Zabezpieczanie sesji usługi Dataverse przy użyciu powiązania plików cookie IP

Zapobiegaj exploitom typu "session hijacking" w Dataverse, stosując wiązanie plików cookie oparte na adresach IP. Załóżmy, że złośliwy użytkownik skopiuje ważny plik cookie sesji z uprawnionego komputera, na którym włączone jest wiązanie IP plików cookie. Następnie użytkownik próbuje wykorzystać plik cookie na innym komputerze, aby uzyskać nieautoryzowany dostęp do Dataverse. W czasie rzeczywistym Dataverse porównuje adres IP, z którego pochodzi plik cookie, z adresem IP komputera zgłaszającego żądanie. Jeśli są one różne, próba jest blokowana i wyświetlany jest komunikat o błędzie.

Powiązanie plików cookie oparte na adresach IP jest dostępne tylko w środowiskach zarządzanych we wszystkich dzierżawach, także w chmurach rządowych. Tę funkcję można włączyć w Centrum administracyjnym Power Platform.

Włącz wiązanie plików cookie na podstawie adresu IP

1. Zaloguj się do centrum administracyjnego Power Platform jako administrator.

2. Wybierz Środowisko, a następnie wybierz Dalej.

3. Wybieranie Ustawienia>Produkt>Prywatność produktu i zabezpieczenia.

4. W sekcji Ustawienia adresu IP wybierz opcję Włącz powiązanie plików cookie na podstawie adresu IP.

5. (Opcjonalnie): Jeśli organizacja ma skonfigurowane odwrotne serwery proxy, wprowadź adresy IP oddzielone przecinkami w polu Adresy IP odwrotnych serwerów proxy. Ustawienie odwrotnego serwera proxy dotyczy połączenia plików cookie opartych na adresie IP oraz zapory IP. Skontaktuj się z administratorem sieci, aby uzyskać adresy IP odwrotnego serwera proxy.

   Uwaga

   Odwrotne proxy musi być skonfigurowane do wysyłania adresów IP klienta użytkownika w nagłówku przekazano.

6. Wybierz pozycję Zapisz.

Jak powiązanie plików cookie używa adresu IP użytkownika podczas pracy

Wiązanie plików cookie oparte na adresie IP ustawia żądanie adresu IP w pliku cookie sesji. Każde żądanie jest analizowane w celu porównania aktualnego adresu IP ze źródłowym adresem IP, który został zapisany w pliku cookie podczas jego tworzenia. Jeśli adresy nie pasują do siebie, użytkownik zostanie pozbawiony dostępu.

Scenariusze, w których użytkownicy muszą ponownie się uwierzytelnić

• Kiedy jakikolwiek klient VPN jest włączony lub wyłączony
• Podczas łączenia się z bezprzewodowym hotspotem
• Gdy połączenie internetowe zostanie zresetowane przez dostawcę usług internetowych
• Kiedy router jest resetowany lub uruchamiany ponownie

Jak przetestować funkcję

1. Wyczyść wszystkie pliki cookie z przeglądarki. Ten krok jest ważny, aby zapewnić wygenerowanie nowego pliku cookie.

2. Zaloguj się do środowiska Dynamics 365, które ma włączone wiązanie gotowania na podstawie adresu IP.

3. Użyj narzędzia klienckiego, takiego jak Fiddler, aby skopiować plik cookie sesji.

4. Przesłanie żądania z alternatywnego komputera (spoza oryginalnej sieci) przy użyciu wcześniej uzyskanego pliku cookie sesji. W odpowiedzi należy spodziewać się błędu HTTP 403.

Wykluczenia

• Jeśli użytkownik połączy się z Dataverse z tego samego adresu IP ze starym, ważnym plikiem cookie, Dataverse zaakceptuje plik cookie.
• Jeśli ruch między siecią użytkownika i Power Platform jest skonfigurowany w taki sposób, aby używać serwera proxy o dynamicznym adresie IP, powiązanie plików cookie opartych na IP nie działa.

Często zadawane pytania

Czy ta funkcja jest dostępna w Dataverse?

Wiązanie IP plików cookie jest dostępne dla pliku cookie CrmOwinAuth w ujednoliconym interfejsie.

Jak szybko zmiana wchodzi w życie po wprowadzeniu jej w centrum administracyjnym Power Platform?

Zmiana zazwyczaj wchodzi w życie po około pięciu minutach.

Czy ta funkcja działa w czasie rzeczywistym?

Funkcja analizuje plik cookie w czasie rzeczywistym, z wyjątkiem pierwszego żądania, które jest wykonywane po włączeniu funkcji.

Czy ta funkcja jest domyślnie włączona we wszystkich środowiskach?

Funkcja wiązania IP cookie jest domyślnie wyłączona. Administratorzy muszą włączyć ją w centrum administracyjnym Power Platform.