Protecció de les sessions del Dataverse amb vinculació de galetes IP

Eviteu les vulnerabilitats de seguretat de segrest de sessió al Dataverse amb l'enllaç de galetes basat en l'adreça IP. Suposem que un usuari malintencionat copia una galeta de sessió vàlida des d'un ordinador autoritzat que té habilitada la vinculació d'IP de galetes. A continuació, l'usuari intenta utilitzar la galeta en un ordinador diferent per obtenir accés no autoritzat al Dataverse. En temps real, el Dataverse compara l'adreça IP d'origen de la galeta amb l'adreça IP de l'ordinador que fa la sol·licitud. Si les dues són diferents, l'intent es bloqueja i es mostra un missatge d'error.

L'enllaç de galetes basat en IP només està disponible per als entorns gestionats de tots els inquilins, inclosos els núvols governamentals. Podeu habilitar aquesta característica al centre d'administració Power Platform .

Habilitar la vinculació de galetes basada en l'adreça IP

1. Inicieu la sessió al centre d'administració del Power Platform com a administrador.

2. Seleccioneu Entorns i, a continuació, seleccioneu-ne un.

3. Seleccioneu Configuració>Producte>Privadesa i seguretat.

4. A Configuració de l'adreça IP, seleccioneu l'opció Habilita l'enllaç de galetes basat en l'adreça IP.

5. (Opcional): si la vostra organització té servidors intermediaris inversos configurats, introduïu les adreces IP separades per comes al camp Adreces IP del servidor intermediari invers. La configuració del proxy invers s'aplica tant a l'enllaç de galetes basat en IP com al tallafoc IP. poseu-vos en contacte amb l'administrador de la xarxa per obtenir les adreces IP del servidor intermediari invers.

   Nota

   El proxy invers s'ha de configurar per enviar adreces IP del client de l'usuari a la capçalera reenviada .

6. Seleccioneu Desa.

Com funciona l'enllaç de cookies

La vinculació de galetes basada en IP estableix la reclamació d'adreça IP a la galeta de sessió. Cada sol·licitud s'avalua per comparar l'adreça IP actual amb l'adreça IP d'origen que es va emmagatzemar a la galeta quan es va crear. Si les adreces no coincideixen, es denega l'accés a l'usuari.

Escenaris en què es demana als usuaris que tornin a autenticar-se

• Quan qualsevol client VPN està activat o desactivat
• En connectar-se a una zona amb cobertura sense fil
• Quan el proveïdor de serveis d'Internet restableix la connexió a Internet
• Quan es restableix o reinicia un encaminador

Com es prova la característica

1. Esborreu totes les galetes del navegador. Aquest pas és important per garantir que es generi una nova galeta.

2. Inicieu la sessió en un entorn del Dynamics 365 que tingui habilitada la vinculació de galetes basada en IP.

3. Utilitzeu una eina de client, com ara Fiddler, per copiar la galeta de sessió.

4. Envieu una sol·licitud des d'un ordinador alternatiu (fora de la xarxa original) mitjançant la galeta de sessió obtinguda anteriorment. Hauríeu d'esperar rebre un error HTTP 403 com a resposta.

Exclusions

• Si l'usuari es connecta des Dataverse de la mateixa adreça IP amb la cookie antiga i vàlida, Dataverse accepta la cookie.
• Si el trànsit entre la vostra xarxa i Power Platform està configurat per utilitzar un servidor intermediari invers amb una adreça IP dinàmica, l'enllaç de galetes basat en IP no funcionarà.

PMF

Aquesta característica està disponible al Dataverse?

L'enllaç d'IP de cookies està disponible per a la cookie a la CrmOwinAuth interfície unificada.

Quant temps triga a tenir efecte el canvi quan ja s'ha fet al Centre d'administració del Power Platform?

Normalment, el canvi té efecte en uns cinc minuts.

Aquesta característica funciona en temps real?

La característica avalua la galeta en temps real, tret de la sol·licitud inicial que es fa després d'habilitar la característica.

Aquesta característica està habilitada per defecte a tots els entorns?

Per defecte, la característica de vinculació d'IP de galetes està inhabilitada. Els administradors l'han d'habilitar al centre d'administració del Power Platform.