汎用認証サイトの動作検証 のバックアップ(No.7)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 汎用認証サイトの動作検証 へ行く。
  • 1 (2017-05-22 (月) 11:03:37)
  • 2 (2017-05-23 (火) 18:21:52)
  • 3 (2017-05-31 (水) 20:29:07)
  • 4 (2017-06-01 (木) 14:49:06)
  • 5 (2017-06-22 (木) 09:41:41)
  • 6 (2017-06-29 (木) 23:38:10)
  • 7 (2017-06-30 (金) 18:19:23)
  • 8 (2017-06-30 (金) 21:21:52)
  • 9 (2017-07-03 (月) 12:20:59)
  • 10 (2017-07-28 (金) 20:01:36)
  • 11 (2017-10-25 (水) 16:04:45)

---

「Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

汎用認証サイト（Multi-purpose Authentication Site）の動作検証手順のメモする。

Idp動作検証 †

UserName?＝メアド †

• サインアップ、サインイン・サインアウトをテストする。

UserName?≠メアド †

• サインアップ、サインイン・サインアウトをテストする。
• E-mailアドレス確認（E-mail confirmation）はないので、UserName?＝メアドよりシンプル。

マルチテナント †

マルチテナント設定時は、管理画面を重点的にチェックする。

編集画面 †

外部ログインの動作検証 †

UserName?＝メアド †

次のパターンを意識的にテストする。

外部ログインでサインアップする。 †

ローカル・ログイン無しのアカウントが作成される。

ローカル・ログインを追加する。 †

以下の2つの手順でローカル・ログインを作成できることを確認する。

• アカウント編集が画面でパスワード設定
• パスワード・リセット

当該 外部ログイン無し状態で外部ログイン。 †

ローカル・ログインでサインアップした後に、

• 外部ログインでサインインできることを確認する。

• なお、編集画面の[外部ログイン]の[管理]リンクから、
  サインインされたユーザとメアドが異なる外部ログイン・アカウントで
  サインインしようとした場合、コンフリクトが発生することを確認する。

  この場合、「ソーシャルログインでアカウントが一致しません。」と言うメッセージが表示される。

当該 外部ログイン有り状態で外部ログイン。 †

当該するメアドの外部ログイン・アカウントで外部ログインした後、

• 外部ログインでサインイン（外部ログインとクレームの追加が）されることを確認する。

• なお、編集画面の[外部ログイン]の[管理]リンクから、
  サインインされたユーザとメアドが異なる外部ログイン・アカウントで
  サインインしようとした場合、コンフリクトが発生することを確認する。

  この場合、「ソーシャルログインでアカウントが一致しません。」と言うメッセージが表示される。

UserName?≠メアド †

この場合、

"外部ログイン = OFF" †

基本的には、"外部ログイン = OFF"。

"外部ログイン = ON" †

• ただし、"外部ログイン = ON"の場合、以下のように動作する。
  • サインアップ時、UserName?とE-mailアドレスの両方と連携する。
  • UserName?とE-mailアドレスの属性の連携はサインアップ時にだけ行う。
  • コンフリクトは、E-mailアドレスではなく、UserName?で発生する。

• そもそも、このモードでの外部ログインとの親和性は低いと考える。
  • 通常、サインアップ画面を提供せず、管理者がアカウント（E-mailアドレス）を準備する。
  • 殆どのIdPではE-mailを使用しており、オプションで使用しているUserName?がIdP間で一致していないことが多いため。

マルチテナント †

動作に影響なし。

OAuth 2.0 Serverの動作検証 †

OAuthで認証・認可した後、WebAPIへアクセスするまでの手順を使用して検証を行なう。

Authorization Codeグラント種別 †

「http://localhost:nnnnn/home/index」で表示されるAuthorization Codeグラント種別のテスト用linkをclickする。

Implicitグラント種別 †

「http://localhost:nnnnn/home/index」で表示されるImplicitグラント種別のテスト用linkをclickする。

Resource Owner Password Credentialsグラント種別 †

cURLコマンドを使用する。

処理の概要 †

• Tokenエンドポイントに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
  • POST
  • Authorization: Basic ZZZZZZZZZZ ---> 「クライアントID:クライアント・パスワード」をBase64エンコードしたもの。
  • body : grant_type=password, username=ユーザID, password=ユーザ・パスワード, scope=XXXXX;

