Skydda Dataverse-sessioner med IP-cookiebindning

Förhindra att session utnyttjas i Dataverse med IP-adressbaserad cookie-bindning. Anta att en skadlig användare kopierar en giltig sessions-cookie från en auktoriserad dator med aktiverad cookie-IP-bindning. Användaren försöker sedan använda cookien på en annan dator för att få obehörig åtkomst till Dataverse. I realtid Dataverse jämförs IP-adressen för cookiens ursprung med IP-adressen för den dator som förfrågan gäller. Om de två är olika blockeras försöken och ett felmeddelande visas.

IP-baserad cookie-bindning är endast tillgänglig för hanterade miljöer i alla innehavare, inklusive molntjänster. Du kan aktivera den här funktionen i Power Platform administrationscenter.

Aktivera cookiebindning baserad på IP-adress

1. Logga in på Power Platform administrationscentret som administratör.

2. Välj Miljöer och sedan en miljö.

3. Välj Inställningar>Produkt och välj sedan Sekretess + säkerhet.

4. Under IP-adressinställningar, välj Aktivera IP-adressbaserad cookie-bindning.

5. Välj Spara.

Så här fungerar cookie-bindningen med din IP-adress

IP-baserad cookie-bindning anger IP-adressens anspråk i sessions-cookien. Varje förfrågan utvärderas för att jämföra den aktuella IP-adressen med käll-IP-adressen som lagrades i cookien när den skapades. Om adresserna inte matchar nekas användaren åtkomst.

Scenarier där användare uppmanas att återautentisera

• När en VPN-klient är aktiverad eller inaktiverad
• När du ansluter till en trådlös hotspot
• När Internetanslutningen återställs av Internetleverantören
• När en router återställs eller startas om

Hur man testar funktionen

1. Ta bort alla cookies från webbläsaren. Det här steget är viktigt att se till att en ny cookie skapas.

2. Logga in i en Dynamics 365-miljö med IP-baserad bindning aktiverad.

3. Använd ett klientverktyg, till exempel Fiddler, för att kopiera sessions-cookien.

4. Skicka en förfrågan från en alternativ dator (utanför det ursprungliga nätverket) med hjälp av den tidigare sessionscookien. Du kan förvänta dig att få ett HTTP 403-fel som svar.

Exkluderingar

• Om användaren ansluter till Dataverse från samma IP-adress som den gamla, giltiga cookien kommer Dataverse acceptera cookien.
• Om trafik mellan ditt nätverk och Power Platform är konfigurerad att använda omvänd proxy med dynamisk IP-adress fungerar inte IP-baserad cookie-bindning.

Vanliga frågor och svar

Den här funktionen tillgänglig i Dataverse?

Cookie-IP-bindningen är tillgänglig för CrmOwinAuth cookie i enhetligt gränssnitt.

Hur snart får ändringen effekt när den har gjorts i administrationscenter Power Platform?

Ändringen börjar normalt gälla på cirka fem minuter.

Fungerar den här funktionen i realtid?

Funktionen utvärderar cookien i realtid, förutom den första förfrågan som görs efter att funktionen har aktiverats.

Är funktionen aktiverad som standard i alla miljöer?

Cookie IP-bindningsfunktionen är inaktiverad som standard. Administratörer måste aktivera det i Power Platform administrationscenter.