Hyperforce에서 Salesforce 서비스에 대한 중단 없는 액세스 유지하기

증상 요약

아래 표에 연결 관련 요구 사항이 충족되지 않으면 발생하는 증상 및 해결책이 간략하게 기술되어 있습니다.

기술 요구 사항	사용자 시나리오	Hyperforce 증상	해결 방법
하드 코딩된 인스턴스 참조는 사용하지 않습니다.	Salesforce 조직 내 하드 코딩된 인스턴스 참조가 있거나 외부 API 클라이언트에서 하드 코딩된 인스턴스 참조로 Salesforce 엔드포인트를 호출합니다.	API 호출 시 고객 조직에 연결되지 않으며 API 오류가 반환됩니다.	조직 마이그레이션 모범 사례에 따라 하드 코딩된 참조를 업데이트합니다. 조직 마이그레이션을 준비하는 방법을 참조하세요. 내 도메인 설정 Visualforce, 익스피리언스 빌더, Site.com Studio, 콘텐츠 파일 URL 안정화 활성화
	Marketing Cloud Connect를 사용하며 테넌트별 OAuth 엔드포인트(TSOE)가 활성화되어 있지 않습니다.	추적 등 Marketing Cloud Connect 기능이 예상대로 작동하지 않습니다. Marketing Cloud API 토큰이 만료된 상태입니다.	Enable Marketing Cloud Connect Tenant Specific Oauth Endpoint (TSOE)
	하드 코딩된 인스턴스 정보 및 일반 Marketing Cloud 엔드포인트를 사용합니다.	Marketing Cloud 엔드포인트에 대한 API 호출에 실패하거나 오류가 반환됩니다.	Update Marketing Cloud Engagement endpoints to tenant-specific endpoints
하드 코딩된 IP 허용 목록은 사용하지 않습니다. (이메일 릴레이 예외 - 이 문서의 "Hyperforce - 이메일 릴레이" 표 참조)	IP 주소 허용 목록을 사용하여 Salesforce 서버에 액세스합니다.	사용자 및 API 클라이언트가 회사 네트워크에서 Salesforce 서비스에 액세스할 수 없습니다.	IP 주소 대신 필수 도메인 허용 목록을 사용합니다.
	IP 주소 허용 목록을 사용하여 Salesforce 서비스에 회사 네트워크 리소스에 액세스할 수 있는 권한을 부여합니다. 예: 웹 서비스 엔드포인트, OData 연결	Salesforce의 콜아웃이 호스팅된 웹 서비스 또는 엔드포인트에 도달하지 않습니다.	통합 인증 및 인가에 최신 보안 메커니즘을 사용합니다. 예: 양방향 SSL, 인증 프로바이더, 연결된 앱 Government Cloud Plus 고객인 경우, IP Addresses to Allow for Government Cloud Plus 를 참조하세요.
	IP 주소 허용 목록을 사용하여 Salesforce 서비스에서 이메일을 필터링합니다.	이메일이 차단되거나 스팸으로 취급됩니다.	SPF/DKIM/DMARC와 같이 Salesforce에서 지원하는 산업 표준 이메일 보안 메커니즘을 사용합니다.
Salesforce Express Connect의 대체 솔루션을 도입합니다.	파트너 통신 서비스 공급자를 통해 판매되는 Salesforce Express Connect 를 사용하며 Hyperforce와 직접 연결하려 합니다.	Salesforce Express Connect (SEC)는 Hyperforce와의 직접 네트워크 연결을 제공하지 않습니다.	SEC를 사용하며 Hyperforce와의 직접 연결을 원하는 고객은 SEC 마이그레이션 이전에 통신 서비스 공급자에 연락하여 대체 네트워크 서비스를 반드시 확보 및 도입해야 합니다. 현재의 통신 공급자에 준하는 수준의 솔루션을 도입할 수 없는 고객은 AWS 또는 기타 통신 공급자에게 문의하여 Hyperforce 조직에 직접 연결할 수 있는 방법을 찾아보기 바랍니다.
