Kongsi melalui


Melindungi sesi Dataverse dengan pengikatan kuki IP

Cegah eksploitasi rampasan sesi dalam Dataverse dengan pengikatan kuki berasaskan IP. Katakan bahawa pengguna berniat jahat menyalin kuki sesi yang sah daripada komputer yang dibenarkan yang mempunyai pengikatan IP kuki didayakan. Pengguna kemudiannya cuba untuk menggunakan kuki pada komputer yang berbeza untuk mendapatkan akses yang Dataverse yang tidak dibenarkan. Pada masa nyata, Dataverse membandingkan alamat IP asal kuki dengan alamat IP komputer yang membuat permintaan. Jika kedua-duanya berbeza, percubaan disekat dan mesej ralat ditunjukkan.

Pengikatan kuki berasaskan IP hanya tersedia untuk Persekitaran Terurusmerentas semua penyewa, termasuk awan kerajaan. Anda boleh mendayakan ciri ini dalam Power Platform pusat pentadbiran.

  1. Daftar masuk ke Power Platform pusat pentadbiran sebagai pentadbir.

  2. Pilih Persekitaran dan kemudian pilih persekitaran.

  3. Pilih Tetapan>Privasi, dan kemudian pilih Privasi + Keselamatan.

  4. Di bawah tetapan alamat IP, pilih Dayakan pengikatan kuki berasaskan alamat IP.

  5. Pilih Simpan.

Pengikatan kuki berasaskan IP menetapkan tuntutan alamat IP dalam sesi kuki. Setiap permintaan dinilai untuk membandingkan alamat IP semasa dengan alamat IP sumber yang disimpan dalam kuki apabila ia dicipta. Jika alamat tidak sepadan, pengguna ditolak akses.

Senario di mana pengguna diminta untuk mengesahkan semula

  • Apabila sebarang klien VPN dihidupkan atau dimatikan
  • Apabila menyambung kepada hotspot wayarles
  • Apabila sambungan Internet diset semula oleh penyedia perkhidmatan Internet
  • Apabila penghala diset semula atau dimulakan semula

Cara menguji ciri

  1. Kosongkan semua kuki daripada pelayar. Langkah ini penting untuk memastikan kuki baharu dijana.

  2. Log masuk ke persekitaran Dynamics 365 yang mempunyai pengikatan memasak berasaskan IP didayakan.

  3. Gunakan alat klien seperti Fiddler untuk menyalin kuki sesi.

  4. Serahkan permintaan daripada komputer alternatif (di luar rangkaian asal) menggunakan kuki sesi yang diperoleh sebelum ini. Anda sepatutnya menjangkakan untuk menerima ralat HTTP 403 sebagai respons.

Pengecualian

  • Jika pengguna menyambung daripada Dataverse alamat IP yang sama dengan kuki lama yang sah, terima Dataverse kuki tersebut.
  • Jika trafik antara rangkaian anda dan Power Platform dikonfigurasikan untuk menggunakan proksi terbalik yang mempunyai alamat IP dinamik, pengikatan kuki berasaskan IP tidak akan berfungsi.

Soalan lazim

Adakah ciri ini tersedia dalam Dataverse?

Pengikatan IP kuki tersedia untuk CrmOwinAuth kuki dalam Antara Muka Disatukan.

Berapa lamakah perubahan ini akan berkuat kuasa sebaik sahaja dibuat dalam pusat pentadbir Power Platform?

Perubahan biasanya berkuat kuasa dalam masa lima minit.

Adakah ciri ini berfungsi dalam masa nyata?

Ciri ini menilai kuki dalam masa nyata, kecuali permintaan awal yang dibuat selepas ciri didayakan.

Adakah ciri ini didayakan secara lalai dalam semua persekitaran?

Ciri pengikatan IP kuki dinyahdayakan secara lalai. Pentadbir mesti mendayakannya dalam pusat pentadbir Power Platform.