แชร์ผ่าน

การป้องกันเซสชัน Dataverse ด้วยการผูกข้อมูลคุกกี้ IP

  • บทความ

ป้องกันการใช้ประโยชน์ของการขโมยเซสชันใน Dataverse ด้วยการผูกข้อมูลคุกกี้ตาม IP สมมติว่าผู้ใช้ที่ไม่หวังดีคัดลอกคุกกี้เซสชันที่ถูกต้องจากคอมพิวเตอร์ที่ได้รับอนุญาตซึ่งเปิดใช้งานการผูกข้อมูล IP ของคุกกี้ จากนั้นผู้ใช้พยายามใช้คุกกี้บนคอมพิวเตอร์เครื่องอื่นเพื่อเข้าถึง Dataverse โดยไม่ได้รับอนุญาต ในเวลาจริง Dataverse จะเปรียบเทียบที่อยู่ IP ของที่มาของคุกกี้กับที่อยู่ IP ของคอมพิวเตอร์ที่ส่งคำขอ หากทั้งคู่แตกต่างกัน ความพยายามจะถูกบล็อก และข้อความแสดงข้อผิดพลาดจะปรากฏขึ้น

การผูกข้อมูลคุกกี้ตาม IP ใช้ได้เฉพาะกับ สภาพแวดล้อมที่มีการจัดการ ในผู้เช่าทั้งหมด รวมถึงระบบคลาวด์ของรัฐบาล คุณสามารถเปิดใช้งานคุณลักษณะนี้ได้ใน ศูนย์การจัดการ Power Platform

  1. ลงชื่อเข้าใช้ในศูนย์จัดการ Power Platform ในฐานะผู้ดูแลระบบ

  2. เลือก สภาพแวดล้อม จากนั้นเลือกสภาพแวดล้อม

  3. เลือก การตั้งค่า>ผลิตภัณฑ์>ความเป็นส่วนตัว + ความปลอดภัย

  4. ภายใต้ การตั้งค่าที่อยู่ IP ให้เลือกตัวเลือก เปิดใช้งานการผูกคุกกี้ตามที่อยู่ IP

  5. (ไม่บังคับ): หากองค์กรของคุณกำหนดค่าพร็อกซีแบบย้อนกลับไว้ ให้ป้อนที่อยู่ IP ที่คั่นด้วยเครื่องหมายจุลภาคในฟิลด์ ที่อยู่ IP ของ Reverse proxy การตั้งค่าพร็อกซีย้อนกลับใช้กับทั้งการผูกข้อมูลคุกกี้ตาม IP และไฟร์วอลล์ IP ติดต่อผู้ดูแลระบบเครือข่ายของคุณเพื่อรับที่อยู่ IP ของพร็อกซีย้อนกลับ

    หมายเหตุ

    ต้องกำหนดค่าพร็อกซีย้อนกลับเพื่อส่งที่อยู่ IP ของไคลเอ็นต์ผู้ใช้ในส่วนหัวที่ส่งต่อ

  6. เลือก บันทึก

การผูกข้อมูลคุกกี้ตามที่อยู่ IP ตั้งค่าการอ้างสิทธิ์ที่อยู่ IP ในคุกกี้ของเซสชัน คำขอแต่ละรายการจะได้รับการประเมินเพื่อเปรียบเทียบที่อยู่ IP ปัจจุบันกับที่อยู่ IP ต้นทางที่จัดเก็บไว้ในคุกกี้เมื่อถูกสร้างขึ้น หากที่อยู่ไม่ตรงกัน ผู้ใช้จะถูกปฏิเสธการเข้าถึง

สถานการณ์จำลองที่ผู้ใช้ถูกขอให้รับรองความถูกต้องอีกครั้ง

  • เมื่อไคลเอ็นต์ VPN ใดๆ เปิดหรือปิด
  • เมื่อเชื่อมต่อกับฮอตสปอตแบบไร้สาย
  • เมื่อผู้ให้บริการอินเทอร์เน็ตรีเซ็ตการเชื่อมต่ออินเทอร์เน็ต
  • เมื่อเราเตอร์ถูกรีเซ็ตหรือรีสตาร์ท

วิธีทดสอบคุณลักษณะ

  1. ล้างคุกกี้ทั้งหมดจากเบราว์เซอร์ ขั้นตอนนี้มีความสำคัญเพื่อให้แน่ใจว่ามีการสร้างคุกกี้ใหม่

  2. ลงชื่อเข้าใช้สภาพแวดล้อม Dynamics 365 ที่เปิดใช้งานการผูกข้อมูลคุกกี้ตามที่อยู่ IP

  3. ใช้เครื่องมือไคลเอ็นต์ เช่น Fiddler เพื่อคัดลอกคุกกี้ของเซสชัน

  4. ส่งคำขอจากคอมพิวเตอร์เครื่องอื่น (นอกเครือข่ายเดิม) โดยใช้คุกกี้เซสชันที่ได้รับก่อนหน้านี้ คุณควรคาดหวังว่าจะได้รับข้อผิดพลาด HTTP 403 ในการตอบสนอง

คำที่คัดออก

  • หากผู้ใช้เชื่อมต่อ Dataverse จากที่อยู่ IP เดียวกันกับคุกกี้เก่าที่ถูกต้อง Dataverse จะยอมรับคุกกี้นั้น
  • หากการรับส่งข้อมูลระหว่างเครือข่ายของคุณและ Power Platform ได้รับการกำหนดค่าให้ใช้พร็อกซีย้อนกลับซึ่งมีที่อยู่ IP แบบไดนามิก การเชื่อมโยงคุกกี้ตาม IP จะไม่ทำงาน

คำถามที่ถามบ่อย

คุณลักษณะนี้ใช้ได้ใน Dataverse หรือไม่

การผูกข้อมูลคุกกี้กับ IP สามารถใช้งานกับคุกกี้ CrmOwinAuth ในส่วนติดต่อแบบรวม

การเปลี่ยนแปลงจะมีผลเร็วแค่ไหนเมื่อทำในศูนย์จัดการ Power Platform

โดยทั่วไป การเปลี่ยนแปลงจะมีผลในเวลาประมาณห้านาที

คุณลักษณะนี้ทำงานแบบเรียลไทม์หรือไม่

คุณลักษณะนี้ประเมินคุกกี้ในแบบเรียลไทม์ ยกเว้นคำขอเริ่มต้นที่สร้างขึ้นหลังจากเปิดใช้งานคุณลักษณะ

คุณลักษณะนี้เปิดใช้งานโดยค่าเริ่มต้นในสภาพแวดล้อมทั้งหมดหรือไม่

คุณลักษณะการผูกข้อมูลคุกกี้กับ IP ปิดใช้งานโดยค่าเริ่มต้น ผู้ดูแลระบบต้องเปิดใช้งานคุณลักษณะในศูนย์จัดการ Power Platform