Dataverse-istuntojen suojaaminen IP-evästeiden sidonnalla

Estä istuntojen kaappaushyökkäykset Dataversessä käyttämällä IP-osoitteeseen perustuvaa evästesidontaa. Oletetaan, että pahantahtoinen käyttäjä kopioi kelvollisen istuntoevästeen valtuutetusta tietokoneesta, jossa on evästeen IP-sidonta käytössä. Sen jälkeen käyttäjä yrittää käyttää evästettä toisella tietokoneella saadakseen luvattoman pääsyn Dataverseen. Dataverse vertaa evästeen alkuperän IP-osoitetta pyynnön lähettäneen tietokoneen IP-osoitteeseen reaaliajassa. Jos ne eivät ole samoja, käyttö estetään ja käyttäjä näkee virheviestin.

IP-pohjainen evästesidonta on käytettävissä vain hallituissa ympäristöissä vuokraajasta riippumatta (myös julkishallinnon pilvipalvelut). Tämä ominaisuus voidaan ottaa käyttöön Power Platform -hallintakeskuksessa.

IP-osoitteeseen perustuvan evästesidonnan ottaminen käyttöön

1. Kirjaudu Power Platform -hallintakeskukseen järjestelmänvalvojana.

2. Valitse Ympäristöt ja valitse sitten ympäristö.

3. Valitse Asetukset>Tuote>Tietoturva ja tietosuoja.

4. Valitse IP-osoiteasetukset-kohdassa Ota IP-pohjainen evästeiden sidonta käyttöön -vaihtoehto.

5. (Valinnainen): Jos organisaatiollesi on määritetty käänteiset välityspalvelimet, kirjoita IP-osoitteet pilkuilla erotettuina Käänteisten välityspalvelimien IP-osoitteet -kenttään. Käänteinen välityspalvelinasetus koskee sekä IP-pohjaista evästeiden sidontaa että IP-palomuuria. Ota yhteyttä verkonvalvojaan saadaksesi käänteisen välityspalvelimen IP-osoitteet.

   Muistiinpano

   Käänteinen välityspalvelin on määritettävä lähettämään käyttäjän asiakasohjelman IP-osoitteet forwarded-otsikossa.

6. Valitse Tallenna.

Miten evästeiden sidonta käyttää IP-osoitettasi toimiakseen

IP-osoitteeseen perustuva evästesidonta määrittää istunnon evästeessä olevan IP-osoitteen väitteen. Jokainen pyyntö tarkistetaan ja niiden IP-osoitetta verrataan lähde-IP-osoitteeseen, joka tallennettiin evästeeseen, kun eväste luotiin. Jos osoitteet eivät vastaa toisiaan, käyttäjän pääsy evätään.

Skenaariot, joissa käyttäjiltä pyydetään uutta todennusta

• Kun mikä tahansa VPN-asiakasohjelma otetaan käyttöön tai poistetaan käytöstä
• Kun yhteys muodostetaan langattomaan hotspot-tukiasemaan
• Kun Internet-palveluntarjoaja nollaa Internet-yhteyden
• Kun reititin nollataan tai käynnistetään uudelleen

Ominaisuuden testaaminen

1. Tyhjennä kaikki evästeet selaimesta. Tämä vaihe on tärkeä, jotta voidaan varmistaa, että uusi eväste luodaan.

2. Kirjaudu Dynamics 365 -ympäristöön, jossa IP-osoitteeseen perustuva evästesidonta on käytössä.

3. Kopioi istunnon eväste käyttämällä työkalua, kuten Fiddler.

4. Lähetä pyyntö vaihtoehtoiselta tietokoneelta (alkuperäisen verkon ulkopuolelta) käyttäen aiemmin saamaasi istuntoevästettä. Odotettu vastaus on HTTP 403 -virhe.

Poisjätöt

• Jos käyttäjä muodostaa yhteyden Dataverseen samasta IP-osoitteesta käyttäen vanhaa voimassaolevaa evästettä, Dataverse hyväksyy evästeen.
• Jos verkon ja Power Platformin välinen liikenne on määritetty käyttämään käänteistä välityspalvelinta, jossa on dynaaminen IP-osoite, IP-osoitteeseen perustuva evästesidonta ei toimi.

Usein kysytyt kysymykset

Onko tämä ominaisuus käytettävissä Dataversessä?

Evästeen IP-sidonta on käytettävissä CrmOwinAuth-evästeessä Unified Interfacessa.

Kuinka pian muutos astuu voimaan, kun se on tehty Power Platform -hallintakeskuksessa?

Muutos astuu tavallisesti voimaan noin viiden minuutin kuluttua.

Toimiiko tämä ominaisuus reaaliaikaisesti?

Ominaisuus arvioi evästeen reaaliaikaisesti, lukuun ottamatta ensimmäistä pyyntöä, joka tehdään ominaisuuden käyttöönoton jälkeen.

Onko tämä ominaisuus oletusarvoisesti käytössä kaikissa ympäristöissä?

Evästeen IP-sidonnan ominaisuus ei ole oletusarvoisesti käytössä. Järjestelmänvalvojien täytyy ottaa se käyttöön Power Platform -hallintakeskuksesta.