ブラウザーを使用したログインの記録
始める前に
アプリケーションのログイン手順を記録するには、「構成」>「開始 URL およびドメイン」ビューで開始 URL が定義されている必要があります。外部クライアントを使用して要求をアプリケーションに送信する場合、開始 URL は不要ですが、探査のステージ完了後、AppScan によって自動的に定義されます。
このタスクについて
ブラウザーを使用してログインを記録することで、サイトにログインする手順 (どのリンクをクリックするか、どのテキストをフォームに入力するか、およびそれらを行う順序) を AppScan® に指示できます。ユーザーがログインすると、AppScan は、セッション内パターンを識別します。そのパターンを将来使用して、引き続きログインしていることを確認します。
スキャンの間、AppScan は、サイトの応答を正確に評価できるよう、常にサイトへのログインおよびログアウト状態を把握している必要があります。スキャン中、AppScan はセッション内検出要求を繰り返し送信し、応答にセッション内検出パターンが含まれているかどうかを確認して、ログインしていることを検証します。AppScan がページの応答にパターンを見つけられない場合、AppScan はログアウトされたとみなし、ログイン手順を再生して再度ログインを試みます。その結果、通常はスキャン中にログイン手順が何回も繰り返されることになります。そのため、ログイン手順は可能な限り少ないステップで構成することが推奨されます。また、「セッション内」ページが小規模なページであり、追跡パラメーターや Cookie が存在しない場合も、スキャン時間が大幅に増加する可能性があるため、ステップを少なくすることが効果的です。
ログインを記録するには:
手順
- 「構成」 > 「ログイン管理」で、「記録済み」を選択します 。
-
「ログイン手順の記録」をクリックし、ログインに使用するブラウザーを選択します。
オプション 説明 AppScan Chromium ブラウザー 組み込みの Chromium ブラウザーは、デフォルトかつ推奨のブラウザーです。 外部ブラウザ スキャンに外部ブラウザーを使用するように AppScan® を構成している場合のみ、有効にしてください (「ツール」>「オプション」>「外部ブラウザーの使用」>「ブラウザーの選択」)。 可能であれば AppScan Chromium ブラウザーの使用をお勧めします。このブラウザーでは、スキャン中のログインの成功を改善できるその他の情報が記録されます。AppScan ブラウザーによるログイン記録が、ご使用のアプリケーションで作動しない場合のみ、外部ブラウザーを使用してください。
ブラウザーが開始 URL に対して開き、アクションを記録し始めます。注:- 開始 URL がまだ定義されていない場合、先に進む前に定義するように警告されます (開始 URL およびドメインを参照してください)。
- ログイン手順が以前に記録されている場合、新規の記録によって既存の記録が上書きされることが警告されます。
-
サイトにログインします。
サイトへのログインを行います。必要に応じてフォームに入力し、リンクをクリックして、ログインを完了します。ヒント: デフォルトでは、ログインしたときに表示されるページが、セッション内 URL として AppScan で使用されます。AppScan は、スキャン中にこの URL を数秒間隔で送信し、ログインしているかどうかを確認します。このページからサイズの大きな応答が送信された場合、またはこのページに追跡対象のパラメーターや Cookie が含まれている場合は、追跡対象のパラメーターや Cookie が存在せず、サイズの小さな応答を持つページ (まだログイン中のページ) に到達するまで 1 つ以上の追加のリンクをクリックすることにより、スキャンのパフォーマンスを改善することができます。次に、ブラウザーを閉じて 「レビューと検証」タブに移動し、「セッション内 URL」として後のページを選択します。
-
サイトに正常にログインしたら、
「サイトにログインしています」をクリックします。注: 場合によっては、ログイン・ページで提供される情報に不備があります。その場合は、ログイン後に追加のステップをクリックするように、またはサイトからログアウトするように AppScan に指示される場合があります。
ブラウザーが閉じ、AppScan® は、スキャン時に使用するために、ログイン情報を抽出します。
「セッション情報」ダイアログ・ボックスが開き、記録したログイン要求が表示され、緑の状況インジケーターによりセッション内検出が有効であることが示されます。
注: インジケーターが赤の AppScan® になった場合は、スキャン中に使用できるセッション内ページのパターンの識別を試みたが、ログアウトしていないことを確認できなかったということです。こうなった場合は、AppScan® の「セッション内パターン」を識別する必要があります。詳しくは、「検出パターンの選択」ダイアログ・ボックスを参照してください。場合によっては、より具体的なメッセージが表示され、この問題のトラブルシューティングに関するこのヘルプ内のページへのリンクが示されることがあります。ログインのトラブルシューティングを参照してください。 - 記録された手順に変更を加える (例えば、不要なステップを除去する) には、ログイン再生を参照してください。ヒント: 一般に、ユーザーがログインで使用する URL は、「セッション内」としてマークされています (この応答は、セッション内パターンが含まれる最初の応答です)。ただし、後で、セッション内パターンも含まれるが、より小規模なページ、または追跡対象パラメーターや Cookie が含まれないページという利点がある URL を選択することが必要な場合もあります。さらに、ユーザー資格情報を使用する POST 要求が、ユーザーがログインする要求であり、最初にセッション内パターンが含まれている場合があります。セッション内ページでは、セッション内検査が毎回資格情報を送信することでセッション応答での誤検出につながるため、これは不適切な選択です。参照 セッション内検出の最適化
- 新規のログイン手順を保存するには、「OK」をクリックします。ヒント: セッション内ページに追跡対象のパラメーターと Cookie が含まれていないことがわかっている場合は、「詳細構成」 > 「セッション管理:」「セッション内ページの解析」設定を False に変更すると、スキャンのパフォーマンスを改善することができます。詳細構成 を参照してください。