IP 쿠키 바인딩으로 Dataverse 세션 보호
IP 주소 기반 쿠키 바인딩을 사용하여 Dataverse에서 세션 하이재킹 익스플로잇을 방지합니다. 악의적인 사용자가 쿠키 IP 바인딩이 활성화된 인증된 컴퓨터에서 유효한 세션 쿠키를 복사한다고 가정해 보겠습니다. 그런 다음 사용자는 다른 컴퓨터에서 쿠키를 사용하여 Dataverse에 대한 무단 액세스를 시도합니다. 실시간으로 Dataverse은 쿠키 출처의 IP 주소를 요청하는 컴퓨터의 IP 주소와 비교합니다. 둘 다 다르면 시도가 차단되고 오류 메시지가 표시됩니다.
IP 기반 쿠키 바인딩은 정부 클라우드를 포함한 모든 테넌트의 관리형 환경에서만 사용할 수 있습니다. Power Platform 관리 센터에서 이 기능을 활성화할 수 있습니다.
IP 주소 기반 쿠키 바인딩 활성화
Power Platform 관리 센터에 관리자로 로그인합니다.
환경을 선택한 다음 한 환경을 선택합니다.
설정>제품>개인정보 + 보안을 선택합니다.
IP 주소 설정에서 IP 주소 기반 쿠키 바인딩 사용 옵션을 선택합니다.
(선택 사항): 조직에 역방향 프록시가 구성되어 있는 경우 역방향 프록시 IP 주소 필드에 IP 주소를 쉼표로 구분하여 입력합니다. 역방향 프록시 설정은 IP 기반 쿠키 바인딩과 IP 방화벽 모두에 적용됩니다. 네트워크 관리자에게 문의하여 역방향 프록시 IP 주소를 가져오십시오.
참고
역방향 프록시는 전달된 헤더에서 사용자 클라이언트 IP 주소를 전송하도록 구성되어야 합니다.
저장을 선택합니다.
쿠키 바인딩이 IP 주소를 사용하여 작동하는 방식
IP 기반 쿠키 바인딩은 세션 쿠키에서 IP 주소 클레임을 설정합니다. 각 요청은 현재 IP 주소를 쿠키가 생성될 때 쿠키에 저장된 소스 IP 주소와 비교하기 위해 평가됩니다. 주소가 일치하지 않으면 사용자의 액세스가 거부됩니다.
사용자에게 재인증을 요청하는 시나리오
- VPN 클라이언트가 켜져 있거나 꺼져 있을 경우
- 무선 핫스팟에 연결할 경우
- 인터넷 서비스 공급자가 인터넷 연결을 재설정한 경우
- 라우터가 재설정되거나 다시 시작될 경우
기능을 테스트하는 방법
브라우저에서 모든 쿠키를 지웁니다. 이 단계는 새 쿠키가 생성되도록 하는 데 중요합니다.
IP 기반 요리 바인딩이 활성화된 Dynamics 365 환경에 로그인합니다.
Fiddler와 같은 클라이언트 도구를 사용하여 세션 쿠키를 복사합니다.
이전에 얻은 세션 쿠키를 사용하여 원래 네트워크 외부의 대체 컴퓨터에서 요청을 제출합니다. 응답으로 HTTP 403 오류가 수신될 것으로 예상됩니다.
제외
- 사용자가 이전의 유효한 쿠키와 동일한 IP 주소에서 Dataverse에 연결하면 Dataverse는 쿠키를 수락합니다.
- 네트워크와 Power Platform 사이의 트래픽이 동적 IP 주소가 있는 역방향 프록시를 사용하도록 구성된 경우 IP 기반 쿠키 바인딩이 작동하지 않습니다.
자주 묻는 질문
Dataverse에서 이 기능을 사용할 수 있습니까?
쿠키 IP 바인딩은 통합 인터페이스의 CrmOwinAuth
쿠키에 사용할 수 있습니다.
Power Platform 관리 센터에서 변경 사항이 적용되면 얼마나 빨리 적용됩니까?
변경 사항은 일반적으로 약 5분 후에 적용됩니다.
이 기능이 실시간으로 작동합니까?
이 기능은 기능이 활성화된 후 이루어진 초기 요청을 제외하고 쿠키를 실시간으로 평가합니다.
이 기능은 모든 환경에서 기본적으로 활성화되어 있습니까?
쿠키 IP 바인딩 기능은 기본적으로 비활성화되어 있습니다. 관리자는 Power Platform 관리 센터에서 활성화해야 합니다.