セッション検出

セッション内検出要求を選択し、セッション内 (またはセッション無効時) 検出パターンを定義して、AppScan がスキャン中にログイン・ステータスを検証できるようにセッション検出を構成します。高度なダイアログを使用して、記録済みログイン・シーケンスの確認、セッション内要求の設定、パターンの選択または定義 (正規表現がサポートされています)、「再検証」および「ログイン解析の実行」による検証またはトラブルシューティングを行います。

表 1. 詳細オプション
設定	詳細
ログイン再生	このセクションは、ログイン方法に「記録されたログイン」を選択した場合にのみ表示されます
ログイン再生方法	組み込みのブラウザーを使用して記録すると、AppScan は、記録するログイン手順の 2 つのバージョン保存します。1 つは実行したアクションをベースに、もう 1 つは実際に送信された HTTP 要求をベースにしています。アクション・ベース: (可能な場合はデフォルトで使用されます)AppScan は、アクション・ベースのログインを使用してログインを試行し、ユーザーのクリックとキー・ストロークを再生します。記録の再生: アクション・ベースのプレイヤーを開き、記録されたログイン手順をブラウザーで再生します。再生の編集: アクション・ベースのエディターを開き、ログイン記録の詳細の表示と編集を行います。要求ベース: 最初の方法が失敗した場合、AppScan は、要求ベース・バージョンのログインを使用します。要求ベース・バージョンのログインでは、ログイン記録から未加工の HTTP 要求を再送信します。再生の編集: 要求ベースのエディターを開き、ログイン記録の詳細の表示と編集を行います。どちらかの方法が失敗したことがメッセージに示された場合、もう一方の方法を使用してください。注: アクション・ベースのログインを選択してスキャン中に失敗した場合、AppScan は要求ベースのログインを試行します。成功した場合、この設定は自動的に要求ベースに変更されます。注: アクション・ベースのログインは、組み込みのブラウザーを使用している場合にのみ利用可能です。外部ブラウザーまたは外部クライアントを使用して記録している場合は、要求ベースのログインのみ利用可能です。
自動ログイン	このセクションは、ログイン方法に「自動ログイン」を選択した場合にのみ表示されます
自動ログイン構成の分析 > 分析	クリックして、AppScan で以下のアクションを実行します。指定された資格情報を使用して、サイトへのログインを試みます。ログイン・ページのセッション内検出パターンを識別します (以下を参照) セッション識別子を構成します (以下を参照: ログイン・セッション ID
セッション検出	スキャンの間、AppScan は、サイトの応答を正確に評価できるよう、常にサイトへのログインおよびログアウト状態を把握している必要があります。スキャン中、AppScan はセッション内検出要求を繰り返し送信し、応答にセッション内検出パターンが含まれているかどうかを確認して、ログインしていることを検証します。AppScan がページの応答にパターンを見つけられない場合、AppScan はログアウトされたとみなし、ログイン手順を再生して再度ログインを試みます。その結果、通常はスキャン中にログイン手順が何回も繰り返されることになります。そのため、ログイン手順は可能な限り少ないステップで構成することが推奨されます。また、「セッション内」ページが小規模なページであり、追跡パラメーターや Cookie が存在しない場合も、スキャン時間が大幅に増加する可能性があるため、ステップを少なくすることが効果的です。
セッション内検出要求	これは AppScan がセッション内の検証に使用する要求です。この要求は、ユーザーのログインの有無によって異なる応答を生成するものにする必要があります。 AppScan は、有効なセッション内要求を識別しようとします。これはドロップダウン・リストから 1 つ選択できます。見つからない場合、または適切なものがない場合は、詳細な要求選択ボタンを使用して独自の内容を選択できます。
詳細な要求選択ボタン	このボタンを使用するとダイアログ・ボックスが開きます。ここでログイン手順での要求を検討し、セッション内検出の要求を選択できます。詳細については、「セッション検出」を参照してください。
セッション内検出パターン	(セッション内検出の要求が選択された場合のみアクティブになります)このフィールドには、選択したセッション内検出の要求で見つかったパターンが表示されます。これはユーザーがセッション内にいる (または、オプションによってはセッション無効である) ことを示しています。ドロップダウン・リストで、AppScan がログイン記録で識別した候補から検出パターンを選択できます。パターン下の緑と赤のメッセージは、現在のパターンがセッション内またはセッション無効であることを示しています。注: 通常、セッション内パターンを使用することが推奨されます。ただし、セッション内要求の後にセッション内パターンが必ずしも返されない場合や、定義が複雑になる場合がまれにあります。そうした場合は、セッション内パターンの代わりにセッション無効パターンを使用することができます。 AppScan が有効なパターンを識別できない場合や、別のパターンを選択する必要がある場合は、「パターンの詳細な選択」ボタンを使用します (この表の次の行)。正規表現: パターンを識別するために正規表現を入力するには、このチェック・ボックスを選択します。詳細については、「「検出パターンの選択」ダイアログ・ボックス」を参照してください。
パターンの詳細な選択ボタン	(セッション内検出の要求が選択された場合のみアクティブになります)このボタンで検出パターンを選択ダイアログ・ボックスが開き、記録したログイン手順の要求に対するセッション内およびセッション無効の応答の内容が表示されます(選択した検出パターンに基づきます)。応答のコンテキストで選択した検出パターンを確認し、コンボ・ボックスに表示されない検出パターンを定義することができます。ダイアログ・ボックスを使用すると、記録されているすべての応答を切り替えられます。ボックスの上部では、AppScan により送信されたセッション内要求とセッション無効要求も確認できます。
検査
再検証	現在のログイン手順が検証済みの場合のみアクティブになります。クリックすると手順とセッション検出パターンを再検証します。
ログイン解析の実行	ログインが記録されているが、セッション内検出の設定が欠落しているか、正しくない場合にのみアクティブ。システムが記録されたログインを使用して分析し、正しい設定を識別できるようになります。設定が有効な場合は、通常どおり「再検証」リンクが表示されます。この機能はトラブルシューティングに特に役立ち、ユーザーはログインを再度記録することなく、記録されたログイン・シーケンスを調整し、セッション内検出の設定を見つけることが可能です。

