Salvaguardare le sessioni Dataverse con binding di cookie IP
Impedisci gli exploit di hijack della sessione in Dataverse con il binding dei cookie basato sull'indirizzo IP. Supponiamo che un utente malintenzionato copi un cookie di sessione valido da un computer autorizzato in cui è abilitato il binding dell'IP del cookie. L'utente tenta quindi di utilizzare il cookie su un altro computer per ottenere l'accesso non autorizzato a Dataverse. In tempo reale, Dataverse confronta l'indirizzo IP di origine del cookie con l'indirizzo IP del computer che effettua la richiesta. Se i due sono diversi, il tentativo viene bloccato e viene visualizzato un messaggio di errore.
L'associazione dei cookie basata su IP è disponibile solo per Ambienti gestiti in tutti i tenant, inclusi i cloud governativi. Puoi abilitare questa funzione nell'interfaccia di amministrazione di Power Platform.
Abilitare il binding dei cookie basato su indirizzo IP
Accedere all'interfaccia di amministrazione di Power Platform come amministratore.
Seleziona Ambienti e quindi un ambiente.
Seleziona Impostazioni>Prodotto, quindi seleziona Privacy + Sicurezza.
In Impostazioni indirizzo IP, seleziona Abilita binding cookie basato su indirizzo IP.
Seleziona Salva.
Come l'associazione dei cookie utilizza il tuo indirizzo IP per funzionare
Il binding dei cookie basato su IP imposta la richiesta dell'indirizzo IP nel cookie di sessione. Ogni richiesta viene valutata per confrontare l'indirizzo IP corrente con l'indirizzo IP di origine memorizzato nel cookie al momento della creazione. Se gli indirizzi non corrispondono, all'utente viene negato l'accesso.
Scenari in cui agli utenti viene chiesto di autenticarsi nuovamente
- Quando un client VPN viene attivato o disattivato
- Quando ci si connette a un hotspot wireless
- Quando la connessione Internet viene ripristinata dal provider di servizi Internet
- Quando un router viene ripristinato o riavviato
Come testare la funzionalità
Elimina tutti i cookie dal browser. Questo passaggio è importante per garantire la generazione di un nuovo cookie.
Accedi a un ambiente Dynamics 365 in cui è abilitato il binding dei cookie basato su IP.
Utilizza uno strumento client come Fiddler per copiare il cookie di sessione.
Invia una richiesta da un computer alternativo (esterno alla rete originale) utilizzando il cookie di sessione precedentemente ottenuto. Dovresti aspettarti di ricevere un errore HTTP 403 in risposta.
Esclusioni
- Se l'utente si connette a Dataverse dallo stesso indirizzo IP con il vecchio cookie valido, Dataverse accetta il cookie.
- Se il traffico tra la tua rete e Power Platform è configurato per utilizzare il proxy inverso con indirizzo IP dinamico, l'associazione dei cookie basata su IP non funzionerà.
Domande frequenti
Questa funzionalità è disponibile in Dataverse?
Il binding dell'IP del cookie è disponibile per il cookie CrmOwinAuth in Unified Interface.
Dopo quanto tempo la modifica diventa effettiva una volta che è stata apportata nell'interfaccia di amministrazione di Power Platform?
La modifica in genere ha effetto in circa cinque minuti.
Questa funzione funziona in tempo reale?
La funzionalità valuta il cookie in tempo reale, ad eccezione della richiesta iniziale che viene effettuata dopo l'abilitazione della funzionalità.
Questa funzione è abilitata per impostazione predefinita in tutti gli ambienti?
La funzione di binding dell'IP del cookie è disabilitata per impostazione predefinita. Gli amministratori devono abilitarla nell'interfaccia di amministrazione di Power Platform.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per