Dataverse-sessies beschermen met cookie-binding op basis van IP-adres

Voorkom misbruik van sessieovernames in Dataverse met op IP-adres gebaseerde cookie-binding. Stel dat een kwaadwillende gebruiker een geldige sessiecookie kopieert van een geautoriseerde computer waarop de cookie-IP-binding is ingeschakeld. De gebruiker probeert vervolgens de cookie op een andere computer te gebruiken om ongeautoriseerde toegang te krijgen tot Dataverse. Dataverse vergelijkt in realtime het IP-adres van de oorsprong van de cookie met het IP-adres van de computer die de aanvraag doet. Als de twee verschillend zijn, wordt de poging geblokkeerd en wordt er een foutmelding weergegeven.

Op IP gebaseerde cookiebinding is alleen beschikbaar voor beheerde omgevingen voor alle tenants, inclusief overheidsclouds. U kunt deze functie inschakelen in het Power Platform-beheercentrum.

Op IP-adres gebaseerde cookie-binding inschakelen

1. Meld u aan bij het Power Platform-beheercentrum als een beheerder.

2. Selecteer Omgevingen en selecteer daarna een omgeving.

3. Selecteer Instellingen>Product>Privacy en beveiliging.

4. Selecteer onder IP-adresinstellingen de optie IP-adresgebaseerde cookiebinding inschakelen .

5. (Optioneel): Als uw organisatie omgekeerde proxy's heeft geconfigureerd, voert u de IP-adressen gescheiden door komma's in het veld IP-adressen omgekeerde proxy in. De reverse proxy-instelling is van toepassing op zowel IP-gebaseerde cookiebinding als de IP-firewall. Neem contact op met uw netwerkbeheerder om de IP-adressen van de reverse proxy te verkrijgen.

   Notitie

   Omgekeerde proxy moet worden geconfigureerd om IP-adressen van gebruikersclients te verzenden in de doorgestuurde header.

6. Selecteer Opslaan.

Hoe cookiebinding uw IP-adres gebruikt om te werken

Met op IP gebaseerde cookie-binding wordt de IP-adresclaim in de sessiecookie ingesteld. Elke aanvraag geëvalueerd om het huidige IP-adres te vergelijken met het bron-IP-adres dat in de cookie is opgeslagen toen deze werd gemaakt. Als de adressen niet overeenkomen, wordt de gebruiker de toegang geweigerd.

Scenario's waarin gebruikers wordt gevraagd zich opnieuw te verifiëren

• Wanneer een VPN-client is in- of uitgeschakeld
• Bij verbinding met een draadloze hotspot
• Wanneer de internetverbinding door de internetserviceprovider opnieuw wordt ingesteld
• Wanneer een router wordt gereset of opnieuw wordt opgestart

De functie testen

1. Wis alle cookies uit de browser. Deze stap is belangrijk om ervoor te zorgen dat er een nieuwe cookie wordt gegenereerd.

2. Meld u aan bij een Dynamics 365-omgeving waarin op IP gebaseerde cookie-binding is ingeschakeld.

3. Gebruik een clienttool zoals Fiddler om de sessiecookie te kopiëren.

4. Dien een verzoek in vanaf een alternatieve computer (buiten het oorspronkelijke netwerk) met behulp van de eerder verkregen sessiecookie. U kunt als reactie hierop een HTTP 403-fout verwachten.

Uitsluitingen

• Als de gebruiker verbinding maakt met Dataverse vanaf hetzelfde IP-adres met de oude, geldige cookie, dan accepteert Dataverse de cookie.
• Als het verkeer tussen uw netwerk en Power Platform is geconfigureerd voor het gebruik van een reverse proxy met een dynamisch IP-adres, werkt de IP-gebaseerde cookiebinding niet.

Veelgestelde vragen

Is deze functie beschikbaar in Dataverse?

Cookie-IP-binding is beschikbaar voor de CrmOwinAuth-cookie in Unified Interface.

Hoe snel wordt de wijziging van kracht nadat deze is aangebracht in het Power Platform-beheercentrum?

De wijziging wordt doorgaans binnen ongeveer vijf minuten van kracht.

Werkt deze functie in realtime?

Met de functie wordt de cookie in realtime geëvalueerd, met uitzondering van de eerste aanvraag die wordt gedaan nadat de functie is ingeschakeld.

Wordt deze functie standaard in alle omgevingen ingeschakeld?

De functie voor cookie-IP-binding is standaard uitgeschakeld. Beheerders moeten de functie inschakelen in het Power Platform-beheercentrum.