事象の概要

この表は、接続に関する要件が満たされていない場合に発生する事象とその解決策をまとめたものです。

詳細な技術要件

ハードコードされたインスタンス参照を使用しない

Salesforce のベストプラクティスでは、エンドポイント参照にハードコードされたインスタンス名を使用しないことを推奨しています。
ファーストパーティのインフラストラクチャであっても、インスタンス名がハードコードされていると、組織のインスタンスを変更するマイグレーションによって、アクセスに障害が発生することがあります。パブリッククラウドでは、ダイナミックスケーリングのような望ましい機能を可能にする同じ柔軟なインフラによって、組織の移行やインスタンスのメンテナンスにインスタンスの変更が含まれる可能性が高くなります。定期的なメンテナンス時の混乱を避けるため、Hyperforce ではハードコードされたインスタンス参照は許可されていません。
以下の文書化されたベストプラクティスに従って、ハードコードされた参照を特定し、実装から削除してください:

• Hyperforce アシスタントを使用して 、ハードコードされた参照が組織にないか確認します。
• Salesforce Optimizer を使用して、ハードコードされた参照のあるクラスのリストを取得します。
• 特に、インテグレーションに Web Service Definition Language (WSDL) を使用している場合は、既存のインテグレーションエンドポイントに私のドメインを使用してください。
• 以前の組織の移行後にリダイレクトされた場合でも、すべてのリファレンスを更新してください。
• 画像はナレッジ記事に直接アップロードします。URL に頼らないでください。
• パートナーポータルに新しい URL を誘導します。
• Web-to-リードと Web-to-ケースのリファレンスを確認してください。
• Mobile SDK のアプリケーションを最新版にアップデートします。
• 互換性を最大限に高めるために、私のドメインの設定 Visualforce、エクスペリエンスビルダー、Site.com Studio、コンテンツファイルの URL の一貫性を確保 を有効化します。

これらの推奨事項については、「ハードコード化された参照の更新」で詳しく説明しています。

Marketing Cloud Engagement の考慮事項

Marketing Cloud Engagement のお客様は、テナント固有の OAuth エンドポイントを有効にする必要があります。詳細についてはこれらの手順を確認して従ってください:

• Marketing Cloud Connect でテナント固有の OAuth エンドポイントを有効にする
• Marketing Cloud エンドポイントからテナント固有エンドポイントへの更新

組織で Marketing Cloud Account Engagement (旧 Pardot) を使用していて、Marketing Cloud Engagement アカウントがない場合は、この要件は無視してください。

その他の製品

Hyperforce に移行する他の製品でも、ハードコードされたインスタンスの参照ができなくなります。Hyperforce への移行を見越して、他のサービスで使用されているインスタンスベースのハードコードされた参照を探し出し、更新することをお勧めします。

ハードコードされた IP 許可リストを使用しない

クラウド環境の動的な性質のため、Salesforceでは、IP 許可リストではなく、Hyperforce における IP 許可リストの代替手段として推奨される方法に従って mTLS を使用することを推奨しています。

次のセクションでは許可リストが日常的に使用されている具体的な使用例と、推奨される代替案について説明します。
 

Salesforce サービスへのユーザーおよび API クライアントのアクセスを制御する

IP 許可リストを使ってユーザーまたはサーバの Salesforce へのアクセスを制御する場合は、「必要なドメインを許可」を選択します。
Salesforce ドメインへの安全なアクセスは、HTTPS および SSL クライアント証明書の使用によって強制されます。

Salesforce サービスからお客様の会社ネットワークへのリクエストを制御する

IP 許可リストを使用して、Salesforce のコールアウト機能から、ホストされた Web サービスまたは API エンドポイントへのリクエストをフィルタリングする場合、リクエストのソースは検証されますが、その信頼性は検証されないため、安全ではありません。またこれらの IP アドレスはお客様固有ではなく複数のお客様やトライアル組織で使用されています。そのため、許可リストは安全ではありません。リクエスト種別には以下のものがあります。

• APEX コールアウト (WSDL または REST ベース)
• アウトバウンドメッセージ
• Salesforce Connect (OData またはカスタムコネクタ)
• フローを介した APEX 呼び出し可能アクションのコールアウト

許可リストの代わりに、Web サービスと API エンドポイントに最新の認証 (AuthN/AuthZ) を実装して、組織のメンバーだけがネットワークにアクセスできるようにします。
Salesforce には、AuthN/AuthZ とセキュリティを統合するための以下の機能があります:

