Protejarea sesiunilor Dataverse cu legarea modulelor cookie de IP

Preveniți exploatările de deturnare a sesiunii în Dataverse cu legarea cookie-urilor bazată pe adrese IP. Să presupunem că un utilizator rău intenționat copiază un cookie de sesiune valid de pe un computer autorizat care are activată legarea IP pentru cookie-uri. Apoi utilizatorul încearcă să folosească cookie-ul pe un alt computer pentru a obține acces neautorizat la Dataverse. În timp real, Dataverse compară adresa IP a originii cookie-ului cu adresa IP a computerului care face solicitarea. Dacă cele două sunt diferite, încercarea este blocată și este afișat un mesaj de eroare.

Legarea cookie-urilor bazate pe IP este disponibilă numai pentru *Mediile gestionate* pentru toate entitățile găzduite, inclusiv cloud-urile guvernamentale. ... Puteți activa această funcție în centrul de administrare Power Platform .

  1. Conectați-vă la centrul de administrare Power Platform ca administrator.

  2. În panoul de navigare, selectați Gestionare.

  3. În panoul Gestionați , selectați Medii.

  4. Pe pagina Medii , selectați un mediu.

  5. Selectați Setări>Produs>Confidențialitate + securitate.

  6. În setările adresei IP, selectează opțiunea Activează legarea cookie-urilor bazată pe adresa IP .

  7. (Opțional): Dacă organizația dvs. are configurate proxy-uri inverse, introduceți adresele IP separate prin virgule în câmpul Adrese IP proxy inverse . Setarea proxy invers se aplică atât legăturii cookie bazate pe IP, cât și firewall-ului IP. ... Contactați administratorul de rețea pentru a obține adresele IP de proxy invers.

    Notă

    Proxy-ul invers trebuie configurat să trimită adresele IP ale clienților utilizatorilor în antetul *forwarded*. ...

  8. Selectați Salvați.

Legarea cookie-urilor bazată pe IP setează revendicarea adresei IP în cookie-ul de sesiune. Fiecare solicitare este evaluată pentru a compara adresa IP curentă cu adresa IP sursă care a fost stocată în cookie când a fost creat. Dacă adresele nu coincid, utilizatorului i se interzice accesul.

Scenarii în care utilizatorilor li se solicită să se reautentifice

  • Când un client VPN este pornit sau dezactivat
  • Când vă conectați la un hotspot wireless
  • Când conexiunea la internet este resetată de furnizorul de servicii de internet
  • Când un router este resetat sau repornit

Cum să testați caracteristica

  1. Ștergeți toate cookie-urile din browser. Acest pas este important pentru a vă asigura că este generat un cookie nou.

  2. Conectați-vă la un mediu Dynamics 365 care are activată legarea de cookie bazată pe IP.

  3. Utilizați un instrument client, cum ar fi Fiddler, pentru a copia cookie-ul de sesiune.

  4. Trimiteți o solicitare de la un computer alternativ (în afara rețelei originale) utilizând cookie-ul de sesiune obținut anterior. Ar trebui să vă așteptați să primiți o eroare HTTP 403 ca răspuns.

Excluderi

  • Dacă utilizatorul se conectează la Dataverse de la aceeași adresă IP cu vechiul cookie valid, Dataverse acceptă cookie-ul.
  • Dacă traficul dintre rețeaua dvs. și Power Platform este configurat să utilizeze un proxy invers cu o adresă IP dinamică, legarea cookie-urilor bazată pe IP nu va funcționa.

Întrebări frecvente

Această caracteristică este disponibilă în Dataverse?

Legarea IP-ului cookie este disponibilă pentru cookie în Interfața unificată. CrmOwinAuth

Cât de curând intră în vigoare modificarea odată ce este efectuată în centrul de administrare Power Platform?

De obicei, schimbarea intră în vigoare în aproximativ cinci minute.

Funcționează această caracteristică în timp real?

Caracteristica evaluează cookie-ul în timp real, cu excepția solicitării inițiale care este făcută după ce caracteristica este activată.

Este această caracteristică activată implicit în toate mediile?

În mod implicit, funcția legare a cookie-ului la IP este dezactivată. Administratorii trebuie să o activeze în centrul de administrare Power Platform.

  • Last updated on