Sdílet prostřednictvím


Zabezpečení relací Dataverse pomocí vazby souborů cookie IP

Zabraňte zneužití relace v Dataverse s vazbou cookie na základě IP adresy. Řekněme, že uživatel se zlými úmysly zkopíruje platný soubor cookie relace z autorizovaného počítače, který má aktivní vazbu cookie na IP. Uživatel se pak pokusí použít cookie na jiném počítači, aby získal neoprávněný přístup k Dataverse. Dataverse v reálném čase porovnává IP adresu původu souboru cookie s IP adresou počítače, který odesílá požadavek. Pokud se oba liší, pokus se zablokuje a zobrazí se chybová zpráva.

Vazba souborů cookie na základě IP adresy je dostupná pouze pro Spravovaná prostředí napříč všemi klienty, včetně cloudů pro státní správu. Tuto funkci můžete aktivovat v centru pro správu Power Platform.

  1. Přihlaste se do Centra pro správu Power Platform jako správce.

  2. Vyberte Prostředí a pak vyberte prostředí.

  3. Vyberte Nastavení>Produkt>Ochrana osobních údajů a zabezpečení.

  4. V části Nastavení IP adresy vyberte možnost Povolit vazbu souborů cookie na základě IP adresy.

  5. (Volitelné): Pokud má vaše organizace nakonfigurované reverzní proxy, zadejte IP adresy oddělené čárkami do pole IP adresy reverzního proxy. Nastavení reverzního proxy se vztahuje jak na vazbu souboru cookie na základě IP, tak na bránu firewall IP. Obraťte se na správce sítě a získejte IP adresy reverzního proxy.

    Poznámka:

    Reverzní proxy musí být nakonfigurovaný tak, aby odesílal IP adresy klientů uživatelů v předávané hlavičce.

  6. Zvolte Uložit.

Vazba cookie na IP nastavuje nárok na adresu IP v souboru cookie relace. Každý požadavek je vyhodnocen za účelem porovnání aktuální IP adresy se zdrojovou IP adresou, která byla uložena v cookie při jeho vytvoření. Pokud se adresy neshodují, je uživateli odepřen přístup.

Scénáře, ve kterých jsou uživatelé požádáni o opětovné ověření

  • Když je jakýkoli klient VPN zapnut nebo vypnut
  • Při připojení k bezdrátovému hotspotu
  • Když poskytovatel internetových služeb resetuje připojení k internetu
  • Když je router resetován nebo restartován

Jak funkci otestovat

  1. Vymažte všechny soubory cookie z prohlížeče. Tento krok je důležitý pro vygenerování nového souboru cookie.

  2. Přihlaste se do prostředí Dynamics 365, které má povolenou vazbu cookie na IP.

  3. Ke zkopírování souboru cookie relace použijte klientský nástroj, jako je Fiddler.

  4. Odešlete požadavek z alternativního počítače (mimo původní síť) pomocí dříve získaného souboru cookie relace. Měli byste očekávat, že jako odpověď obdržíte chybu HTTP 403.

Vyloučení

  • Pokud se uživatel připojí k Dataverse ze stejné IP adresy se starým platným souborem cookie, Dataverse přijme soubor cookie.
  • Pokud je provoz mezi vaší sítí a Power Platform nakonfigurován tak, aby používal reverzní server proxy s dynamickou IP adresou, nebude vazba souboru cookie založená na IP fungovat.

Často kladené dotazy

Je tato funkce dostupná v Dataverse?

Vazba souboru cookie na IP je k dispozici pro soubor cookie CrmOwinAuth ve sjednoceném rozhraní.

Jak brzy se změna projeví, jakmile bude provedena v centru pro správu Power Platform?

Změna se obvykle projeví přibližně za pět minut.

Funguje tato funkce v reálném čase?

Funkce vyhodnocuje soubor cookie v reálném čase, s výjimkou počátečního požadavku, který je proveden po aktivaci funkce.

Je tato funkce ve výchozím nastavení aktivní ve všech prostředích?

Funkce vazby cookie na IP je ve výchozím nastavení deaktivovaná. Správci ji musí aktivovat v centru pro správu Power Platform.