Políticas de troca de senha

Uma política de troca de senha define as configurações que determinam o fluxo do processo de alteração de senha via autosserviço. Essas configurações incluem a utilização de segundos fatores de autenticação, critérios de elegibilidade baseados em atributos do usuário e regras para gerenciamento de bloqueios de segurança, garantindo um processo seguro e alinhado às diretrizes da organização.

Acessando uma política

Uma política de troca de senha pode ser acessada na tela de listagem de políticas de troca de senha. Para isso siga os passos:

Autentique-se no Admin console;
Acione o item do menu Gerenciamento de senhas > Troca de senhas > Geral > Políticas;
À partir da página de listagem de políticas de troca de senhas, pode-se adicionar uma política com o botão Nova política, ou editar as configurações de política clicando nela, ou remover políticas.

Criando uma nova política

A configuração de uma política, de modo geral, é composta por quatro etapas, sendo elas:

Para criar uma nova política de troca de senha, você deve acessar a listagem de políticas e:

Na aba de Políticas disponíveis;
Clicar no botão Nova política;
Preencher nome e descrição;
Clicar no botão Salvar.

Após a criação da política é necessário configurá-la, iniciando pelos fatores que serão aplicados.

Configurando uma política

Para configurar uma política de troca de senha, você deve acessar a listagem de políticas e:

Na aba de Políticas disponíveis;
Filtre e clique na política que se deseja configurar;
A tela de detalhamento da política será aberta.

Aa tela de detalhamento de uma política de troca de senha, possui 4 abas:

Resumo

Na tela Resumo é possível ver as informações de nome, descrição e datas de criação e edição. Pode-se editar a descrição.

Configurações

Na tela de Configurações é possível configurar os fatores de troca de senha, como:

Opções de perguntas secretas
- pode-se configurar a quantidade de questões secretas que o usuário deverá responder;
- as perguntas secretas podem ser configuradas via admin console, a partir do menu Autenticação > Fatores > Geral > Perguntas secretas;
Opções para envio de Token via email
- pode-se configurar se o token será enviado via email e se vai ser enviado para o email pessoal, ou email corporativo ou ambos;
- as configurações de envio de notificações via email é detalhado no guia admin console, acessado nesse link.
Opções para envio de Token via SMS
- pode-se configurar se o token será enviado via SMS e se vai ser enviado para o telefone primário, ou para o telefone móvel ou para ambos;
- as configurações de provedor de envio de SMS é detalhado no guia do admin console, acessado nesse link.
Opções de Token via aplicativos
- pode-se configurar se o token será gerado via aplicativo de autenticação, no caso o Google authenticator;
- as configurações de dispositivos para usar o Google authenticator como segundo fator deve ser feita por cada usuário via workspace, e tais configurações são detalhadas no guia do usuário, acessado nesse link.

Elegibilidade

A elegibilidade permite determinar a política de troca de senha mais adequada para cada situação, com base nos dados do usuário e/ou no contexto da requisição HTTP.

Nota

Sempre que uma troca de senha é solicitada, um motor de elegibilidade avalia as políticas disponíveis numa ordem pré definida pelo administrador. A primeira política que corresponder aos parâmetros será aplicada no momento da troca. Caso nenhuma política seja compatível, uma política padrão será utilizada.

Nota

A elegibilidade da política deve ser habilitada para que a política seja considerada durante o processo de elegibilidade.

Para configurar a elegibilidade comece configurando o campo de combinação:

No campo Combine, selecione a opção desejada:
- Algum: A política será aplicada se pelo menos uma das condições configuradas for atendida.
- Todas: A política será aplicada somente se todas as condições configuradas forem atendidas simultaneamente.
Adicionar Nova Condição:
1. Clique no botão Adicionar Condição.
2. No campo atributo, selecione um atributo do usuário ou um atributo da requisição HTTP.
3. No campo Operador, defina a operação relacional a ser aplicada.
4. No campo Valor insira o valor que será avaliado.
Gerenciamento de Condições:
1. Para adicionar mais condições, repita o passo 2.
2. Para remover uma condição, clique no ícone de lixeira ao lado da linha correspondente.
3. Para remover todas as condições, clique em Remover todas as condições.

Atributos

Para cada condição, o administrador deve selecionar um Atributo de um objeto, um Operador e um Valor correspondente. As combinações disponíveis são:

Objeto

Atributo

Operador

Valor

Observação

Atributos do usuário

Username

contains,

equal,

not equal ou contained in

Este campo deve ser preenchido com o valor desejado pelo usuário

Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'

Atributos do usuário

"Qualquer outro atributo do usuário"

contains,

equal,

not equal ou contained in

Este campo deve ser preenchido com o valor desejado pelo usuário

Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'

Contexto da requisição

Browser

contains,

equal,

not equal ou contained in

Este campo deve ser preenchido com o valor desejado pelo usuário

Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'

Contexto da requisição

Endereço IP

contains,

equal,

not equal ou contained in

Este campo deve ser preenchido com o valor desejado pelo usuário

Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'

Contexto da requisição

Horário

equal, not equal, less than, greater than, less than or equal, greater than or equal

Este campo deverá ser preenchido com um valor de hora e minuto no padrão de 23 horas no formato hh:mm

Exemplo: use 14:35 para definir duas horas da tarde e 35 minutos

Contexto da requisição

Rede de origem

contains,

equal,

not equal ou contained in

Este campo deve ser preenchido com o valor desejado pelo usuário.

Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'. Esse atributo tem um valor "unknow" que determina uma rede não cadastrada

Contexto da requisição

Sistema operacional

contains,

equal,

not equal ou contained in

Este campo deve ser preenchido com o valor desejado pelo usuário.

Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'

Contexto da requisição

Tipo do dispositivo

contains,

equal,

not equal ou contained in

Este campo deve ser preenchido com o valor desejado pelo usuário.

Caso seja usado o operador "contained in", o valor deverá ser uma lista de strings, cada uma separada por ';'

Grupos do usuário

contains at least one

Este campo deverá ser preenchido com uma lista de nomes de grupos selecionados.

O operador define se o usuário tem pelo menos um dos grupos dentro da listagem selecionada

Papéis do usuário

contains at least one

Este campo deverá ser preenchido com uma lista de nomes de papéis selecionados.

O operador define se o usuário tem pelo menos um dos papéis dentro da listagem selecionada

Operadores relacionais

Para cada tipo de atributo é disponibilizado um conjunto de operadores relacionais. Para saber os operadores disponíveis por cada atributo basta selecionar o atributo e clicar no campo Operador. A lista de operadores disponíveis para o campo será apresentada.

Todos os operadores disponíveis na elegibilidade das políticas de troca de senha estão listados na tabela abaixo:

Operador

Descrição

equal

Resulta verdade se todo o conteúdo do Atributo é igual ao conteúdo preenchido no campo Valor.

not equal

Resulta verdade se todo o conteúdo do Atributo não é igual ao conteúdo preenchido no campo Valor.

contains

Resulta verdade se o conteúdo do Atributo contem algum fragmento do conteúdo preenchido no campo Valor.

contained in

Resulta verdade se o conteúdo do Atributo está contido numa lista entrada no campo Valor, com os valores separados por ponto e vírgula (;).

less than

Resulta verdade se o conteúdo do Atributo é menor que o Valor preenchido no campo Valor.

less than or equal

Resulta verdade se o conteúdo do Atributo é menor ou igual que o Valor preenchido no campo Valor.

greater than

Resulta verdade se o conteúdo do Atributo é maior que o Valor preenchido no campo Valor.

greater than or equal

Resulta verdade se o conteúdo do Atributo é maior ou igual que o Valor preenchido no campo Valor.

contains at least one

Resulta verdade se o conteúdo do Atributo (uma lista) contém pelo menos um valor numa lista entrada no campo Valor, com os valores separados por ponto e vírgula (;).

Segurança

É possível configurar bloqueios de segurança com base em algumas situações durante o processo de troca de senha. As configurações permitidas envolvem definir a quantidade de tentativas, o tempo de manutenção do bloqueio além da habilitação ou não da regra.

São três tipos de bloqueios possíveis:

Tipo

Descrição

Username inválido

Username incorreto no momento da troca da senha.

Token inválido

Token incorreto no momento da troca da senha.

Resposta inválida

Resposta incorreta no momento da troca da senha.

E são dois tipos de elementos passíveis de serem bloqueados:

Tipo de bloqueio

Descrição

Origem

Representa a rede de origem da requisição HTTP da troca da senha. Nesse caso, o bloqueio irá restringir qualquer tentativa de troca de senha cuja requisição venha da mesma rede.

Usuário

Representa o usuário que está trocando a senha. Nesse caso o bloqueio irá restringir qualquer tentativa de troca de senha do mesmo usuário.

Nota

É necessário habilitar cada regra de segurança definida para que ela seja considerada.

Uma vez que se habilite alguma das regras de bloqueios de segurança, o processo de validação da segurança será feito nas trocas realizadas pelo portal de troca de senhas.

Quando alguma condição ocorrer, por exemplo, o usuário realizar 3 tentativas incorretas de entrada do token, e estiver habilitada essa regra de bloqueio, será gerada uma entrada de bloqueio de segurança.

A partir desse momento, o usuário ou origem em questão fica bloqueado pelo tempo definido na regra ou até que o administrador libere o bloqueio manualmente no Blazon.

As entradas de bloqueios de segurança podem ser gerenciadas em:

Acesse o menu Gerenciamento e Monitoramento > Troca de senha > Segurança > Bloqueios;
Pode-se filtrar e realizar o desbloqueio dos bloqueios desejados;

Política padrão

O Blazon necessita de uma configuração de uma política de troca de senha padrão que será aplicada caso nenhuma outra política de match com o processo de elegibilidade com base nas regras definidas.

Nota

O Blazon obriga a configuração de uma política de troca de senha padrão para o adequado funcionamento do processo de troca de senha. Essa política de troca de senha padrão é aplicada quando o processo de elegibilidade não consegue eleger uma política para um determinado usuário.

Nota

Essa política padrão pode ser configurada com base na listagem das políticas já existentes e o administrador pode defini-la com base nas necessidades das operações de troca de senha.

Para definir uma política de troca de senha como padrão, você deve acessar a listagem de políticas e:

Na aba de Política padrão, selecione a política desejada.

A configuração é salva automaticamente.

Removendo uma política

Para remover uma política de troca de senha, basta ir na tela de listagem de políticas (ver Acessando uma política de troca de senha) e:

Na aba de Políticas disponíveis;
Selecionar a(s) política(s) a serem removidas;
Clicar no botão Remover.

Nota

O Blazon não permite a remoção da política que estiver configurada como padrão.

AnteriorDicionários de palavras PróximoSincronismo

Atualizado há 3 dias

Isto foi útil?