• 外部システムの認証設定
• 証明書による双方向の SSL 認証
• アウトバウンドメッセージでの Salesforce クライアント証明書の使用

IP許可リストを使用するお客様は、公式のHyperforce IP範囲をすべて許可する必要があります。これらの範囲は、URL https://ip-ranges.salesforce.com/ip-ranges.json でJSON形式で確認できます。詳細な説明とベストプラクティスについては、「Hyperforce IP の許可 - Sales、Service、Industries、および Tableau Cloud」を参照してください。

含まれるサービス

JSON リストには、外部ソースからの Hyperforceへのインバウンド接続のIP (Salesforce Edge の一部を含む) と、Hyperforce からお客様のネットワークへのアウトバウンド接続の IP が含まれます。これらのアドレスは、Salesforce Cloud、Service Cloud、Industries Cloud、Tableau Cloud などの Salesforce プラットフォームおよび MuleSoft Anypoint プラットフォームで構築された製品を対象としています。

含まれないサービス

JSON リストには、メール、Marketing Cloud、Commerce Cloud、Slack サービスの IP アドレスは含まれません。

Government Cloud Plus を使用している場合は、「Government Cloud Plus で許可すべき IP リスト」を参照してください。

Salesforce サービスからのメールのフィルタリング

メールブロックルールを回避するために IP 許可リストを使用する場合は、Transport Layer Security (TLS)、Sender Policy Framework (SPF)、DomainKeys Identified Mail (DKIM)、または Domain-based Message Authentication, Reporting, and Conformance (DMARC) などの標準的なメールセキュリティプロトコルを採用してください。Salesforce はこれらのオプションをすべてサポートしています。

注意: 一般的に IP 許可リストをメールに使用することはお勧めしていません。Hyperforce のメールリレーで使用される IP アドレスはより静的であり、必要に応じてそれらを使うことができます。メールリレー IP アドレスのリストは Salesforce アプリケーションからのメールを受信できるようにするの「HYPERFORCE - メールリレー」の表を参照してください。

詳細については、以下の記事を参照してください:

• Salesforce アプリケーションからのメールを受信できるようにする
• DKIM 鍵の作成
• Sender Policy Framework レコードと Salesforce SPF レコード

Salesforce Express Connect に関する考慮事項

Salesforce Express Connect (SEC) はファーストパーティの SFDC インフラストラクチャへの直接的なネットワーク接続を提供しますが、Amazon Web Services (AWS) 上で稼働する Hyperforce への接続は提供しません。規制、セキュリティ、その他の理由で Hyperforce での直接接続ソリューションが必要な場合は、AWS Direct Connect (DX) の利用をお勧めします。Salesforce は SEC や DX を販売していません。これらのサービスのセットアップについては通信事業者にお問い合わせください。多くの場合、SEC を提供する通信事業者は AWS DX も提供しています。詳細は「Hyperforce 用の AWS Direct Connect (DX) 設定」および「How to Access Salesforce Hyperforce Securely and Reliably with AWS Direct Connect」を参照してください。

login.salesforce.com、*.force.com、および Marketing Cloud など、一部の Salesforce サービスはファーストパーティインフラストラクチャで稼働しています。ファーストパーティと Hyperforce のすべての Salesforce サービスへの接続性を維持するために、Salesforce へのアクセスに直接ネットワークアクセスを必要とするお客様は、SEC の実行を継続し、AWS DX を追加する必要があります。グローバルログインエンドポイントは近い将来 Hyperforce に移行されます。詳細は、「Salesforce Express Connect (SEC) ユーザー - グローバルログインへの変更に対する準備について」を参照してください。

HTTPS ハンドシェイクの成功のために Service Name Indicator (SNI) を含める

Hyperforce では、Salesforce ドメインごとに個別の HTTPS 証明書が用意されています。Web ブラウザと API 呼び出し元は、ClientHello メッセージに SNI を含めて目的のドメインを指定するか、デフォルトのドメインのいずれかを指定する必要があります。
SNI の詳細な要件、課題、解決策については、次の記事を参照してください:
Hyperforce における SNI による HTTPS/SSL 接続エラーの解決

証明書をピン留めしない

証明書のピン留めは、1 つの証明書を選択して信頼する手法です。ピン留めは、運用上の複雑さを増大させ、サービス停止のリスクを伴う古いセキュリティ実践です。ピン留めは Hyperforce でサポートされていません。Hyperforce は常にSSL/TLSを使用し、証明書を定期的に更新します。すべての Hyperforce 証明書は、Mozilla の Server Authentication (SSL/TLS) Root Certificates リストに含まれる認証局 (CA) に連鎖しています。

モバイルアプリケーションで証明書をピン留めしている場合は、「Configure Authentication Server Certificate Pin」の手順に従ってピン留めを無効にします。別の方法でピン留めしている場合は、それを中止します。どうしてもピン留めする必要がある場合は、Mozilla の Server Authentication (SSL/TLS) Root Certificates リスト全体を含むピンセットを作成します。

