Zabezpieczanie sesji usługi Dataverse przy użyciu powiązania plików cookie IP

Zapobiegaj exploitom typu "session hijacking" w Dataverse, stosując wiązanie plików cookie oparte na adresach IP. Załóżmy, że złośliwy użytkownik skopiuje ważny plik cookie sesji z uprawnionego komputera, na którym włączone jest wiązanie IP plików cookie. Następnie użytkownik próbuje wykorzystać plik cookie na innym komputerze, aby uzyskać nieautoryzowany dostęp do Dataverse. W czasie rzeczywistym Dataverse porównuje adres IP, z którego pochodzi plik cookie, z adresem IP komputera zgłaszającego żądanie. Jeśli są one różne, próba jest blokowana i wyświetlany jest komunikat o błędzie.

Powiązanie plików cookie oparte na adresach IP jest dostępne tylko w środowiskach zarządzanych we wszystkich dzierżawach, także w chmurach rządowych. Tę funkcję można włączyć w Centrum administracyjnym Power Platform.

Włącz wiązanie plików cookie na podstawie adresu IP

1. Zaloguj się do centrum administracyjnego Power Platform jako administrator.

2. Wybierz Środowisko, a następnie wybierz Dalej.

3. Wybierz Ustawienia>Prywatność, a następnie wybierz kartę Prywatność i zabezpieczenia.

4. W sekcji Ustawienia adresu IP wybierz Włącz wiązanie plików cookie oparte na adresie IP.

5. Wybierz pozycję Zapisz.

Jak powiązanie plików cookie używa adresu IP użytkownika podczas pracy

Wiązanie plików cookie oparte na adresie IP ustawia żądanie adresu IP w pliku cookie sesji. Każde żądanie jest analizowane w celu porównania aktualnego adresu IP ze źródłowym adresem IP, który został zapisany w pliku cookie podczas jego tworzenia. Jeśli adresy nie pasują do siebie, użytkownik zostanie pozbawiony dostępu.

Scenariusze, w których użytkownicy muszą ponownie się uwierzytelnić

• Kiedy jakikolwiek klient VPN jest włączony lub wyłączony
• Podczas łączenia się z bezprzewodowym hotspotem
• Gdy połączenie internetowe zostanie zresetowane przez dostawcę usług internetowych
• Kiedy router jest resetowany lub uruchamiany ponownie

Jak przetestować funkcję

1. Wyczyść wszystkie pliki cookie z przeglądarki. Ten krok jest ważny, aby zapewnić wygenerowanie nowego pliku cookie.

2. Zaloguj się do środowiska Dynamics 365, które ma włączone wiązanie gotowania na podstawie adresu IP.

3. Użyj narzędzia klienckiego, takiego jak Fiddler, aby skopiować plik cookie sesji.

4. Przesłanie żądania z alternatywnego komputera (spoza oryginalnej sieci) przy użyciu wcześniej uzyskanego pliku cookie sesji. W odpowiedzi należy spodziewać się błędu HTTP 403.

Wykluczenia

• Jeśli użytkownik połączy się z Dataverse z tego samego adresu IP ze starym, ważnym plikiem cookie, Dataverse zaakceptuje plik cookie.
• Jeśli ruch między siecią użytkownika i Power Platform jest skonfigurowany w taki sposób, aby używać serwera proxy o dynamicznym adresie IP, powiązanie plików cookie opartych na IP nie działa.

Często zadawane pytania

Czy ta funkcja jest dostępna w Dataverse?

Wiązanie IP plików cookie jest dostępne dla pliku cookie CrmOwinAuth w ujednoliconym interfejsie.

Jak szybko zmiana wchodzi w życie po wprowadzeniu jej w centrum administracyjnym Power Platform?

Zmiana zazwyczaj wchodzi w życie po około pięciu minutach.

Czy ta funkcja działa w czasie rzeczywistym?

Funkcja analizuje plik cookie w czasie rzeczywistym, z wyjątkiem pierwszego żądania, które jest wykonywane po włączeniu funkcji.

Czy ta funkcja jest domyślnie włączona we wszystkich środowiskach?

Funkcja wiązania IP cookie jest domyślnie wyłączona. Administratorzy muszą włączyć ją w centrum administracyjnym Power Platform.