Защита сеансов Dataverse с помощью привязки файлов cookie на основе IP-адресов
Предотвращайте перехваты сеанса через эксплойты в Dataverse с привязкой файлов cookie на основе IP-адреса. Предположим, что злоумышленник копирует действительный файл cookie сеанса с авторизованного компьютера, на котором включена привязка IP-адреса файла cookie. Затем пользователь пытается использовать файл cookie на другом компьютере, чтобы получить несанкционированный доступ к Dataverse. Dataverse в режиме реального времени сравнивает IP-адрес источника файла cookie с IP-адресом компьютера, отправляющего запрос. Если они разные, попытка блокируется и отображается сообщение об ошибке.
Привязка файлов cookie на основе IP-адреса доступна только для Управляемых сред по всем клиентам, включая облака для государственных организаций. Вы можете включить эту функцию в центре администрирования Power Platform.
Включение привязки файлов cookie на основе IP-адресов
Войдите в Центр администрирования Power Platform как администратор.
Выберите Среды, затем выберите среду.
Выберите Параметры>Продукт>Конфиденциальность + безопасность.
В разделе Настойки IP-адреса выберите параметр Включить привязку файлов cookie на основе IP-адресов.
(Необязательно). Если в вашей организации настроены обратные прокси-серверы, введите IP-адреса через запятую в IP-адреса обратных прокси-серверов. Настройка обратного прокси-сервера применяется как к привязке файлов cookie на основе IP-адреса, так и к брандмауэру IP-адресов. Обратитесь к сетевому администратору, чтобы получить IP-адреса обратного прокси-сервера.
Заметка
Обратный прокси-сервер должен быть настроен на отправку IP-адресов клиентов пользователей в пересылаемом заголовке.
Выберите Сохранить.
Как привязка файлов cookie использует ваш IP-адрес для работы
Привязка файлов cookie на основе IP-адресов задает утверждение IP-адреса в файле cookie сеанса. Каждый запрос оценивается для сравнения текущего IP-адреса с исходным IP-адресом, который был сохранен в файле cookie при его создании. Если адреса не совпадают, пользователю будет отказано в доступе.
Сценарии, в которых пользователям предлагается пройти повторную аутентификацию
- Когда включается или отключается какой-либо VPN-клиент
- При подключении к беспроводной точке доступа
- Когда подключение к Интернету сбрасывается поставщиком услуг Интернета
- При сбросе или перезапуске маршрутизатора
Как протестировать эту функцию
Удаление всех файлов cookie из браузера. Этот шаг важен для обеспечения создания нового файла cookie.
Войдите в среду Dynamics 365, в которой включена привязка файлов cookie на основе IP-адресов.
Используйте клиентское средство, например Fiddler, чтобы скопировать файл cookie сеанса.
Отправьте запрос с альтернативного компьютера (за пределами исходной сети), используя ранее полученный файл cookie сеанса. Вы должны ожидать получения в ответ ошибки HTTP 403.
Исключения
- Если пользователь подключается к Dataverse с того же IP-адреса, что и старый действительный файл cookie, Dataverse принимает файл cookie.
- Если для трафика между вашей сетью и Power Platform настроено использование обратного прокси-сервера с динамическим IP-адресом, привязка файлов cookie на основе IP-адресов работать не будет.
Вопросы и ответы
Доступна ли эта функция в Dataverse?
Привязка файлов cookie на основе IP-адресов доступна для файла cookie CrmOwinAuth
в едином интерфейсе.
Как скоро изменение вступает в силу после его внесения в центре администрирования Power Platform?
Изменение обычно вступает в силу примерно через пять минут.
Эта функция работает в режиме реального времени?
Функция оценивает файл cookie в режиме реального времени, за исключением первоначального запроса, сделанного после включения функции.
Включена ли эта функция по умолчанию во всех средах?
Функция привязки файлов cookie на основе IP-адресов по умолчанию отключена. Администраторы должны включить ее в центре администрирования Power Platform.