Skydda Dataverse-sessioner med IP-cookiebindning

Förhindra att session utnyttjas i Dataverse med IP-adressbaserad cookie-bindning. Anta att en skadlig användare kopierar en giltig sessions-cookie från en auktoriserad dator med aktiverad cookie-IP-bindning. Användaren försöker sedan använda cookien på en annan dator för att få obehörig åtkomst till Dataverse. Dataverse jämför i realtid IP-adressen från vilken cookien kommer med IP-adressen för den dator som skickar begäran. Om de två är olika blockeras försöken och ett felmeddelande visas.

IP-baserad bindning av cookies är endast tillgänglig för Managed Environments i alla klientorganisationer, inklusive myndighetsmoln. Du kan aktivera den här funktionen i Power Platform administrationscenter.

  1. Logga in på Power Platform administrationscentret som administratör.

  2. I navigeringsfönstret väljer du Hantera.

  3. I rutan Hantera väljer du Miljöer.

  4. Miljöer välj din miljö.

  5. Välj Inställningar>Produkt>Sekretess + säkerhet.

  6. Under IP-adressinställningar väljer du alternativet Aktivera IP-adressbaserad cookiebindning .

  7. (Valfritt): Om din organisation har konfigurerat omvända proxyservrar anger du IP-adresserna avgränsade med kommatecken i fältet Omvända IP-adresser för proxy. Inställningen för omvänd proxy gäller både IP-baserad cookie-bindning och IP-brandväggen. Kontakta nätverksadministratören för att få IP-adresserna för omvänd proxy.

    Obs

    Den omvända proxyn måste konfigureras för att skicka användarklienters IP-adresser i headern forwarded.

  8. Välj Spara.

  1. Logga in på Power Platform administrationscentret som administratör.
  2. I navigeringsfönstret väljer du Hantera.
  3. I rutan Hantera väljer du Miljöer.
  4. Miljöer välj din miljö.
  5. Välj Inställningar i kommandofältet. Sidan Inställningar visas.
  6. Välj Produkt>Sekretess + säkerhet.
  7. Sök efter rubriken IP-adressinställningar .
  8. Aktivera inställningen Aktivera IP-adressbaserad cookiebindning till .
  9. Välj Spara för att spara dina ändringar.

IP-baserad cookiebindning ställer in anspråket för IP-adressen i sessionscookien. Varje förfrågan utvärderas för att jämföra den aktuella IP-adressen med käll-IP-adressen som lagrades i cookien när den skapades. Om adresserna inte matchar nekas användaren åtkomst.

Scenarier där användare uppmanas att återautentisera

  • När en VPN-klient är aktiverad eller inaktiverad
  • När du ansluter till en trådlös hotspot
  • När Internetanslutningen återställs av Internetleverantören
  • När en router återställs eller startas om

Hur man testar funktionen

  1. Ta bort alla cookies från webbläsaren. Det här steget är viktigt att se till att en ny cookie skapas.

  2. Logga in i en Dynamics 365-miljö med IP-baserad bindning aktiverad.

  3. Använd ett klientverktyg, till exempel Fiddler, för att kopiera sessions-cookien.

  4. Skicka en förfrågan från en alternativ dator (utanför det ursprungliga nätverket) med hjälp av den tidigare sessionscookien. Du kan förvänta dig att få ett HTTP 403-fel som svar.

Exkluderingar

  • Om användaren ansluter till Dataverse från samma IP-adress som den gamla, giltiga cookien kommer Dataverse acceptera cookien.
  • Om trafik mellan ditt nätverk och Power Platform är konfigurerad att använda omvänd proxy med dynamisk IP-adress fungerar inte IP-baserad cookie-bindning.

Vanliga frågor och svar

Är den här funktionen tillgänglig i Dataverse?

Cookie-IP-bindningen är tillgänglig för CrmOwinAuth cookie i enhetligt gränssnitt.

Hur snart får ändringen effekt när den har gjorts i administrationscenter Power Platform?

Ändringen börjar normalt gälla på cirka fem minuter.

Fungerar den här funktionen i realtid?

Funktionen utvärderar cookien i realtid, förutom den första förfrågan som görs efter att funktionen har aktiverats.

Är funktionen aktiverad som standard i alla miljöer?

Cookie IP-bindningsfunktionen är inaktiverad som standard. Administratörer måste aktivera det i Power Platform administrationscenter.

  • Last updated on