Pular para o conteúdo principal

Autenticação e Autorização

A segurança do Repositório compreende uma combinação de autenticação e autorização.

A autenticação é sobre a validação de que um usuário ou principal é quem ou o que afirma ser. As credenciais de um usuário podem assumir várias formas e podem ser validadas de várias maneiras. Por exemplo, uma senha validada em um diretório LDAP ou um tíquete Kerberos validado em um Microsoft Active Directory Server.

Os serviços de conteúdo incluem:

  • Uma implementação de autenticação interna baseada em senha.
  • Suporte para integração com muitos ambientes de autenticação externos.
  • A opção de escrever sua própria integração de autenticação e usar várias dessas opções simultaneamente.

Mitigar ataques de força bruta em senhas de usuários

A plataforma fornece proteção básica pronta para uso contra ataques de força bruta em logins de senha.

Para mitigar ataques de força bruta em senhas de usuários, após algumas tentativas de login com falha para qualquer ID de usuário, essa quantidade de tentativas está definido em seu perfil de segurança, o ID de usuário é colocado em modo Protegido.

O ID do usuário permanece no modo Protegido por um período de proteção também definido em seu perfil de segurança. Durante esse período, o usuário não poderá fazer login. Após o término do período de proteção em segundos, o usuário poderá fazer login com os detalhes de login corretos, isso se um terceiro parâmetro definido em seu perfil de segurança indicar que o usuário possui outro ciclo de tentativas de acesso. Caso contrário, o ID do usuário ficará em modo Bloqueado.

Para resumir, uma vez que um ID de usuário esteja em modo Protegido:

  • a programação causa um atraso de seis segundos entre as tentativas de login permitidas.
  • as solicitações de autenticação que ocorrem com mais frequência do que o cronograma permitido são negadas.
  • próxima tentativa de login que é negada devido ao algoritmo de limitação de taxa, gera uma mensagem ALERTA no arquivo de log do Repositório (apenas uma vez).
  • para cada tentativa consecutiva de login com falha, se o limite exceder o parâmetro definido, uma mensagem ALERTA é mostrada no arquivo de log do Repositório (apenas uma vez).
  • detalhes sobre tentativas de autenticação, incluindo o número de tentativas de login e data e hora da última tentativa de login e IP do usuário, são armazenados no log de autenticação.
  • O administrador do perfil do usuário recebe uma mensagem por email informando o ocorrido. Para evitar a divulgação do nome de usuário nos logs, a mensagem exibe apenas as três primeiras letras do nome de usuário.

O ID do usuário permanece como protected até que uma solicitação de autenticação correta seja processada após o período de proteção definido. A entrada é então removida do cache.

Esse recurso de proteção de login é ativado por padrão e pode ser configurado adicionando as seguintes propriedades no Surface.

PropertyDescription
authentication.protection.enabledEspecifica se o recurso de proteção de login está ativado ou desativado, por exemplo true.
authentication.protection.limitEspecifica o número de tentativas após as quais o ID do usuário se torna protegido, por exemplo 10.
authentication.protection.periodSecondsEspecifica o período de proteção após o qual uma tentativa válida de login pode ser feita, por exemplo 6.