Dataverse-Sitzungen mit IP-Cookie-Bindung absichern
Verhindern Sie Sitzungs-Hijacking-Exploits in Dataverse mit IP-Adressen-basierter Cookie-Bindung. Angenommen, ein böswilliger Benutzer kopiert ein gültiges Sitzungscookie von einem autorisierten Computer, auf dem die Cookie-IP-Bindung aktiviert ist. Der Benutzer versucht dann, das Cookie auf einem anderen Computer zu verwenden, um sich unbefugten Zugriff auf Dataverse zu verschaffen. In Echtzeit vergleicht Dataverse die IP-Adresse des Ursprungs des Cookies mit der IP-Adresse des anfragenden Computers. Wenn die beiden unterschiedlich sind, wird der Versuch blockiert und eine Fehlermeldung angezeigt.
IP-basierte Cookie-Bindung ist nur verfügbar für Verwaltete Umgebungen über alle Mandanten hinweg, einschließlich Regierungs-Clouds. Sie können diese Funktion im Power Platform Admin Center aktivieren.
IP-adressbasierte Cookiebindung aktivieren
Melden Sie sich als Administrator beim Power Platform Admin Center an.
Wählen Sie Umgebungen und dann Ihre Umgebung aus.
Wählen Sie Einstellungen>Produkt>Sicherheit und Datenschutz aus.
Wählen Sie unter IP-Adresseinstellungen die Option IP-adressbasierte Cookiebindung aktivieren aus.
(Optional): Wenn in Ihrer Organisation Reverse-Proxys konfiguriert sind, geben Sie die IP-Adressen durch Kommas getrennt in das Feld Reverse-Proxy-IP-Adressen ein. Die Reverse-Proxy-Einstellung gilt sowohl für die IP-basierte Cookiebindung als auch für die IP-Firewall. Wenden Sie sich an Ihren Netzwerkadministrator, um die IP-Adressen des Reverseproxys zu erhalten.
Anmerkung
Der Reverseproxy muss so konfiguriert werden, dass die Benutzer-Client-IP-Adressen im weitergeleiteten Header gesendet werden.
Wählen Sie Speichern.
So funktioniert die Cookie-Bindung mithilfe Ihrer IP-Adresse
Die IP-basierte Cookiebindung legt den IP-Adressanspruch im Sitzungscookie fest. Jede Anfrage wird ausgewertet, um die aktuelle IP-Adresse mit der Quell-IP-Adresse zu vergleichen, die bei der Erstellung des Cookies im Cookie gespeichert wurde. Wenn die Adressen nicht übereinstimmen, wird dem Benutzer der Zugriff verweigert.
Szenarien, in denen Benutzenden aufgefordert werden, sich erneut zu authentifizieren
- Wenn ein VPN-Client ein- oder ausgeschaltet wird
- Beim Verbinden mit einem drahtlosen Hotspot
- Wenn die Internetverbindung vom Internetdienstanbieter zurückgesetzt wird
- Wenn ein Router zurückgesetzt oder neu gestartet wird
So testen Sie die Funktion
Löschen Sie alle Cookies aus dem Browser. Dieser Schritt ist wichtig, um sicherzustellen, dass ein neues Cookie generiert wird.
Melden Sie sich bei einer Dynamics 365-Umgebung an, in der die IP-basierte Cookiebindung aktiviert ist.
Verwenden Sie ein Client-Tool wie Fiddler, um das Sitzungscookie zu kopieren.
Senden Sie eine Anforderung von einem anderen Computer (außerhalb des ursprünglichen Netzwerks) und verwenden Sie dabei das zuvor erhaltene Sitzungscookie. Als Antwort sollten Sie einen HTTP-403-Fehler.
Ausschlüsse
- Wenn der Benutzende sich von derselben IP-Adresse aus mit dem alten, gültigen Cookie mit Dataverse verbindet, akzeptiert Dataverse das Cookie.
- Wenn der Datenverkehr zwischen Ihrem Netzwerk und Power Platform so konfiguriert ist, dass ein Reverse-Proxy mit dynamischer IP-Adresse verwendet wird, funktioniert die IP-basierte Cookie-Bindung nicht.
Häufig gestellte Fragen
Ist diese Funktion in Dataverse verfügbar?
Die Cookie-IP-Bindung ist für das CrmOwinAuth
-Cookie in der einheitlichen Benutzeroberfläche verfügbar.
Wie schnell wird die Änderung wirksam, nachdem sie im Power Platform Admin Center vorgenommen wurde?
Die Änderung wird normalerweise in etwa fünf Minuten wirksam.
Funktioniert diese Funktion in Echtzeit?
Die Funktion wertet das Cookie in Echtzeit aus, mit Ausnahme der anfänglichen Anforderung, die nach der Aktivierung der Funktion gestellt wird.
Ist diese Funktion standardmäßig in allen Umgebungen aktiviert?
Standardmäßig ist die Funktion zur Cookie-IP-Bindung deaktiviert. Administratoren müssen sie im Power Platform Admin Center aktivieren.