forked from fa/breadcrumb-the-shire
2.5 KiB
2.5 KiB
Auth/SSO Smoke-Test
Letzte Aktualisierung: 2026-03-06
Dieser Runbook prüft die 5 kritischen Flows nach Auth/SSO-Änderungen:
- Login (Passwort)
- Microsoft Start
- Microsoft Callback
- Tenant-SSO speichern
- Logout
Voraussetzungen
- Test-User ist aktiv und hat mindestens einen aktiven Tenant.
- Es gibt einen Tenant mit Microsoft-SSO-Konfiguration.
- Für Microsoft-Flow: gültige Tenant-SSO-Credentials vorhanden (Shared oder Override).
- Testumgebung läuft und du bist als Admin eingeloggt.
1) Login (Passwort)
loginaufrufen (optionallogin?tenant=<slug>).- Gültige E-Mail + Passwort eingeben.
- Erwartung:
- Login erfolgreich, Redirect auf
admin. - Session enthält
user,available_tenants,current_tenant. - Kein Fehler-Flash.
- Login erfolgreich, Redirect auf
Negativtest:
- Falsches Passwort -> generischer Fehler (kein Account-Leak), kein Login.
2) Microsoft Start (auth/microsoft/start)
auth/microsoft/start?tenant=<slug>aufrufen.- Erwartung:
- Bei gültigem Tenant + SSO-Config: Redirect zur Microsoft-Authorize-URL.
- URL enthält
state,nonce, PKCE (code_challenge).
- Negativtest:
- Ungültiger Tenant-Slug -> Redirect auf
loginmit passendem Flash. - SSO deaktiviert/inkomplett -> Redirect zurück auf Tenant-Login mit passendem Flash.
- Ungültiger Tenant-Slug -> Redirect auf
3) Microsoft Callback (auth/microsoft/callback)
- Erfolgreichen Callback durchlaufen lassen.
- Erwartung:
statewird einmalig konsumiert (kein Replay).- ID-Token-Prüfungen greifen (
aud,iss,tid,exp/nbf,nonce, Signatur). - User wird verknüpft/provisioniert und auf
adminweitergeleitet.
Negativtests:
- Callback mit altem/wiederverwendetem
state-> Login schlägt sauber fehl. - Callback ohne
code/mit Fehler -> Redirectloginmit Fehler-Flash.
4) Tenant-SSO speichern (Admin)
admin/tenants/edit/<uuid>öffnen, TabSSO.- Pflichtwerte setzen:
Microsoft loginaktivEntra tenant ID- Shared App oder Override-Credentials vollständig
- Speichern.
- Erwartung:
- Save erfolgreich.
- UI-Status „Konfiguration vollständig“.
- Bei
enforce_microsoft_login=1und unvollständiger Config: Save wird blockiert.
5) Logout
- Als eingeloggter User
logoutaufrufen. - Erwartung:
- Session beendet.
- Remember-Me Token wird vergessen.
- Redirect auf
login.
Schnellcheck (optional)
- In Browser A einloggen, dann in Browser B denselben User ändern (z. B. deaktivieren).
- In Browser A nächste Anfrage auslösen.
- Erwartung: bestehende Session-Refresh-Logik greift (ggf. Logout bei inaktiv/ohne Tenant).