Protegendo sessões do Dataverse com associação de cookies IP
Impeça explorações de sequestro de sessão no Dataverse com a associação de cookies baseada em endereço IP. Digamos que um usuário mal-intencionado copie um cookie de sessão válido de um computador autorizado com uma associação de de cookies baseada em IP habilitada. O usuário tenta usar o cookie em um computador distinto para obter acesso não autorizado ao Dataverse. Em tempo real, o Dataverse compara o endereço IP de origem do cookie com o endereço IP do computador que faz a solicitação. Se os dois forem distintos, a tentativa será bloqueada e uma mensagem de erro será exibida.
A associação de cookies baseada em IP está disponível apenas para Ambientes Gerenciados em todos os locatários, incluindo nuvens governamentais. É possível fazer isso no centro de administração do Power Platform.
Habilitar associação de cookies com base em endereço IP
Entre no Centro de administração do Power Platform como administrador.
Selecione Ambientes e, depois, um ambiente.
Selecione Configurações>Produto>Privacidade + Segurança.
Em Configurações de endereço IP, selecione a opção Habilitar associação de cookie baseada em endereço IP.
(Opcional): se a organização tiver proxies reversos configurados, insira os endereços IP separados por vírgulas no campo Endereços IP de proxy reverso. A configuração do proxy reverso se aplica à ligação de cookie baseada em IP e ao firewall de IP. Entre em contato com o administrador da rede para obter os endereços IP do proxy reverso.
Observação
O proxy reverso deve ser configurado para enviar endereços IP do cliente do usuário no cabeçalho encaminhado.
Selecione Salvar.
Como a associação de cookies usa seu endereço IP para funcionar
A associação de cookies baseada em IP define a declaração de endereço IP no cookie de sessão. Cada solicitação é avaliada para comparar o endereço IP atual com o endereço IP de origem que foi armazenado no cookie quando ele foi criado. Se os endereços não coincidirem, o acesso do usuário será negado.
Cenários em que os usuários são solicitados a reautenticar
- Quando qualquer cliente VPN está ligado ou desligado
- Ao conectar-se a um hotspot sem fio
- Quando a conexão com a Internet é redefinida pelo provedor de serviços da Internet
- Quando um roteador é redefinido ou reiniciado
Como testar o recurso
Limpe todos os cookies do navegador. Esta etapa é importante para garantir que um novo cookie seja gerado.
Entre em um ambiente do Dynamics 365 com a associação de cookies baseada em IP habilitada.
Use uma ferramenta do cliente como o Fiddler para copiar o cookie de sessão.
Envie uma solicitação de um computador alternativo (fora da rede original) usando o cookie de sessão obtido anteriormente. Você deve esperar receber um erro HTTP 403 na resposta.
Exclusões
- Se o usuário se conectar ao Dataverse partir do mesmo endereço IP com o cookie antigo e válido, o Dataverse aceita o cookie.
- Se o tráfego entre sua rede e o Power Platform estiver configurado para usar proxy reverso com endereço IP dinâmico, a vinculação de cookie baseada em IP não funcionará.
Perguntas frequentes
Este recurso está disponível no Dataverse?
A associação de IP de cookie está disponível para o cookie CrmOwinAuth
na Interface Unificada.
Em quanto tempo a alteração realizada entra em vigor no centro de administração do Power Platform?
A alteração costuma entrar em vigor em cerca de cinco minutos.
Esse recurso funciona em tempo real?
O recurso avalia o cookie em tempo real, exceto pela solicitação inicial feita após a ativação do recurso.
Este recurso é habilitado por padrão em todos os ambientes?
Por padrão, o recurso de associação de IP de cookie está desativado. Os administradores devem habilitá-lo no centro de administração do Power Platform.