プラットフォームイベント / ストリーミングクライアントの要件

プラットフォームイベントまたはストリーミングクライアントのある組織は .NET バージョン 5.0 以降を使用する必要があります。それより前の .NET バージョンでは、Hyperforce の RFC コンプライアンス要件のため、これらの機能が中断される原因になる可能性があります。詳細は、こちらの Microsoft の .NET ドキュメントを参照してください。

非 ASCII 文字を適切にエンコードする 

REST APIを使用して Salesforce に URI を送信する時は、すべての非 ASCII 文字をRFC準拠のパーセントエンコードで適切にエンコードする必要があります。Hyperforce は厳格な基盤アーキテクチャを採用しており、エンコードされていない文字の送信を許可していません。適切なエンコードに関する詳細は、RFC-3986 の要件を参照してください。また、W3Schools の HTML URL エンコードリファレンスにも役立つヒントが記載されています。

サードパーティのサービスまたはコンテンツ配信ネットワーク（CDN）によって提供されているカスタムドメインのターゲットホスト名を更新する

カスタムドメインは、https://www.example.com など、お客様が所有するドメインでデジタルエクスペリエンスや Salesforce サイトを提供します。

カスタムドメインでドメイン設定オプション [サードパーティサービスまたは CDN を使用してドメインを提供します] を使用している場合は、次のイベントの間にドメインで必要な設定が変化します。

• Hyperforce へのアップグレード時
• 組織で Salesforce Edge ネットワークを使用している場合、インスタンス名が変更される時 (組織が Hyperforce 上にあるかどうかに関わらず)
• 組織が Salesforce Edge ネットワークに移行する時または使用を中止する時

これらのイベントに備えるため、サードパーティプロバイダーと協力して、変更直後にターゲットホスト名を更新します。そうしないと、カスタムドメインが機能しなくなります。

この設定オプションを使用しているカスタムドメインがあるかを確認するには、設定の [ドメイン] ページにアクセスします。

組織が Salesforce Edge ネットワークにあるかを確認するには、設定の [私のドメイン] ページにアクセスします。

サードパーティサービスまたは CDN によって提供されるカスタムドメインのターゲットホスト名の設定方法については、「サードパーティサービスまたは CDN を使用するカスタムドメインの前提条件」の「対象ホスト名を使用したカスタムドメインでの組織の参照」セクションを参照してください。

URI とヘッダーの長さ制限を遵守する 

REST API 呼び出しでは、URI とヘッダーをドキュメントに記載の通り 16KB 以下にします。

Salesforce が使用するために追加のスペースが確保されていますが、このバッファはお客様用ではなく、随時変更される可能性があります。リクエストが 16KB にバッファを加えた長さを超えると、エラー 431: Request Header Fields Too Large または 414: URI Too Long が返されます。このエラーは、ドキュメントに記載された制限を意図せず超過した可能性を示しています。

高度なネットワーク機能をサポートするため、Hyperforce ではファーストパーティ (1P) 環境よりも多くの予約領域を消費する場合があります。そのため、16 KB の制限を超過しているにもかかわらずファーストパーティ環境では現在成功している API 呼び出しが、Hyperforce 環境では失敗する可能性があります。これは Hyperforce の制限ではなく、既存の文書化された制限によるものです。サービスの中断を回避するには、アプリケーションで 16KB の制限を厳密に遵守する必要があります。この制限を超えるリクエストは、最初は Hyperforce 上で動作していたとしても、予告なく失敗する可能性があります。

いずれかのエラーが発生した場合、API 呼び出しが 16KB を大幅に超過しています。主な原因は長い SOQL または SOSL クエリです。エラーを回避するため、長いリクエストの送信には Composite 機能を使用します。

その他の問題

コンテンツファイルのプレビューに関する問題

「コンテンツファイルのプレビューの問題」の記事を確認し、解決策を実施することをお勧めします。この問題は、Hyperforce とファーストパーティの両方のユーザーに影響します。

関連情報:

• Hyperforce について - 一般情報と FAQ
• MFA (多要素認証)、拡張ドメイン、Hyperforce に関して推奨される導入の順序
• 組織の移行への準備方法
• 許可すべき Salesforce の IP アドレスとドメイン 
• Salesforce アプリケーションからのメールを受信できるようにする
• サードパーティサービスまたは CDN を使用するカスタムドメインの前提条件
• Hyperforce 用の AWS Direct Connect (DX) 設定
• Route Email Through AWS Direct Connect (DX) for Hyperforce
• API 要求の制限と割り当て
• Composite
• SOQL および SOSL の検索クエリの制限
   

改訂履歴