詳細な要求の選択

「詳細なセッション内要求の選択」ダイアログ・ボックスは、「構成」>「ログイン管理」>「詳細オプション」>「セッション検出」>「詳細な要求の選択」から開きます。

これは、「要求ベースのログインの編集」ダイアログ・ボックスにさらに多くのオプションが追加されたバージョンです。このダイアログ・ボックスでは、以下が可能です。

ログイン時に送信した要求の順序を表示します。
「セッション内検出の要求」を表示します。
注: 「セッション内」とマークされたページは、最初に強調表示されるページになります。それより前の「ログイン」ページが強調表示されている場合は、セッション内パターンが正しくないか、間違ったページが「セッション内」としてマークされています。
手順内の URL をブラウザーに表示します。
別の要求をセッション内要求として設定し、この新しい要求から新しいセッション内検出パターンを選択します。
「セッション内」URL の前の不要な要求を削除し、AppScan がスキャン中にこれらの不要な要求を何回も繰り返すことがないようにします。
セッション内検出要求の後に送信された、セッション内検出パターンを含み、かつ「無視」とマークされた要求を表示します。
手順内で要求を検索します。
特定ドメインからの要求のみを表示します。
「検出パターンの選択」ダイアログ・ボックスを開いて、AppScan によって提示されていないパターンを選択します。

表 2. 「詳細なセッション内要求の選択」の設定
設定	詳細
「メイン」リスト	記録されたログイン手順に含まれているすべての要求が表示されます。
検索	URL、要求、応答、またはすべてに入力したテキスト文字列が含まれている要求のみを表示します。
ドメインの表示	ドロップダウン・リストで選択したドメインからの要求のみを表示します。クリックして、AppScan で以下のアクションを実行します。
「セッション内要求として設定」ボタン	選択した要求をセッション内要求として設定します。この要求は、まだログイン中であることを確認するために、スキャン中に AppScan によって使用されます。この操作は、リスト内の要求を右クリックして行うこともできます。
パターンの詳細な選択ボタン	「検出パターンを選択」ダイアログ・ボックスが開き、記録したログイン手順の要求に対するセッション内およびセッション無効の応答の内容を表示します (選択した検出パターンに基づきます)。応答のコンテキストで選択した検出パターンを確認し、コンボ・ボックスに表示されない検出パターンを定義することができます。ダイアログ・ボックスを使用すると、記録されているすべての応答を切り替えられます。ボックスの上部では、AppScan により送信されたセッション内要求とセッション無効要求も確認できます。この操作は、リスト内の要求を右クリックして行うこともできます。
	ログインが記録されたときに受け取った、選択した要求に対する応答が表示されます。次の 2 つのタブを持つウィンドウが開きます。「ブラウザー」タブには、受け取った応答が表示されます。「要求/応答」タブには、要求と応答の未加工データが表示されます。
	選択した要求がログイン手順から削除されます。
検出パターン	このフィールドには、選択したセッション内検出の要求で見つかったパターンが表示されます。これはユーザーがセッション内にいる (または、オプションによってはセッション無効である) ことを示しています。このドロップダウン・リストでは、AppScan がログイン記録で識別した候補から検出パターンを選択できます。緑と赤は、現在のパターンが有効か無効かを示しています。注: 通常、セッション内パターンを使用することが推奨されます。ただし、セッション内要求の後にセッション内パターンが必ずしも返されない場合や、定義が複雑になる場合がまれにあります。そうした場合は、セッション内パターンの代わりにセッション無効パターンを使用することができます。 AppScan が有効なパターンを識別できない場合や、別のパターンを選択する必要がある場合は、「パターンの詳細な選択」ボタンを使用して、独自のパターンを選択します。