開発用デバッグユーザー
この機能はポケットサイン開発環境(mock 環境)でのみ利用できます。テスト環境・本番環境では利用できません。
開発用デバッグユーザーは、実際のマイナンバーカード(JPKI)やメールアドレスに依存せずに OIDC ログイン・認可・Registry 連携を検証するためのテスト用 IdP ユーザーです。
PocketSign Platform からデバッグユーザーを作成し、ワンタイムログインチケットを使ってブラウザセッションを確立することで、通常のユーザーと同様に OIDC フローを通した動作確認ができます。
概要
- デバッグユーザーは組織スコープで管理されます。PocketSign Platform から作成・管理を行います。
- 作成時に氏名・性別・生年月日・住所のダミー情報が自動生成されます。
- 作成直後の認証強度(ACR)は
lowです。モック JPKI 昇格によりvery_highまで引き上げることができます。 - 通常のログイン画面にはデバッグユーザー用の導線は表示されません。ログインにはワンタイムログインチケットを使用します。
デバッグユーザーの作成
PocketSign Platform の開発用デバッグユーザー画面からデバッグユーザーを作成します。
作成時に以下のダミー情報が自動生成され、手書きリソースとして登録されます。
- 氏名
- 性別
- 生年月日
- 住所
作成直後のデバッグユーザーの ACR は low(OTP 認証相当)です。JPKI を前提とするフローを検証するには、後述のモック JPKI 昇格を行ってください。
ACR とモック JPKI 昇格
デバッグユーザーには、認証強度に応じて以下の ACR / AMR が設定されます。
| ACR | AMR | 状態 |
|---|---|---|
low | OTP | 作成時の初期状態 |
very_high | JPKI 署名用証明書相当 | モック JPKI 昇格後 |
モック JPKI 昇格
PocketSign Platform からデバッグユーザーをモック JPKI に昇格させることができます。昇格は very_high(署名用電子証明書相当)への一方向操作で、ダウングレードはできません。
昇格時の挙動は以下のとおりです。
- モック Verify 利用者 ID とモック署名用電子証明書 ID が採番されます。
- 署名用個人情報リソースが書き込まれます。
jpki_verifiedがtrueになります。モック JPKI であっても、OIDC フロー上は JPKI 連携済みとして扱われます。
昇格済みのデバッグユーザーに対して再度昇格操作を行うとエラーになります。
ログイン
デバッグユーザーのログインには、ワンタイムログインチケットを使用します。
手順
- PocketSign Platform でデバッグユーザーのログインチケットを発行します。
- 発行されたチケット ID を使って
/auth/debugにアクセスします。 - チケットが消費され、デバッグユーザーのブラウザセッションが確立されます。
- 以降は通常の OIDC 認可フロー(通常のログイン連携と同様)で RP への認証が可能です。
チケットの仕様
- ログインチケットの有効期限は 5 分です。
- チケットは使い捨てです。一度消費されたチケットは再利用できません。
- ログイン時のセッション ACR は、デバッグユーザーのその時点の
max_mock_acrに応じて決定されます。
再認証の挙動
デバッグユーザーに対して再認証画面は表示されません。
OIDC フローで再認証が必要になった場合、デバッグユーザーの max_mock_acr が要求された ACR を満たせるかどうかで挙動が決まります。
- 満たせる場合: サーバー側で
auth_time/acr/amrが自動的に更新され、再認証完了として扱われます。 - 満たせない場合: 認証要件未達としてエラーになります。
再認証の条件や ACR / AMR の詳細については 再認証と ACR / AMR を参照してください。
プロフィールの更新
PocketSign Platform からデバッグユーザーのプロフィール情報を更新できます。
更新対象は以下の 4 項目で、すべて必須です。部分更新はできません。
| 項目 | 説明 |
|---|---|
| 氏名 | 姓名の分解はシステム側で自動的に行われます |
| 性別 | 性別コード |
| 生年月日 | 生年月日 |
| 住所 | 住所全文。構造化された分解はシステム側で自動的に行われます |
証明書失効状態の管理
モック JPKI 昇格済みのデバッグユーザーに対して、証明書の失効状態をシミュレーションできます。これにより、証明書が失効した場合の RP 側の挙動をテストできます。
対象の証明書種別
| 証明書種別 | 説明 |
|---|---|
| 利用者証明用電子証明書 | カードによるユーザー認証で使用 |
| 署名用電子証明書 | 電子署名で使用 |
モバイル JPKI はデバッグユーザーではサポートされません。
設定可能な状態
| 状態 | 説明 |
|---|---|
| 有効 | 証明書は有効(初期状態) |
| 失効 | 証明書は失効済み |
失効状態に設定する場合は、失効事由と失効日時を指定します。
失効事由
| 失効事由 | 説明 |
|---|---|
| 鍵の危殆化 | 秘密鍵が漏洩した場合 |
| CA の危殆化 | 認証局の秘密鍵が漏洩した場合 |
| 所属の変更 | 名前や住所の変更があった場合 |
| 証明書の更新 | 新しい証明書に置き換えられた場合 |
| 運用の停止 | 証明書の利用が停止された場合 |
| 証明書の一時停止 | 一時的に証明書が停止された場合 |
モック JPKI 未昇格のデバッグユーザーに対して証明書失効状態を更新しようとするとエラーになります。
制限事項
| 項目 | 扱い |
|---|---|
| 実 JPKI の新規紐付け | 不可 |
| 実 JPKI による個人情報の更新 | 不可 |
| 実 JPKI を前提とする同意管理 | 対象外 |
| 通常のログイン画面からのログイン | 不可(ログインチケット経由のみ) |
| ACR のダウングレード | 不可 |
| モバイル JPKI | 未サポート |
なお、実メールアドレスについては通常のメール OTP フローで紐付けることが可能です。
関連ページ
- 環境ごとの接続先は 環境
- ACR / AMR の詳細は 再認証と ACR / AMR
- 通常のログインフローは 通常のログイン連携