Condividi tramite


Salvaguardare le sessioni Dataverse con binding di cookie IP

Impedisci gli exploit di hijack della sessione in Dataverse con il binding dei cookie basato sull'indirizzo IP. Supponiamo che un utente malintenzionato copi un cookie di sessione valido da un computer autorizzato in cui è abilitato il binding dell'IP del cookie. L'utente tenta quindi di utilizzare il cookie su un altro computer per ottenere l'accesso non autorizzato a Dataverse. In tempo reale, Dataverse confronta l'indirizzo IP di origine del cookie con l'indirizzo IP del computer che effettua la richiesta. Se i due sono diversi, il tentativo viene bloccato e viene visualizzato un messaggio di errore.

L'associazione dei cookie basata su IP è disponibile solo per Ambienti gestiti in tutti i tenant, inclusi i cloud governativi. Puoi abilitare questa funzione nell'interfaccia di amministrazione di Power Platform.

  1. Accedere all'interfaccia di amministrazione di Power Platform come amministratore.

  2. Seleziona Ambienti e quindi un ambiente.

  3. Seleziona Impostazioni>Prodotto>Privacy + sicurezza.

  4. In Impostazioni indirizzo IP, Seleziona l'opzione Abilita associazione cookie basata su indirizzo IP .

  5. (Facoltativo): se la tua organizzazione ha configurato dei proxy inversi, inserisci gli indirizzi IP separati da virgole nel campo Indirizzi IP del proxy inverso . L'impostazione del proxy inverso si applica sia al binding di cookie basato su IP che al firewall IP. Contattare l'amministratore di rete per ottenere gli indirizzi IP del proxy inverso.

    Nota

    Il proxy inverso deve essere configurato per inviare indirizzi IP client dell'utente nell'intestazione inoltrata.

  6. Seleziona Salva.

Il binding dei cookie basato su IP imposta la richiesta dell'indirizzo IP nel cookie di sessione. Ogni richiesta viene valutata per confrontare l'indirizzo IP corrente con l'indirizzo IP di origine memorizzato nel cookie al momento della creazione. Se gli indirizzi non corrispondono, all'utente viene negato l'accesso.

Scenari in cui agli utenti viene chiesto di autenticarsi nuovamente

  • Quando un client VPN viene attivato o disattivato
  • Quando ci si connette a un hotspot wireless
  • Quando la connessione Internet viene ripristinata dal provider di servizi Internet
  • Quando un router viene ripristinato o riavviato

Come testare la funzionalità

  1. Elimina tutti i cookie dal browser. Questo passaggio è importante per garantire la generazione di un nuovo cookie.

  2. Accedi a un ambiente Dynamics 365 in cui è abilitato il binding dei cookie basato su IP.

  3. Utilizza uno strumento client come Fiddler per copiare il cookie di sessione.

  4. Invia una richiesta da un computer alternativo (esterno alla rete originale) utilizzando il cookie di sessione precedentemente ottenuto. Dovresti aspettarti di ricevere un errore HTTP 403 in risposta.

Esclusioni

  • Se l'utente si connette a Dataverse dallo stesso indirizzo IP con il vecchio cookie valido, Dataverse accetta il cookie.
  • Se il traffico tra la tua rete e Power Platform è configurato per utilizzare il proxy inverso con indirizzo IP dinamico, l'associazione dei cookie basata su IP non funzionerà.

Domande frequenti

Questa funzionalità è disponibile in Dataverse?

Il binding dell'IP del cookie è disponibile per il cookie CrmOwinAuth in Unified Interface.

Dopo quanto tempo la modifica diventa effettiva una volta che è stata apportata nell'interfaccia di amministrazione di Power Platform?

La modifica in genere ha effetto in circa cinque minuti.

Questa funzione funziona in tempo reale?

La funzionalità valuta il cookie in tempo reale, ad eccezione della richiesta iniziale che viene effettuata dopo l'abilitazione della funzionalità.

Questa funzione è abilitata per impostazione predefinita in tutti gli ambienti?

La funzione di binding dell'IP del cookie è disabilitata per impostazione predefinita. Gli amministratori devono abilitarla nell'interfaccia di amministrazione di Power Platform.