多要素認証 (MFA)

ワンタイム・パスワードまたはセキュリティーの質問 (多要素認証) を使用するように、AppScan® を構成します。

ワンタイム・パスワード (OTP)

アプリケーションで OTP を使用する場合は、2 つのオプションのいずれかを選択します。それ以外の場合は、デフォルト設定のままにします。なし。

ログイン手順を記録すると、AppScan はトラフィックから関連パラメーターを抽出し、それらを OTP HTTP パラメーター・リストに追加します。また、「フォームの自動入力」ビューの OTP 項目にも追加されます。AppScan がパラメーターの識別に失敗した場合は、このビューまたは「フォームの自動入力」ビューで、パラメーターをユーザー自身で追加する必要があります。
制限:
  • スキャンごとにサポートされる OTP タイプ (TOTP または URL 生成) は 1 つのみです。
  • TOTP の場合、数値のみサポートされます。
  • OTP が構成されている場合は、「ログイン再生」で選択されたログイン再生方法がアクション・ベースである必要があります。OTP は、要求ベースのログインでは機能しません。
短いビデオ・デモを表示するには、下のアイコンをクリックします。

OTP HTTP パラメーターの識別方法

AppScan は、アプリケーションにログインできるようにするために、OTP を含むパラメーターの名前を知っている必要があり、通常は記録されたログイン手順を検証するときにそれを識別します。これが失敗した場合、または自動ログインを使用する場合は、ユーザー自身でパラメーターを追加する必要があります。

パラメーターを識別するには、以下のようにします。
  1. ブラウザーを開き、アプリケーションのログイン・ページに移動します。
  2. F12 をクリックして、ブラウザーの開発者ツール・ペインを開きます (メイン・ブラウザー・ペインの右側または下に開きます)。
  3. 「エレメント」タブをクリックして、HTML コードを表示します。

    コードの一部を選択すると、メイン・ブラウザー・ペインでエレメントが強調表示されます。

  4. OTP フィールドを強調表示するエレメントを見つけます。
    例:
    <input type="text" name="OTPvalue" value="">
  5. name パラメーターの値 (引用符なし) が、必要な OTP HTTP パラメーターです。
    例:
    OTPvalue
  6. 複数の OTP HTTP パラメーターがある場合は、「別の追加」をクリックして、必要に応じてフィールドを追加します。

セキュリティーの質問

「セキュリティーの質問」は、ユーザー・アカウントにセキュリティー層を追加するためにアプリケーションや Web サイトで一般的に使用される方法です。これらの質問は通常個人的なものであり、ユーザーは自分だけが知っているはずの具体的な回答を提供する必要があります。この追加の手順は、特にパスワードの回復時や機密情報へのアクセス時に、ユーザーの本人確認を行う際に役立ちます。

アプリケーションでユーザー認証にセキュリティーの質問を使用する場合は、ここで追加しておくことが重要です。これにより、AppScan は、ログイン記録、セッション内検出、またはログイン再生プロセス中に、セキュリティーの質問を正確に識別してキャプチャーできます。

セキュリティーの質問を追加するには、次の操作を実行します。
  1. 「+ 追加」をクリックします。
  2. アプリケーションで定義されているとおりに質問を正確に入力します。
  3. アプリケーションで定義されているとおりに回答を正確に入力します。
  4. オプションでパラメーターを定義します。
  5. 「適用」をクリックします。
注: アプリケーションで使用されるすべてのセキュリティーに関する質問と回答を必ず含めてください。そうしないと、AppScan を使用してスキャン、ログインの記録、および機密情報へのアクセスを行う際に問題が発生する可能性があります。

ログイン (および質問への回答) を記録するか、スキャンを開始すると、AppScan はログイン中またはスキャン・プロセス中にアプリケーション内のセキュリティーの質問を識別します。

この機能を使用する場合は、SessionManagement:ShowActionBasedPlayerWindow フラグを有効にして、質問が正しく回答されていることを確認することをお勧めします。この設定を有効にするには:
  1. 「ツール」>「オプション」> 「詳細」に移動します
  2. SessionManagement:ShowActionBasedPlayerWindow を見つけ、設定を True に変更します。
  3. スキャンを実行します。スキャン時にブラウザーが開き、AppScan が回答を含めサイトを探査する様子を見ることができます。