# 組織認証・所有権証明 ## 概要 実環境への動的な通信を伴う機能(ブラックボックス診断を含む)を利用するためには、事前に**組織認証**、あるいは**通信対象ごとの所有権証明**のいずれかが必要です。 ## 組織認証 組織認証は、ある Shisho Cloud 組織を、どの法人が利用しているかを紐づける仕組みです。 組織認証を得るには、提供元(GMO Flatt Security)に申請する必要があります。 組織認証の承認は通常2〜3営業日以内に完了します。 組織認証を得ると、実環境への動的な通信を伴う機能(ブラックボックス診断を含む)を、**通信対象ごとの所有権証明を行わずに**利用できます。 :::warning 組織認証を得た場合であっても、実環境への動的な通信を伴う機能を利用するためには、利用規約およびその他関連法令に従いご利用いただく必要があります。 ::: :::info 一つの Shisho Cloud 組織に対して紐づけられるのは、一つの法人のみです。以下を含む、複数法人が関連するシナリオで利用いただくことは可能ですが、利用規約の定め(利用にかかる適法な権利の確保、関連する役職員等へ規約の周知・遵守させることを含みます。)に従ってご利用ください。 - 紐づけられた法人が、その他の法人のためにShisho Cloud組織を利用する(例: セキュリティ診断を営む企業が診断に利用する) - 紐づけられた法人が、その他の法人等に、業務委託等の形でShisho Cloud組織を利用させる(例: 関連会社間のガバナンスのために利用する) ::: ## 通信対象ごとの所有権証明 現時点で組織の認証が難しい場合(個人利用の場合等)でも、診断対象のアプリケーションの所有権を証明いただくことで、実環境への動的な通信を伴う機能を利用いただけます。 :::info 組織がすでに認証済みの場合は、所有権証明を伴わず、実環境への動的な通信を伴う機能を利用いただけます。 ::: :::warning 対象ごとの所有権証明を行うには、組織オーナーまたはTakumi 管理者ロールが必要です。その他のロールは現状所有権証明を行うための権限を持たず、すでに所有権証明済みの対象アプリケーションに対してのみ機能を利用可能であり、下記の所有権証明トークンおよび所有権証明実行フォームにはアクセスできません。 ::: 所有権証明されていないアプリケーションの対象URLを入力すると、エラーが表示され、診断を実行できません。 ![未所有権証明のURL指定時のエラー](/docs/ja/_md-assets/58936ea5bd-invalid_url_specified.png) ### 所有権証明の手順 診断対象の所有権を証明するには、`対象URL`入力欄の下にある`新しい対象の所有権を証明`セクションまでスクロールしてください。 そこで、対象アプリケーションの所有権証明に使用するトークンを確認できます。 ![所有権証明トークン](/docs/ja/_md-assets/9574686dd1-auth_token.png) この所有権証明トークンを以下の2つの方法のいずれかで設定し、所有権証明プロセスを進めてください。 #### 1) DNS TXTレコード所有権証明 サブドメイン `_takumi-ownership.` に、所有権証明トークンを値としてDNS TXTレコードを追加してください。 例えば、対象ドメインが `example.com` でトークンが `0123ABCD` の場合、`_takumi-ownership.example.com` に対して値 `0123ABCD` のTXTレコードを作成します。 設定が完了したら、対象の所有権証明セクションで「DNS TXTレコード」を検証方法として選択し、ホスト名を入力して「対象を検証」をクリックしてください。 ![DNS所有権証明プロセス](/docs/ja/_md-assets/b02189d052-dns_auth_process.png) #### 2) HTTP Well-Knownディレクトリ所有権証明 対象サーバーのwell-knownパス `/.well-known/takumi-ownership` に、所有権証明トークンのみをファイル内容として含むファイルを作成してください。 例えば、対象が `https://example.com` でトークンが `0123ABCD` の場合、`https://example.com/.well-known/takumi-ownership` にファイルを作成してください。 ファイルには、トークン `0123ABCD` のみを含め、その他のデータを含めてはいけません。 このファイルはHTTP/HTTPS経由でアクセス可能である必要があります。 また、トークンをプレーンテキストとして `200 OK` レスポンスを返す必要があります。 設定が完了したら、対象の所有権証明セクションで「HTTP Well-Known」を検証方法として選択し、ホスト名を入力して「対象を検証」をクリックしてください。 ポート番号を指定しない場合、HTTPSの場合はポート443、HTTPの場合はポート80がデフォルトで使用されます。 ![HTTP所有権証明プロセス](/docs/ja/_md-assets/81e9778f1d-http_auth_process.png) ### 状態の確認 `対象の所有権を検証`をクリックすると、所有権証明結果のレスポンスが表示され、下部の`対象の所有権証明状態`セクションに指定した対象の所有権証明状態が更新されます。 ![所有権証明成功結果](/docs/ja/_md-assets/af5381ce89-successful_auth_result.png) 所有権証明に失敗した場合、各対象の直近の所有権証明失敗理由が同じセクションに表示されます。不明または予期しないエラーが返された場合は、お問い合わせください。 ![所有権証明失敗結果](/docs/ja/_md-assets/85ed5d11c1-auth_fail_result.png) 所有権証明後、ユーザーは`診断対象のURL`セクションに検証済みの対象アプリケーションを入力し、診断の実行に進むことができます。 ![所有権証明済み対象のメッセージ](/docs/ja/_md-assets/3423cd68fc-authenticated_target_message.png) :::info 対象の所有権証明を同一ターゲットに試行した後、10秒間のクールダウンがありますので、時間をおいて再度試行ください。 ::: :::warning 所有権証明に成功したものの、「診断対象のURL」に入力した際に対象が所有権証明されていない旨の表示がされる場合、一度診断作成画面を再読み込みいただき、再度ご確認ください。 :::