外部クライアントを使用した、ログインの記録

始める前に

外部クライアントを使用して要求をアプリケーションに送信する場合、開始 URL は不要ですが、探査のステージ完了後、ADAC によって自動的に定義されます。
注: アプリケーションが中間者保護を使用している場合、ADAC をプロキシーとして使用して、そのアプリケーションをスキャンすることはできません。

このタスクについて

外部ブラウザーを使用してログインを記録することで、どの要求を送信して、スキャン中にログインできるようにするかを、ADAC に指示できます。ユーザーがログインすると、AppScan は、セッション内パターンを識別します。そのパターンを将来使用して、引き続きログインしていることを確認します。

AppScan は、サイトの応答を正確に評価できるよう、常にサイトへのログインおよびログアウト状態を把握している必要があります。スキャン中、AppScan はセッション内検出要求を繰り返し送信し、応答に「セッション内検出パターン」が含まれていることを確認して、まだログイン状態であることを検証します。AppScan が、ページの応答でこのパターンを検出しなかった場合、AppScan は、ログアウト状態であると見なし、ログイン手順をやり直してログインを再試行します。その結果、通常はスキャン中にログイン手順が何回も繰り返されることになります。そのため、ログイン手順は可能な限り少ないステップで構成することが推奨されます。また、「セッション内」ページが小規模なページであり、追跡パラメーターや Cookie が存在しない場合も、スキャン時間が大幅に増加する可能性があるため、ステップを少なくすることが効果的です。

ログインを記録するには:

手順

  1. 「ログイン管理」>「ログイン」タブで、「記録済み」ラジオ・ボタンを選択します。
  2. 赤色の「記録」ボタン >「外部クライアント」> の順にクリックし、ログインに使用するクライアントを選択します。
    オプション説明
    Postman ADAC が開き、Postman を自動的に構成して、記録プロキシーとしての ADAC と連携できるようにします (IP およびポート)。その後、ADAC は、トラフィック・レコーダーを開き、ユーザーが Postman から送信した要求を記録します。
    SoapUI ADAC が開き、SoapUI を自動的に構成して、記録プロキシーとしての ADAC と連携できるようにします (IP およびポート)。その後、ADAC はトラフィック・レコーダーを開き、ユーザーが SoapUI から送信した要求を記録します。
    注: 構成の変更は、セッション中に開いたその他のすべてのインスタンスに影響します。そのため、開始前に、開いているすべてのインスタンスを閉じ、記録中にその他のインスタンスを開かないことをお勧めします。ADAC を閉じると、SoapUI も閉じます。変更した設定は、元の設定に戻ります。
    SSL の場合は、SoapUI を使用した SSL を参照してください。
    その他 使用したいクライアントが別のマシンにインストールされている、あるいは、Postman または SoapUI 以外のクライアントを ADAC と同じマシンで使用している場合は、このオプションを選択します。ADAC をプロキシーとして使用する場合、クライアントを開き、手動で構成するように求められます。

    SSL の場合は、他の外部クライアントを使用した SSL を参照してください。

    ADAC 外部ログイン・レコーダーが開き、そのクライアントから Web サービスに送信した要求が記録されます。詳しくは、外部ログイン・レコーダーを参照してください。

    Postman または SoapUI を選択すると、それが開き、ADAC を記録プロキシーとして使用するように構成されます。
    注: ADAC Postman または SoapUI は、AppScan と同じマシンにインストールされている場合のみ、自動的に構成されます。そうでない場合は、次の手順で「その他」を選択して、クライアントを自分で構成してください。
    注: SSL を使用する場合は、次の手順も実行する必要があります。SoapUI を使用した SSL
  3. 「外部クライアント」>「その他」を選択した場合、クライアントを開き、トラフィック・レコーダーの上部に表示されたポートと IP を使用するように設定します。クライアントが ADAC と同じマシン上にある場合、表示されている「ローカル IP」を使用します。そうでない場合は「リモート IP」を使用します。
    注: SSL を使用する場合は、次の手順も実行する必要があります。 他の外部クライアントを使用した SSL
  4. どのような要求であれ、クライアントからそれらを送信するには、有効なユーザーとしてサイトにログインする必要があります。ログイン中に追加の要求を送信できるのは、ログイン・ユーザーのみです。
    重要:
    • Web サービスの場合、ログイン後に追加の要求を送信する必要があります。これにより、ADAC がセッション内パターンを識別できるようになります。
    • ログイン・レコーダーに、送信したトラフィックが表示されることを確認してください。表示されない場合は、トラフィック・レコーダーのトラブルシューティングを参照してください。
  5. ログイン・レコーダーで、記録の停止をクリックし、保存をクリックして閉じます。

    AppScan® が、スキャン時に使用するために、ログイン情報をログイン要求から抽出します。

    「セッション情報」ダイアログ・ボックスが開き、記録したログイン要求が表示され、グレーの鍵アイコン緑色の鍵アイコン に変わります。これは、そのセッション内検出が有効であることを示します。
    注: 鍵アイコンが赤色 赤色の鍵アイコン に変化した場合、AppScan® はスキャン中に使用できるセッション内ページのパターンを識別してログアウトしていないことを確認しようとしましたが、それができませんでした。こうなった場合は、AppScan® の「セッション内パターン」を識別する必要があります。詳しくは、「検出パターンの選択」ダイアログ・ボックスを参照してください。場合によっては、より具体的なメッセージが表示され、この問題のトラブルシューティングに関するこのヘルプ内のページへのリンクが示されることがあります。ログインのトラブルシューティングを参照してください。
  6. 記録された手順に変更を加える (例えば、不要なステップを除去する) には、レビューと検証タブを参照してください。
    ヒント: 一般に、ユーザーがログインで使用する URL は、「セッション内」としてマークされています (この応答は、セッション内パターンが含まれる最初の応答です)。ただし、後で、セッション内パターンも含まれるが、より小規模なページ、または追跡対象パラメーターや Cookie が含まれないページという利点がある URL を選択することが必要な場合もあります。さらに、ユーザー資格情報を使用する POST 要求が、ユーザーがログインする要求であり、最初にセッション内パターンが含まれている場合があります。セッション内ページでは、セッション内検査が毎回資格情報を送信することでセッション応答での誤検出につながるため、これは不適切な選択です。『セッション内検出の最適化』を参照してください。
  7. 新規のログイン手順を保存するには、「OK」をクリックします。
    ヒント: セッション内ページに追跡対象のパラメーターと Cookie が含まれていないことがわかっている場合は、「詳細構成」>「セッション管理: セッション内ページの解析」設定を「False」に変更すると、スキャンのパフォーマンスを改善することができます。『詳細構成』を参照してください。

次のタスク

関連トピック:

トラフィック・レコーダーのトラブルシューティング

SoapUI を使用した SSL

マルチステップ操作