Webアプリケーションの初期設定の流れ
本チュートリアルで扱う機能は、Web アプリケーション診断機能をご契約いただいた組織でのみご利用いただけます。
本ページでは、診断対象のWebアプリケーションを作成し、診断や巡回のための認証設定を行うための手順についてご説明します。
初期設定の流れ
Webアプリケーションを診断するためには、最初に必要となる設定や準備作業があります。 診断対象のアプリケーションの画面構築アーキテクチャが、MPA(Multi Page Application)の方とSPA(Single Page Application)の方では内容が多少異なりますが、おおよそ以下の流れで設定を進めていきます。
- アプリケーションを登録する
- 認証設定をする
- 巡回設定をする
アプリケーションを登録する
診断対象のアプリケーションを新規登録または追加するためには、画面上部のメニューから「(1)アプリケーション」を選び、「(2)アプリケーションの登録」を押していただくとアプリケーションを登録することができます。
アプリケーションの登録の際、必須で設定していただく項目はアプリケーション名、認証の有無、スコープの3点です。
設定項目 | 詳細 | 例 |
---|---|---|
1. アプリケーション名 | Shisho Cloud上で表示する アプリケーション名を設定していただきます。 | [Staging]Flatt Example Application |
2. 認証の有無 | 診断対象のアプリケーションがBasic認証や ユーザーログインによる認証が必要かどうか を選択してい ただきます。 | はい |
3. スコープ | アプリケーションの診断対象とする範囲を 定義します。詳細 | https:// |
認証設定をする(ユーザーログイン以外の設定)
アプリケーションを登録すると、初期設定のチュートリアルが開始されます。
最初に診断対象のアプリケーションの (1)認証手段を選択していただきます。
次に (2)Basic認証や独自実装のAPIキー認証などを用いて、リクエストヘッダーに固定のキーが必要な場合は、この画面で設定していただきます。ユーザーログインが必要な場合は次の画面以降で設定していきます。
Basic認証、または固定値のヘッダーの設定が完了したら、(3)次へを押してください。
認証設定をする(ユーザーログインの設定)
メ ールアドレスやパスワード等を用いた対象アプリケーションの利用ユーザーによるログインが必要な場合の認証設定について説明します。
ユーザーログインによる認証設定の全体像を確認する
ログイン処理時に取得した認証情報をShisho Cloudが巡回・診断時に利用できるようにするため、下記の流れで設定していきます。
- 認証情報を設定する場所を選択する
- ログイン処理から認証情報を取得する
- ログイン処理から取得した認証情報をShisho Cloudに登録する
- ログイン後にアクセス可能な画面で疎通確認する
1.認証情報を設定する場所を選択する
まずはじめに、認証情報をCookieに設定しているか、リクエスト ヘッダーで設定しているかを選択していただきます。ログイン処理を通じて取得したセッションや認証トークン等の設定は次のセクション以降で説明していきます。
2.ログイン処理から認証情報を取得する
ユーザーによるログイン処理の際に発行される認証情報を取得するためのリクエストをShisho Cloudに設定していきます。
診断対象のアプリケーションのログイン処理が、ユーザーがIDやパスワード等をログインフォームで送信するような、「アプリケーションにリクエストを送る」タイプなのか、またはAuth0やFirebaseなど「外部サービスにリクエストを送る」タイプなのかによって、設定する項目は変わります。
それぞれの認証方法について説明していきます。