• Bearer Tokenをヘッダに指定してWebAPIにアクセスすると情報を取得できる。
  • XXXX
  • Authorization: Bearer XXXXXXXXXX

cURLコマンド †

Debug ProxyにFiddler等を使用すると尚良（其の際は、 --proxy オプションを指定する必要がある）。

• Bearer Tokenの取得

• Request (cURLコマンド)

• パターン

  >curl "http://localhost:nnnnn/MultiPurposeAuthSite/OAuthBearerToken" -u "client_id値:client_secret値" -d "grant_type=password" -d "username=ユーザ名の値" -d "password=パスワード値" -d "scope=scopeの値（スペース区切り）"

• 例

  >curl "http://localhost:63359/MultiPurposeAuthSite/OAuthBearerToken" -u "67d328bfe8604aae83fb15fa44780d8b:s_FhjujXG0U6kAD-c4S5ifiKdAgqFoil_UxKuN_Ur50" -d "grant_type=password" -d "username=super_tanaka@gmail.com" -d "password=xxxxx" -d "scope=profile email phone address aaa bbb"

• Response (Body)

  {"access_token":"XXXXXXXXXX","token_type":"bearer","expires_in":nnnnn,"refresh_token":"YYYYYYYYYY"}

• cURLを使用したOAuthリソースへのアクセス

Client Credentialsグラント種別 †

cURLコマンドを使用する。

処理の概要 †

• Tokenエンドポイントに対して以下のRequestを出すと、Bearer Tokenが返ってくる。
  • POST
    Authorization: Basic ZZZZZZZZZZ ---> 「クライアントID:クライアント・パスワード」をBase64エンコードしたもの。
  • body:grant_type=client_credentials, scope=XXXXX;

• Bearer Tokenをヘッダに指定してWebAPIにアクセスすると情報を取得できる。
  • XXXXX
  • Authorization: Bearer XXXXXXXXXX

cURLコマンド †

Debug ProxyにFiddler等を使用すると尚良（其の際は、 --proxy オプションを指定する必要がある）。

• Bearer Tokenの取得

• Request (cURLコマンド)

• パターン

  >curl "http://localhost:nnnnn/MultiPurposeAuthSite/OAuthBearerToken" -u "client_id値:client_secret値" -d "grant_type=client_credentials" -d "scope=scopeの値（スペース区切り）"

• 例

  >curl "http://localhost:63359/MultiPurposeAuthSite/OAuthBearerToken" -u "67d328bfe8604aae83fb15fa44780d8b:s_FhjujXG0U6kAD-c4S5ifiKdAgqFoil_UxKuN_Ur50" -d "grant_type=client_credentials" -d "scope=profile email phone address aaa bbb"

• Response (Body)

  {"access_token":"XXXXXXXXXX","token_type":"bearer","expires_in":nnnnn,"refresh_token":"YYYYYYYYYY"}

• cURLを使用したOAuthリソースへのアクセス

cURLを使用したOAuthリソースへのアクセス †

cURLを使用して、取得したBearer TokenによるOAuthリソースへのアクセスを行う。

Request (cURLコマンド) †

• パターン

  >curl "http://localhost:nnnnn/MultiPurposeAuthSite/userinfo" -H "Authorization: Bearer XXXXXXXXXX"

• 例

  >curl "http://localhost:63359/MultiPurposeAuthSite/userinfo" -H "Authorization: Bearer XXXXXXXXXX"

Response (Body) †

• 例

  {"sub":"super_tanaka@gmail.com","email":"super_tanaka@gmail.com","email_verified":"True","phone_number":null,"phone_number_verified":"False"}

管理者画面の動作検証 †

管理者アカウント †

（管理者アカウントで）サインインして管理操作を実行できる。

＝マルチテナント †

管理者アカウント

• サインアップしたアカウント
  （テナント管理者アカウント）

• システム管理者アカウント

でのみ操作可能。

≠マルチテナント †

管理者アカウント＝システム管理者アカウントでのみ操作可能。

オブジェクトの所有権 †

ユーザ・ロールの所有権は、マルチテナント・モードで重要になる。

＝マルチテナント †

• テナント管理者アカウント

• ユーザ
  • 当該テナントのユーザ

• ロール
  • 当該テナントのロール
  • グローバル・ロールの所有権はないが、一覧表示のみ可能にしてある。
    CR(詳細表示)UDは不可能のため、他テナントのユーザが表示されることは無い。

