Споделяне чрез

Защита на сесиите към Dataverse чрез обвързване на бисквитки въз основа на IP адрес

  • Статия

Предотвратете злоупотреби с отвличане на сесии в Dataverse с обвързване на бисквитки, базирано на IP адрес. Да приемем, че злонамерен потребител копира валидна бисквитка за сесия от оторизиран компютър, който има активирано IP свързване на бисквитки. След това потребителят се опитва да използва бисквитката на друг компютър, за да получи неоторизиран достъп до Dataverse. В реално време Dataverse сравнява IP адреса на произхода на бисквитката с IP адреса на компютъра, който прави заявката. Ако двете са различни, опитът се блокира и се показва съобщение за грешка.

IP-базираното обвързване на "бисквитките" е налично само за управлявани среди във всички клиенти, включително правителствените облаци. Можете да разрешите тази функция в центъра за Power Platform администриране.

  1. Влезте в центъра за администриране на Power Platform като администратор.

  2. Изберете Среди и след това изберете среда.

  3. Изберете Настройки>Продукт и след това изберете раздела Поверителност + защита.

  4. Под Настройки на IP адреса изберете Разрешаване на обвързване на бисквитки, базирани на IP адреси.

  5. Изберете Запиши.

Базираното на IP обвързване с бисквитки задава искането за IP адрес в бисквитката на сесията. Всяка заявка се оценява, за да се сравни текущият IP адрес с IP адреса на източника, който е бил съхранен в бисквитката, когато е била създадена. Ако адресите не съвпадат, на потребителя се отказва достъп.

Сценарии, при които от потребителите се изисква повторно удостоверяване

  • Когато някой VPN клиент е включен или изключен
  • При свързване към безжична гореща точка
  • Когато интернет връзката се нулира от доставчика на интернет услуги
  • Когато рутерът се нулира или рестартира

Как да тествате функцията

  1. Изчистете всички бисквитки от браузъра. Тази стъпка е важна, за да се гарантира, че се генерира нова бисквитка.

  2. влезте в среда на Dynamics 365, която има активирано обвързване за готвене на базата на IP.

  3. Използвайте клиентски инструмент като Fiddler, за да копирате сесийната бисквитка.

  4. Подайте заявка от алтернативен компютър (извън първоначалната мрежа), като използвате предварително получената сесийна бисквитка. Трябва да очаквате да получите грешка HTTP 403 в отговор.

Изключения

  • Ако потребителят се свърже от Dataverse същия IP адрес със старата, валидна бисквитка, Dataverse приема бисквитката.
  • Ако трафикът между вашата мрежа и Power Platform е конфигуриран да използва обратен прокси сървър с динамичен IP адрес, обвързването на IP-базирани бисквитки няма да работи.

ЧЗВ

Налична ли е тази функция в Dataverse?

Бисквитка IP обвързване е на разположение за бисквитката CrmOwinAuth в Унифициран интерфейс.

Колко скоро влиза в сила промяната, след като бъде направена в Power Platform административния център?

Промяната обикновено влиза в сила след около пет минути.

Тази функция работи ли в реално време?

Функцията оценява бисквитката в реално време, с изключение на първоначалната заявка, която е направена след активирането на функцията.

Тази функция активирана ли е по подразбиране във всички среди?

Функцията за свързване на IP бисквитки е деактивирана по подразбиране. Администраторите трябва да го активират в Power Platform административния център.