Partilhar via


Proteger sessões do Dataverse com enlace de cookies de IP

Impeça explorações de assumir o controlo sem autorização de sessões no Dataverse com o enlace de cookies baseada nos endereços IP. Digamos que um utilizador malicioso copia um cookie de sessão válido de um computador autorizado que tem o enlace de cookies baseado no IP ativado. Em seguida, o utilizador tenta utilizar o cookie noutro computador para obter acesso não autorizado ao Dataverse. Em tempo real, o Dataverse compara o endereço IP da origem do cookie com o endereço IP do computador que está a fazer o pedido. Se os dois forem diferentes, a tentativa é bloqueada e é apresentada uma mensagem de erro.

O enlace de cookies baseado no IP só está disponível para Ambientes Geridos em todos os inquilinos, incluindo clouds do governo. Pode ativar esta caraterística no centro de administração do Power Platform.

  1. Inicie sessão no centro de administração do Power Platform como um administrador.

  2. Selecione Ambientes e, em seguida, selecione um ambiente.

  3. Selecione Definições>Produto>Privacidade + Segurança.

  4. Em Definições de endereço IP, selecione a opção Ativar enlace de cookies baseado no endereço IP.

  5. (Opcional): Se a sua organização tiver proxies inversos configurados, introduza os endereços IP separados por vírgulas no campo Endereços IP de proxies inversos. A definição de proxy inverso aplica-se ao enlace de cookies baseado no IP e à firewall de IP. Entre em contato com o administrador da rede para obter os endereços IP de proxy reverso.

    Nota

    O proxy inverso deve ser configurado para enviar endereços IP de cliente do utilizador no cabeçalho reencaminhado.

  6. Selecione Guardar.

O enlace de cookies baseado no endereço de IP define a afirmação de endereço IP no cookie de sessão. Cada pedido é avaliado para comparar o endereço IP atual com o endereço IP de origem que foi armazenado no cookie quando este foi criado. Se os endereços não corresponderem, é negado acesso ao utilizador.

Cenários em que é pedido aos utilizadores que voltem a fazer autenticação

  • Quando qualquer cliente VPN está ativada ou desativada
  • Quando ligar a um hotspot sem fios
  • Quando a ligação à Internet é reposta pelo fornecedor de serviços de Internet
  • Quando um router é reposto ou reiniciado

Como testar a caraterística

  1. Limpe todos os cookies do browser. Este passo é importante para garantir que um novo cookie é gerado.

  2. Inicie sessão num ambiente do Dynamics 365 que tenha ativado o enlace de cookies baseado no IP.

  3. Utilize uma ferramenta de cliente, tal como o Fiddler, para copiar o cookie de sessão.

  4. Envie um pedido de um computador alternativo (fora da rede original) usando o cookie de sessão obtido anteriormente. Deverá esperar receber um erro HTTP 403 em resposta.

Exclusões

  • Se o utilizador se ligar ao Dataverse partir do mesmo endereço IP com o cookie antigo e válido, o Dataverse aceita o cookie.
  • Se o tráfego entre a sua rede e o Power Platform estiver configurado para utilizar o proxy inverso com endereço IP dinâmico, o enlace de cookies baseado no IP não funcionará.

FAQ

Esta caraterística está disponível no Dataverse?

O enlace de cookies baseado no IP está disponível para o cookie CrmOwinAuth na Interface Unificada.

Quão cedo entra em vigor a alteração após ser efetuada no centro de administração do Power Platform?

Normalmente, a alteração entra em vigor dentro de cinco minutos.

Esta caraterística funciona em tempo real?

A caraterística avalia o cookie em tempo real, exceto no pedido inicial que é feito após a caraterística ser ativada.

Esta caraterística está ativada por predefinição em todos os ambientes?

Por predefinição, a caraterística de enlace de cookies baseado no IP está desativada. Os administradores têm de a ativar no centro de administração do Power Platform.