• システム管理者アカウント

• ユーザ
  • システム全体のユーザ
  • テナント管理者アカウントの所有権はあるが、
    一覧・詳細表示のみ可能にしてある。更新は不可能。

• ロール
  • システム全体のロール
  • グローバル・ロールの所有権はないが、
    一覧・詳細表示のみ可能にしてある。更新は不可能。

≠マルチテナント †

• システム管理者アカウント

• ユーザ
  • システム全体のユーザ

• ロール
  • システム全体のロール
  • グローバル・ロールの所有権はないが、
    一覧・詳細表示のみ可能にしてある。更新は不可能。

ユーザ管理とロール管理 †

コチラを参照。

簡易テストシナリオ †

UserName? = メアド †

サインアップ、サインイン・サインアウト †

• サインアップ

• サインイン試行
  • E-mailアドレス確認（E-mail confirmation）が必要
  • E-mailアドレス確認（E-mail confirmation）を行う
    （AppScan?ではE-mailアドレス確認（E-mail confirmation）ができない）

• サインイン試行（パスワード誤り or 失念）
  • パスワード・リセットを行う

• （リセット後のパスワードで）サインイン
• サインアウト

アカウント編集 †

編集後、SecurityStamp?が機能してサインアウトすることがある。

• サインイン

• パスワード変更
  • パスワード変更
  • サインアウト
  • （変更後のパスワードで）サインイン

• 外部ログイン（e.g. : マイクロソフト・アカウント）
  • 外部ログインの追加
  • サインアウト
  • （追加した外部ログインで）サインイン
  • 外部ログインの削除

• 電話番号（AppScan?ではSMSができない）
  • 電話番号入力
  • SMSコード発行
  • SMSコード入力
    • 入力ミス
    • 再入力
  • 電話番号登録完了

• 2要素認証（AppScan?ではE-mail、SMSでの通知ができない）
  • 2要素認証の有効化
  • 別ブラウザからログイン試行
  • Notification Provider（E-mail or SMSでの通知）を選択
  • コード発行
  • コード入力
    • 入力ミス
    • 再入力
  • 2要素認証でサインイン

• 支払い元情報
  • クレジット・カード情報入力
  • オンライン決済サービスの課金テスト

外部ログイン †

• 通常のサインアップをした後に、同じメアドの外部ログインでサインイン
  前述の、サインアップ後にアカウント編集画面で外部ログインを追加した場合と同じ状態になる。
  • サインアウト
  • 再び外部ログインでサインイン

• 外部ログインでサインアップした場合、外部ログインでサインイン
  ローカル・ログインできないアカウントならではのテストケースを消化する。

• 外部ログインの追加と削除
  • 外部ログインを全て削除できないことを確認する。
  • 以下の手順でローカル・ログインを作成した後、
    全ての外部ログインを削除できることを確認する。

• 以下の何れかで、ローカル・ログインを作成
  • アカウント編集画面から、パスワード変更
  • サインイン画面から、パスワード・リセット

OAuth 2.0 の2つのGrant Typeのテスト †

• Authorization Codeグラント
  • サインアウト
  • Authorization Codeグラントのリンク押下
  • サインイン → スコープ許可 → テスト画面表示まで。

• Implicitグラント
  • サインアウト
  • Implicitグラントのリンク押下
  • サインイン → テスト画面表示 → トークン取得まで。

• 以下は、別途テスト
  • Resource Owner Password Credentialsグラント種別
  • Client Credentialsグラント種別

管理者画面でのメンテナンス操作 †

以下の操作を、

• ユーザ管理
  • ユーザ一覧
  • ユーザ作成
  • ユーザ詳細
  • ユーザ編集
  • ユーザ削除

• ロール管理
  • ロール一覧
  • ロール作成
  • ロール詳細
  • ロール編集
  • ロール削除

以下の条件下でテストする。

• ＝マルチテナント
  • テナント管理者アカウント
  • システム管理者アカウント

• ≠マルチテナント
  • システム管理者アカウント

所有権の無いオブジェクトに対する操作ができないことを確認する。

特に、テナント管理者がGUIDのコピペや直打ちなどを行っても、
他テナントのオブジェクトは絶対に操作できないことを確認する。

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.044 sec.