Skip to main content

チャレンジ

セキュリティポリシーの設定

This content has been updated. ここをクリックして 最新バージョンでトレーニングを続ける。

シナリオ

GogoRoadでは、ログイン試行の失敗が大量に発生しています。 経営陣は、これらの試行はインターネットボットによる悪質な攻撃ではないかと疑っています。 経営陣から、新しいセキュリティ要件を実装するように依頼されました。 初回のログイン試行に失敗した後、ユーザーがさらにログインを行う場合は追加の検証を行う必要があります。 ログイン試行に失敗してから次にログインしようとするまでのユーザーの待ち時間は徐々に長くなります。 初回の試行に失敗した後は、5秒の遅れが発生します。

初回のログイン試行失敗の後、ログインページにCAPTCHAを表示して、ユーザーが人間であり自動化されたボットではないことを確認します。 ログイン試行が2回失敗した後で、以降のログイン試行を5秒ずつ遅らすために、ロックアウトペナルティを有効にします。

以下の表は、チャレンジに必要なログイン情報をまとめたものです。

ロール オペレーター ID パスワード
アプリケーションデベロッパー author@gogoroad pega123!

チャレンジ ウォークスルー

このチャレンジを完了するには、Pegaインスタンスを起動する必要があります。

起動には5分ほどかかることがありますので、しばらくお待ちください。

詳細なタスク

1 Configure CAPTCHA

  1. In the header of Dev Studio, click Configure > Org & Security > Authentication > Security Policies to open the Security Policies landing page.
    補足: The Enable frequently required policies check box is enabled by default.
  2. In the CAPTCHA policies section, in the Enable CAPTCHA Reverse Turing test module field, select Enabled to enable the CAPTCHA feature.
  3. In the Enable presentation of CAPTCHA upon initial login list, select Disabled to ensure that the CAPTCHA appears only after the first failed login attempt.
  4. In the Probability that CAPTCHA will be presented upon authentication failure (%) field, enter 100 to ensure that the CAPTCHA is always presented when a login attempt fails.
    CAPTCHA-policies-challenge-enabled

2 Configure the lockout penalty

  1. In the Lockout policies section, in the Enable authentication lockout penalty field, select Enabled to activate the lockout penalty.
  2. In the Failed login attempts before employing authentication lockout penalty field, enter 2 to set the lockout penalty to take effect after two failed attempts.
  3. In the Initial authentication lockout penalty in seconds field, enter 5 to set the first lockout period to five seconds.
    補足: Subsequent lockout periods increase in five second increments.
    lockout-policies-challenge-enabled
  4. Click Submit to apply the security policy updates.
    Security Policy Challenge - Submit configuration
    ヒント: When you import security policies in a Pega Platform™ instance, you may need to clear the data page that loads those settings. In Dev Studio, navigate to the Declare_AuthPolicies data page and click Load Management > Clear data page to flush the data page.

3 Confirm your work

  1. Log out of the application. The Pega login screen is displayed.
  2. On the login screen, in the User name field, enter author@gogoroad.
  3. In the Password field, enter an invalid password.
  4. Click Log in to invoke an error message and a CAPTCHA field.
    Security Policy Challenge Test - Login Screen with Captcha
  5. Make a second attempt by using invalid credentials.
  6. Enter the CAPTCHA value, and then click Log in.
  7. Make a third invalid login attempt to ensure the Log in button is unavailable for five seconds.
    Security Policy Challenge Test - Login Screen without Login button
  8. Make a fourth invalid login attempt to ensure the Log in button is unavailable for ten seconds.
  9. Log in to the application with the correct credentials to ensure that you can access the application.
ヒント: During application development, to prevent user lockouts, you may need to disable security policies until your application is in production. Return to the Security Policies landing page to disable the settings.


下記のミッションにも含まれています。

トレーニングを受講中に何か問題がありましたら、こちらをご覧ください: Pega Academy サポートのよくある質問 (FAQ).

このコンテンツは役に立ちましたか?

改善できるところはありますか?

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice