, a configuração exibida na apresentação do desafio pode não corresponder exatamente ao seu ambiente.

Challenge Walkthrough

Você deve iniciar sua própria instância da Pega para concluir este Challenge.

A inicialização pode leva até cinco minutos, portanto tenha paciência.

Detailed Tasks

1 Configurar CAPTCHA

  1. No cabeçalho do Dev Studio, clique em Configurar > Org e Segurança > Autenticação > Políticas de segurança (Configure > Org & Security > Authentication > Security Policies) para abrir a página inicial Políticas de segurança (Security Policies).
  2. Na seção Políticas requeridas frequentemente (Frequently required policies), marque a checkbox Enable frequently required policies (except for PRAuth-based authentication services)  (Habilitar as políticas requeridas frequentemente [exceto para serviços de autenticações baseado em PRAuth]) para habilitar as políticas de segurança requiridas com frequência.
    Nota: A opção Habilitar políticas requeridas frequentemente (Enable frequently required policies) fica ativada por padrão na Pega Platform, mas está desativada para facilitar este desafio específico.
  3. Na seção Políticas de CAPTCHA (CAPTCHA policies), no campo Habilitar módulo de teste de Turing reverso do CAPTCHA (Enable CAPTCHA Reverse Turing test module), selecione Enabled para habilitar o recurso CAPTCHA.
  4. Na lista Habilitar apresentação de CAPTCHA no login inicial (Enable presentation of CAPTCHA upon initial login), selecione Desabilitado (Disabled) para garantir que o CAPTCHA só seja exibido após a primeira falha de tentativa de login.
  5. No campo Probabilidade de que o CAPTCHA seja apresentado em uma falha de autenticação (%) (Probability that CAPTCHA will be presented upon authentication failure (%)), insira 100 para garantir que o CAPTCHA seja sempre apresentado quando uma tentativa de login falhar.
    CAPTCHA-policies-challenge-enabled

2 Configure a penalidade de bloqueio

  1. Na seção Políticas de bloqueio (Lockout policies), no campo Habilitar penalidade de bloqueio de autenticação (Enable authentication lockout penalty), selecione Enabled para ativar a penalidade de bloqueio.
  2. No campo Falhas de tentativas de login antes de aplicar a penalidade de bloqueio de autenticação (Failed login attempts before employing authentication lockout penalty), insira 2 para aplicar a penalidade de bloqueio após duas tentativas com falha.
  3. No campo Penalidade de bloqueio de autenticação inicial em segundos (Initial authentication lockout penalty in seconds), insira 5 para definir o primeiro período de bloqueio para cinco segundos.
    Nota: Os períodos de bloqueio subsequentes aumentam em incrementos de cinco segundos.
    lockout-policies-challenge-enabled
  4. Clique em Enviar (Submit) para aplicar as atualizações da política de segurança.
    Security Policy Challenge - Submit configuration
    Dica: Quando você importa políticas de segurança em uma instância da Pega Platform™, pode ser necessário limpar a página de dados que carrega essas configurações. No Dev Studio, navegue para a página de dados Declare_AuthPolicies e clique em Gerenciamento de carregamentos > Limpar página de dados (Load Management > Clear data page) para limpar a página de dados.

Confirm your work

  1. Faça logout do aplicativo. A tela de login da Pega é exibida.
  2. Na tela de login, no campo Nome do usuário (User name), insira [email protected]
  3. No campo Senha (Password), insira uma senha inválida.
  4. Clique em Fazer login (Log in)para acionar uma mensagem de erro e um campo CAPTCHA.
    Security Policy Challenge Test - Login Screen with Captcha
  5. Faça uma segunda tentativa usando credenciais inválidas.
  6. Insira o valor CAPTCHA e depois clique em Fazer login.
  7. Faça uma terceira tentativa para garantir que o botão Fazer login fique indisponível por cinco segundos.
    Nota: Após a terceira tentativa de login, o sistema pode exibir uma mensagem de Error Authentication failed  (Erro de falha de autenticação). Atualize sua janela do navegador para retornar à página de login.
    Security Policy Challenge Test - Login Screen without Login button
  8. Faça uma quarta tentativa para garantir que o botão Fazer login fique indisponível por dez segundos.
  9. Faça login no aplicativo com as credenciais corretas para garantir que você consegue acessar o aplicativo.
Nota: Depois de fazer login, você recebe um aviso para alterar sua senha.
Dica: Durante o desenvolvimento do aplicativo, para evitar bloqueios de usuários, pode ser necessário desativar as políticas de segurança até que o seu aplicativo esteja em produção. Volte para a página inicial Políticas de segurança (Security Policies) para desativar as configurações.

Este Desafio serve para praticar o que você aprendeu nos seguintes Módulo:


Disponível na seguinte missão:

If you are having problems with your training, please review the Pega Academy Support FAQs.

Este conteúdo foi útil?

Quer nos ajudar a melhorar esse conteúdo?

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice