多要素認証(MFA)
ワンタイム・パスワードまたはセキュリティーの質問 (多要素認証) を使用するように、AppScan® を構成します。
ワンタイム・パスワード (OTP)
アプリケーションで OTP を使用する場合は、2 つのオプションのいずれかを選択します。それ以外の場合は、デフォルト設定のままにします。なし。
ログイン手順を記録すると、AppScan はトラフィックから関連パラメーターを抽出し、それらを OTP HTTP パラメーター・リストに追加します。また、「フォームの自動入力」ビューの OTP 項目にも追加されます。AppScan がパラメーターの識別に失敗した場合は、このビューまたは「フォームの自動入力」ビューで、パラメーターをユーザー自身で追加する必要があります。
制限:
- スキャンごとにサポートされる OTP タイプ (TOTP または URL 生成) は 1 つのみです。
- TOTP の場合、数値のみサポートされます。
- OTP が構成されている場合は、「ログイン再生」で選択されたログイン再生方法がアクション・ベースである必要があります。OTP は、要求ベースのログインでは機能しません。
OTP HTTP パラメーターの識別方法
AppScan は、アプリケーションにログインできるようにするために、OTP を含むパラメーターの名前を知っている必要があり、通常は記録されたログイン手順を検証するときにそれを識別します。これが失敗した場合、または自動ログインを使用する場合は、ユーザー自身でパラメーターを追加する必要があります。
パラメーターを識別するには、以下のようにします。
- ブラウザーを開き、アプリケーションのログイン・ページに移動します。
- F12 をクリックして、ブラウザーの開発者ツール・ペインを開きます (メイン・ブラウザー・ペインの右側または下に開きます)。
- 「エレメント」タブをクリックして、HTML コードを表示します。
コードの一部を選択すると、メイン・ブラウザー・ペインでエレメントが強調表示されます。
- OTP フィールドを強調表示するエレメントを見つけます。例:
<input type="text" name="OTPvalue" value="">
- name パラメーターの値 (引用符なし) が、必要な OTP HTTP パラメーターです。例:
OTPvalue
- 複数の OTP HTTP パラメーターがある場合は、「別の追加」をクリックして、必要に応じてフィールドを追加します。
セキュリティーの質問
「セキュリティーの質問」は、ユーザー・アカウントにセキュリティー層を追加するためにアプリケーションや Web サイトで一般的に使用される方法です。これらの質問は通常、本質的に個人的なものであり、ユーザーは自分だけが知っているはずの具体的な回答を提供する必要があります。この追加手順は、特にパスワードを回復したり、機密情報にアクセスしたりする場合に、ユーザーの ID を確認するのに役立ちます。
アプリケーションでユーザー認証の追加レイヤーとしてセキュリティーの質問を使用する場合は、ここで追加しておくことが不可欠です。これにより、AppScan は、ログイン記録プロセス中にセキュリティーの質問を正確に識別してキャプチャーできます。
セキュリティーの質問を追加するには、次の操作を実行します。- 「+ 追加」をクリックします。
- 質問と回答を入力し、必要に応じてパラメータを入力して「適用」をクリックします。
注: 組織で使用されているすべてのセキュリティーの質問を必ずアプリケーションに含めるようにしてください。これを怠ると、AppScan を使用してログインを記録するときに問題が発生する可能性があります。