使用 IP Cookie 绑定保护 Dataverse 会话

使用基于 IP 地址的 Cookie 绑定在 Dataverse 中阻止会话劫持攻击。 假设有恶意用户从启用了 Cookie IP 绑定的授权计算机复制有效会话 Cookie。 然后，该用户尝试在另一台计算机上使用 Cookie 来获得对 Dataverse 的未经授权的访问。 Dataverse 会将 Cookie 来源的 IP 地址与发出请求的计算机的 IP 地址实时进行比较。 如果二者不同，则阻止尝试，并显示错误消息。

基于 IP 的 Cookie 绑定仅适用于所有租户的托管环境，包括政府云。 您可以在 Power Platform 管理中心启用此功能。

启用基于 IP 地址的 Cookie 绑定

1. 以管理员身份登录到 Power Platform 管理中心。

2. 选择环境，然后选择一个环境。

3. 选择设置>产品，然后选择隐私和安全性。

4. 在 IP 地址设置下，选择启用基于 IP 地址的 Cookie 绑定。

5. 选择保存。

cookie 绑定如何使用您的 IP 地址工作

基于 IP 的 Cookie 绑定在会话 Cookie 中设置 IP 地址声明。 对每个请求进行评估，以将当前 IP 地址与创建时存储在 Cookie 中的源 IP 地址进行比较。 如果地址不匹配，用户将被拒绝访问。

要求用户重新身份验证的场景

• 任何 VPN 客户端打开或关闭时
• 连接到无线热点时
• Internet 服务提供商重置 Internet 连接时
• 重置或重新启动路由器时

如何测试功能

1. 从浏览器清除所有 Cookie。 此步骤对于确保生成新的 Cookie 很重要。

2. 登录到启用了基于 IP 的 Cookie 绑定的 Dynamics 365 环境。

3. 使用客户端工具（如 Fiddler）复制会话 Cookie。

4. 使用先前获取的会话 cookie 从备用计算机（原始网络之外）提交请求。 您应该会收到 HTTP 403 错误响应。

排除情况

• 如果用户使用旧的有效 cookie 从同一 IP 地址连接到Dataverse，Dataverse 将接受该 cookie。
• 如果您的网络和 Power Platform 之间的流量配置为使用具有动态 IP 地址的反向代理，基于 IP 的 cookie 绑定将不起作用。

常见问题

Dataverse 中是否提供此功能？

Cookie IP 绑定可用于统一接口中的 CrmOwinAuth Cookie。

在 Power Platform 管理中心进行更改后多久会生效？

更改通常会在约五分钟后生效。

此功能是否是实时的？

此功能将实时评估 Cookie，但在启用此功能后发出的初始请求除外。

此功能是否在所有环境中默认启用？

Cookie IP 绑定功能默认是禁用的。 管理员必须在 Power Platform 管理中心进行启用。