Políticas de troca de senha
Uma política de troca de senha define as configurações que determinam o fluxo do processo de alteração de senha via autosserviço. Essas configurações incluem a utilização de segundos fatores de autenticação, critérios de elegibilidade baseados em atributos do usuário e regras para gerenciamento de bloqueios de segurança, garantindo um processo seguro e alinhado às diretrizes da organização.
Acessando uma política
Uma política de troca de senha pode ser acessada na tela de listagem de políticas de troca de senha. Para isso siga os passos:
Autentique-se no Admin console;
Acione o item do menu Gerenciamento de senhas > Troca de senhas > Geral > Políticas;
À partir da página de listagem de políticas de troca de senhas, pode-se adicionar uma política com o botão Nova política, ou editar as configurações de política clicando nela, ou remover políticas.
Criando uma nova política
Para criar uma nova política, você deve:
Na aba de Políticas disponíveis;
Clicar no botão Nova política;
Preencher nome e descrição;
Clicar no botão Salvar.
Configurando uma política
Para configurar uma política de troca de senha, você deve acessar a listagem de políticas e:
Na aba de Políticas disponíveis;
Filtre e clique na política que se deseja configurar;
Ao acessar a política, em seu detalhamento a mesma possui quatro abas:
Na aba Resumo é possível ver as informações de nome, descrição e datas de criação e edição.
Apenas o campo de descrição, pode ser alterado.
Na aba de Configurações é possível configurar os fatores de troca de senha, como:
Opções de perguntas secretas
pode-se configurar a quantidade de questões secretas que o usuário deverá responder;
as perguntas secretas podem ser configuradas via admin console, a partir do menu Autenticação > Fatores > Geral > Perguntas secretas;
Opções para envio de Token via email
pode-se configurar se o token será enviado via email e se vai ser enviado para o email pessoal, email corporativo ou ambos;
Para esta opção você deve:
Garantir que os usuários possuam os atributos email e/ou personalEmail preenchidos.
Opções para envio de Token via SMS
pode-se configurar se o token será enviado via SMS e se vai ser enviado para o telefone primário, ou para o telefone móvel ou para ambos;
Para esta opção você deve:
Garantir que os usuários possuam os atributos mobilePhone e/ou primaryPhone preenchidos.
Opções de Token via aplicativos
pode-se configurar se o token será gerado via aplicativo de autenticação, no caso o Google authenticator;
as configurações de dispositivos para usar o Google authenticator como segundo fator deve ser feita por cada usuário via workspace ou pelo portal de autosserviços.
Na aba elegibilidade é possível determinar as regras de elegibilidade de uma política. A elegibilidade permite determinar a política de troca de senha mais adequada para cada situação, com base nos dados do usuário e/ou no contexto da requisição HTTP.
Nota
Sempre que uma troca de senha é solicitada, um motor de elegibilidade avalia as políticas disponíveis numa ordem pré definida pelo administrador. A primeira política que corresponder aos parâmetros será aplicada no momento da troca. Caso nenhuma política seja compatível, uma política padrão será utilizada.
Nota
A elegibilidade da política deve ser habilitada para que a política seja considerada durante o processo de elegibilidade.
Para configurar a elegibilidade comece configurando o campo de combinação:
No campo Combine, selecione a opção desejada:
Algum: A política será aplicada se pelo menos uma das condições configuradas for atendida.
Todas: A política será aplicada somente se todas as condições configuradas forem atendidas simultaneamente.
Adicionar Nova Condição:
Clique no botão Adicionar Condição.
No campo atributo, selecione um atributo do usuário ou um atributo da requisição HTTP.
No campo Operador, defina a operação relacional a ser aplicada.
No campo Valor insira o valor que será avaliado.
Gerenciamento de Condições:
Para adicionar mais condições, repita o passo 2.
Para remover uma condição, clique no ícone de lixeira ao lado da linha correspondente.
Para remover todas as condições, clique em Remover todas as condições.
Atributos
Para cada condição, deve-se selecionar um Atributo de um objeto, um Operador e um Valor correspondente. As combinações disponíveis são:
Atributos do usuário
Username
contains,
equal,
not equal ou contained in
Este campo deve ser preenchido com o valor desejado pelo usuário
Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'
Atributos do usuário
"Qualquer outro atributo do usuário"
contains,
equal,
not equal ou contained in
Este campo deve ser preenchido com o valor desejado pelo usuário
Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'
Contexto da requisição
Browser
contains,
equal,
not equal ou contained in
Este campo deve ser preenchido com o valor desejado pelo usuário
Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'
Contexto da requisição
Endereço IP
contains,
equal,
not equal ou contained in
Este campo deve ser preenchido com o valor desejado pelo usuário
Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'
Contexto da requisição
Horário
equal, not equal, less than, greater than, less than or equal, greater than or equal
Este campo deverá ser preenchido com um valor de hora e minuto no padrão de 23 horas no formato hh:mm
Exemplo: use 14:35 para definir duas horas da tarde e 35 minutos
Contexto da requisição
Rede de origem
contains,
equal,
not equal ou contained in
Este campo deve ser preenchido com o valor desejado pelo usuário.
Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'. Esse atributo tem um valor "unknow" que determina uma rede não cadastrada
Contexto da requisição
Sistema operacional
contains,
equal,
not equal ou contained in
Este campo deve ser preenchido com o valor desejado pelo usuário.
Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'
Contexto da requisição
Tipo do dispositivo
contains,
equal,
not equal ou contained in
Este campo deve ser preenchido com o valor desejado pelo usuário.
Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'
Grupos do usuário
Grupos do usuário
contains at least one
Este campo deverá ser preenchido com uma lista de nomes de grupos selecionados.
O operador define se o usuário tem pelo menos um dos grupos dentro da listagem selecionada
Papéis do usuário
Papéis do usuário
contains at least one
Este campo deverá ser preenchido com uma lista de nomes de papéis selecionados.
O operador define se o usuário tem pelo menos um dos papéis dentro da listagem selecionada
Operadores relacionais
Para cada tipo de atributo é disponibilizado um conjunto de operadores relacionais. Para saber os operadores disponíveis por cada atributo basta selecionar o atributo e clicar no campo Operador. A lista de operadores disponíveis para o campo será apresentada.
Todos os operadores disponíveis na elegibilidade das políticas de troca de senha estão listados na tabela abaixo:
equal
Resulta verdade se todo o conteúdo do Atributo é igual ao conteúdo preenchido no campo Valor.
not equal
Resulta verdade se todo o conteúdo do Atributo não é igual ao conteúdo preenchido no campo Valor.
contains
Resulta verdade se o conteúdo do Atributo contem algum fragmento do conteúdo preenchido no campo Valor.
contained in
Resulta verdade se o conteúdo do Atributo está contido numa lista entrada no campo Valor, com os valores separados por ponto e vírgula (;).
less than
Resulta verdade se o conteúdo do Atributo é menor que o Valor preenchido no campo Valor.
less than or equal
Resulta verdade se o conteúdo do Atributo é menor ou igual que o Valor preenchido no campo Valor.
greater than
Resulta verdade se o conteúdo do Atributo é maior que o Valor preenchido no campo Valor.
greater than or equal
Resulta verdade se o conteúdo do Atributo é maior ou igual que o Valor preenchido no campo Valor.
contains at least one
Resulta verdade se o conteúdo do Atributo (uma lista) contém pelo menos um valor numa lista entrada no campo Valor, com os valores separados por ponto e vírgula (;).
Na aba Segurança é possível configurar bloqueios de segurança com base em algumas situações durante o processo de troca de senha. As configurações permitidas envolvem definir a quantidade de tentativas, o tempo de manutenção do bloqueio além da habilitação ou não da regra.
Tipos ações analisadas
Username inválido
Username incorreto no momento da troca da senha.
Token inválido
Token incorreto no momento da troca da senha.
Resposta inválida
Resposta incorreta no momento da troca da senha.
Tipos de bloqueio
Origem
Representa a rede de origem da requisição HTTP da troca da senha. Nesse caso, o bloqueio irá restringir qualquer tentativa de troca de senha cuja requisição venha da mesma rede.
Usuário
Representa o usuário que está trocando a senha. Nesse caso o bloqueio irá restringir qualquer tentativa de troca de senha do mesmo usuário.
Uma vez que se habilite alguma das regras de bloqueios de segurança, o processo de validação da segurança será feito nas trocas realizadas pelo portal de troca de senhas.
Quando alguma condição ocorrer, por exemplo, o usuário realizar 3 tentativas incorretas de entrada do token, e estiver habilitada essa regra de bloqueio, será gerada uma entrada de bloqueio de segurança.
A partir desse momento, o usuário ou origem em questão fica bloqueado pelo tempo definido na regra ou até que o administrador libere o bloqueio manualmente no Blazon.
As entradas de bloqueios de segurança podem ser gerenciadas em: Gerenciamento e Monitoramento > Troca de senha > Segurança > Bloqueios
Pode-se filtrar e realizar o desbloqueio dos bloqueios desejados;
Política padrão
O Blazon requer a configuração de uma política padrão de troca de senha, que será aplicada sempre que nenhuma outra política atender aos critérios de elegibilidade definidos pelas regras estabelecidas.
Nota
Essa política padrão pode ser configurada com base na listagem das políticas já existentes e o administrador pode defini-la com base nas necessidades das operações de troca de senha.
Para definir uma política de troca de senha como padrão, você deve acessar a listagem de políticas e:
Na aba de Política padrão, selecione a política desejada.
A configuração é salva automaticamente.
Removendo uma política
Para remover uma política, você deve:
Na aba de Políticas disponíveis;
Selecionar a(s) política(s) a serem removidas;
Clicar no botão Remover.
Atualizado
Isto foi útil?