top of page
  • Foto del escritorAlejandro Caravantes Molina

IP Firewall Restriction en Microsoft Dataverse


Como bien sabes, Microsoft siempre esta incorporando nuevas características a Power Platform. Bien sea desde un punto de vista funcional, desde un punto de vista de look and feel, o como es este caso desde un punto de vista de arquitectura y/o seguridad.


En las últimas semanas se ha anunciado una nueva característica que aun está en Preview (por lo que recuerda que aun no se recomienda usar en entornos productivos), que permite filtrar todas las llamadas a la API de Dataverse permitiendo sólo aquellas que provengan de una lista blanca de IP´s configuradas.


¡¡Cuidado que hay un requisito muy importante a tener en cuenta antes de usar esta nueva característica!! El entorno sobre el que queramos utilizarla, debe ser un Managed Environment con todas las implicaciones que tiene a nivel de licenciamiento.


Asegúrate que el entorno sobre el que vas a trabajar es un entorno administrado y...


Manos a la obra

Accede al Centro de Administración de Power Platform y selecciona el entorno sobre el que vas a configurar esta característica. Dirígete a Settings y una vez allí selecciona Product > Privacy + Security. Allí busca la sección con nombre "Enable IP address based firewall rule".


Cuando actives esta característica te pedirá una serie de opciones: lógicamente la lista blanca de IP´s (separadas por comas y con un máximo de 200 direcciones), y una serie de propiedades adicionales que comentamos en profundidad:

  • Service tags to be allowed by IP firewall: para permitir el bypass de ciertos servicios de Microsoft.

  • Allow access for Microsoft trusted services: Se activa por defecto y habilita el acceso a nuestro entorno para service tags de confianza de Microsoft como PowerPlatformInfra, GenevaSynthetics, etc.

  • Allow access for all application users: También se activa por defecto y permite que los application users sigan teniendo acceso a Dataverse aunque realicen llamadas desde una IP que no esté en la lista blanca configurada.

  • Enable IP firewall in audit only mode: También activado por defecto y permite auditar las llamadas que provienen desde una IP que no está incluida en la lista blanca, pero no bloquea estas llamadas.

  • Reverse proxy IP addresses: Por último, esta propiedad esta destinada para aquellas organizaciones que actúen detrás de un proxy.

La configuración que yo he utilizado para mi prueba es la que se puede ver en la siguiente imagen:


Como ves, he incluido mi dirección IP actual en la lista blanca, he permitido que los application users sigan haciendo llamadas a la API de Dataverse, y he desactivado el modo audit only para que se bloqueen todas las llamadas que no provengan de las IP´s permitidas.


Si ahora intento acceder a cualquier característica del entorno donde he configurado esta restricción desde una IP no permitida, obtengo el siguiente error:


Sin embargo, al haber dejado activada la propiedad Allow access for all application users, sigo pudiendo realizar llamadas directamente a la API de Dataverse con un token generado con un credenciales de este tipo de usuarios:


Y es sólo cuando desactivo esa propiedad, cuando ya no puedo seguir invocando a la API de Dataverse:

Aunque Power Platform sea una plataforma como servicio y no tengamos acceso a toda la infraestructura que se despliega por detrás para hacer funcionar el servicio (que como te imaginarás, no es poca), podemos tener acceso a este tipo de funcionalidades de una forma mucho mas sencilla y rápida que si tuviéramos que configurar la infraestructura en si.


¡Ojala que este post haya resultado interesante! ¡¡Hasta la próxima!!

コメント


bottom of page