Защита на сесиите към Dataverse чрез обвързване на бисквитки въз основа на IP адрес

Предотвратете злоупотреби с отвличане на сесии в Dataverse с обвързване на бисквитки, базирано на IP адрес. Да приемем, че злонамерен потребител копира валидна бисквитка за сесия от оторизиран компютър, който има активирано IP свързване на бисквитки. След това потребителят се опитва да използва бисквитката на друг компютър, за да получи неоторизиран достъп до Dataverse. В реално време Dataverse сравнява IP адреса на произхода на бисквитката с IP адреса на компютъра, който прави заявката. Ако двете са различни, опитът се блокира и се показва съобщение за грешка.

Обвързването на бисквитките, базирани на IP, е достъпно само за Управлявани среди във всички клиенти, включително правителствени облаци. Можете да разрешите тази функция в центъра за администриране Power Platform .

Активиране на свързването на бисквитки на базата на IP адрес

1. Влезте в центъра за администриране на Power Platform като администратор.

2. Изберете Среди и след това изберете среда.

3. Изберете Настройки>продукт>Поверителност + Сигурност.

4. Под Настройки на IP адрес изберете опцията Активиране на обвързване на бисквитки, базирани на IP адрес.

5. (По избор): Ако вашата организация има конфигурирани обратни прокси сървъри, въведете IP адресите, разделени със запетаи, в полето Обратни прокси IP адреси . Настройката за обратен прокси се прилага както за обвързване на бисквитки, базирани на IP, така и за IP защитната стена. Свържете се с вашия мрежов администратор, за да получите IP адресите на обратния прокси сървър.

   Бележка

   Обратният прокси сървър трябва да бъде конфигуриран да изпраща IP адреси на потребителски клиент в препратената заглавка.

6. Изберете Запиши.

Как обвързването на бисквитки използва вашия IP адрес, за да работи

Базираното на IP обвързване с бисквитки задава искането за IP адрес в бисквитката на сесията. Всяка заявка се оценява, за да се сравни текущият IP адрес с IP адреса на източника, който е бил съхранен в бисквитката, когато е била създадена. Ако адресите не съвпадат, на потребителя се отказва достъп.

Сценарии, при които потребителите са помолени да се удостоверят отново

• Когато някой VPN клиент е включен или изключен
• При свързване към безжична гореща точка
• Когато интернет връзката се нулира от доставчика на интернет услуги
• Когато рутерът се нулира или рестартира

Как да тествате функцията

1. Изчистете всички бисквитки от браузъра. Тази стъпка е важна, за да се гарантира, че се генерира нова бисквитка.

2. влезте в среда на Dynamics 365, която има активирано обвързване за готвене на базата на IP.

3. Използвайте клиентски инструмент като Fiddler, за да копирате сесийната бисквитка.

4. Изпратете заявка от алтернативен компютър (извън оригиналната мрежа), като използвате предварително получената сесийна бисквитка. Трябва да очаквате да получите грешка HTTP 403 в отговор.

Изключения

• Ако потребителят се свърже от Dataverse същия IP адрес със старата, валидна бисквитка, Dataverse приема бисквитката.
• Ако трафикът между вашата мрежа и Power Platform е конфигуриран да използва обратен прокси сървър с динамичен IP адрес, обвързването на IP-базирани бисквитки няма да работи.

ЧЗВ

Налична ли е тази функция в Dataverse?

Обвързването на IP адреса на бисквитката е налично за бисквитката CrmOwinAuth в Унифициран интерфейс.

Колко скоро влиза в сила промяната, след като бъде направена в Power Platform административния център?

Промяната обикновено влиза в сила след около пет минути.

Тази функция работи ли в реално време?

Функцията оценява бисквитката в реално време, с изключение на първоначалната заявка, която е направена след активирането на функцията.

Тази функция активирана ли е по подразбиране във всички среди?

Функцията за свързване на IP бисквитки е деактивирана по подразбиране. Администраторите трябва да го активират в Power Platform административния център.