Gestión de sesión

Cuando los usuarios están inactivos durante un determinado período, Pega Platform les solicita que vuelvan a autenticarse ingresando sus credenciales de inicio de sesión. La sesión del navegador no puede reanudarse hasta que se acepten el nombre de usuario y la contraseña. Requerir la reautenticación ayuda a evitar que un usuario malintencionado o no autorizado secuestre la sesión del navegador.

Si el servidor de aplicaciones u otra instalación externa administra el tiempo de espera de la sesión, el checkbox de tiempo de espera debe estar desmarcado si su organización utiliza un servicio de autenticación.

El tiempo de espera de la sesión se puede configurar de acuerdo con las políticas de seguridad de la organización:

• En la pestaña Advanced del grupo de acceso
• En los Ajustes de configuración avanzados del Servicio de autenticación (excepto el tipo Custom/Anonymous/Kerberos) al habilitar Usar tiempo de espera del grupo de acceso
• En la pestaña Custom (Personalizar) del Servicio de autenticación para el tipo Custom/Kerberos al habilitar Usar tiempo de espera PegaRULES
• En una regla del Portal usando la sección pxSessionTimer

Si una organización quiere terminar las sesiones activas de los usuarios cuando están en línea por un plazo más largo del especificado, por ejemplo, 8 horas, se recomienda crear una actividad de tiempo de espera personalizada usando pxSessionTimerpara mostrar la pantalla de cierre de sesión.

Configure los parámetros de Cross-Site Request Forgery (Falsificación de solicitud entre sitios) (CSRF) para evitar que los usuarios realicen cambios accidentalmente por un ataque CSRF. Puede configurar la validación de actividades y transmisión, agregar nombres de anfitrión a una lista de permitidos y especificar los nombres de anfitrión que desea que se verifiquen para un autenticador CSRF. Pega Platform usa autenticadores de sesión para mitigar el riesgo de ataques CSRF. A cada sesión de usuario se le asigna uno o más autenticadores únicos. Estos autenticadores se ponen a disposición del navegador para incluirlos en la URL de todas las solicitudes. Cada solicitud se examina en busca de un autenticador válido y se rechaza si no se proporciona ningún autenticador o si el autenticador es inválido.

Para habilitar o cambiar la configuración predeterminada, en el encabezado de Dev Studio, haga clic en Configure > System > Settings > Cross-Site Request Forgery (Configurar > Sistema > Ajustes > Falsificación de solicitud entre sitios).

Las políticas Cross-Origin Resource Sharing (Intercambio de recursos de origen cruzado) (CORS) controlan cómo otros sistemas o sitios web pueden acceder a los recursos (API y servicios) proporcionados por su aplicación. Por ejemplo, Pega Platform utiliza políticas CORS para restringir qué aplicaciones de cliente robótico de Pega pueden conectarse a sus aplicaciones de Pega y limitar qué aplicaciones móviles pueden llamar a los servicios móviles de Pega.

Para configurar una política CORS, complete dos tareas principales:

• Defina la política CORS para una API o un servicio REST especificando los orígenes permitidos, los encabezados permitidos, los encabezados expuestos, los métodos permitidos, el uso de credenciales y el tiempo de vencimiento de verificación previa. En el encabezado de Dev Studio, haga clic en Create > Security > Cross Origin Resource Sharing (Crear > Seguridad > Intercambio de recursos de origen cruzado).
• Asigne la política de CORS a un punto final (URL o ruta) para el servicio API o REST que desea proteger. En el encabezado de Dev Studio, haga clic en Configure > Integration > Services > Endpoint-CORS Policy Mapping (Configurar > Integración > Servicios > Asignación de políticas de CORS a un punto final).

Un operador inactivo no debería poder iniciar sesión en Pega Platform. Cada Id. de operador tiene un número definido de días de inactividad antes de desactivarse automáticamente. Sin embargo, puede deshabilitar manualmente un operador en cualquier momento, si es necesario. Habilite políticas de seguridad para autenticación de usuario y gestión de sesión para mejorar la seguridad de la aplicación. Puede controlar la seguridad de los Id. de usuario y de las contraseñas, administrar los tiempos de espera de las sesiones y la desactivación de los Id. de operador, controlar la auditoría de los eventos de inicio de sesión e implementar CAPTCHA y autenticación de factor múltiple. En el encabezado de Dev Studio, haga clic en Configure > Org & Security > Authentication > Security Policies (Configurar > Organización y seguridad > Autenticación > Políticas de seguridad).