HTTPS 핸드셰이크 성공을 위해 SNI(Service Name Indicator)를 포함합니다.	TLS ClientHello 메시지에 SNI가 포함되지 않는 API 클라이언트를 사용합니다.	SSLHandshakeException 또는 유사한 오류로 인해 HTTPS 핸드셰이크에 실패합니다.	다음 중 하나 선택: - TLS ClientHello 메시지에 SNI를 포함합니다. 또는 - .my.salesforce.com 또는 .sandbox.my.salesforce.com에 Salesforce API 엔드포인트를 사용합니다.
	.cloudforce.com 또는 .database.com에 요청을 보냅니다.	SSLHandshakeException 또는 유사한 오류로 인해 HTTPS 핸드셰이크에 실패합니다.	고급 도메인을 활성화하여 해당 도메인의 주소를 지정하는 트래픽을 *.my.salesforce.com으로 리디렉션합니다.
	Salesforce 익스피리언스 사이트가 있으며 타사 CDN에서 서비스되는 사용자 정의 도메인을 사용합니다. CDN이 SNI를 보내지 않거나 원래 *.force.com 도메인 대신 사용자 정의 도메인을 보냅니다.	CDN에서 예외가 발생하고 Salesforce 익스피리언스 사이트가 로드되지 않습니다.	CDN이 SNI를 사용하지 않도록 구성합니다. 그리고 CDN의 SAN(제목 대체 이름) 목록에 *.my.salesforce.com이 포함된 HTTPS 인증서가 있어야 합니다.
인증서를 고정하지 마십시오.	모바일 애플리케이션을 엔터티 인증서 또는 인증서 체인의 CA 인증서에 고정했습니다.	이 경우 모바일 애플리케이션이 로그인에 실패합니다. What Your Users See 를 참조하세요.	모바일 애플리케이션 인증서 pinning을 끄세요. Configure Authentication Server Certificate Pin 를 참조하세요.
인증서를 고정하지 마십시오.	API가 엔티티 인증서 또는 인증서 체인의 CA 인증서만 신뢰하도록 고정했습니다.	API 호출이 실패합니다.	Custom configuration에서 인증서 pining을 제거하세요. 반드시 고정해야 한다면, Mozilla Server Authentication (SSL/TLS) Root Certificates List 를 사용하세요.
플랫폼 이벤트 및 스트리밍 클라이언트에 .NET 버전 5.0을 사용합니다.	조직에 플랫폼 이벤트 또는 스트리밍 클라이언트가 있으며 .NET 버전이 5.0 미만입니다.	403 오류로 작업 실패 - 403: 조직 일일 총 이벤트 제한 초과 또는 - 403: 알 수 없는 클라이언트	.NET 버전 5.0 이상으로 업그레이드합니다. 자세한 내용은 여기의 Microsoft .NET 문서에서 확인할 수 있습니다.
URI의 non-ASCII 문자를 인코딩하십시오.	인코딩되지 않은 non-ASCII 문자가 포함된 URI를 REST API에 전달합니다.	API가 Error 400: Bad Request 오류를 반환합니다.	모든 non-ASCII 문자를 RFC-3986에 따라 인코딩 하십시오.
서드파티 서비스나 콘텐츠 전송 네트워크(CDN)에서 제공하는 커스텀 도메인의 대상 hostname을 업데이트 하십시오.	서드파티 서비스나 CDN에서 제공하는 커스텀 도메인을 가지고 있습니다.	사이트의 콘텐츠가 커스텀 도메인에 로드되지 않습니다.	타사 서비스 또는 CDN을 사용하는 사용자 정의 도메인의 전제 조건에 기재된대로, 서드파티와 협력하여 대상 hostname을 업데이트하십시오.

자세한 기술 요구 사항

하드 코딩된 인스턴스 참조는 사용하지 않습니다.

Salesforce 모범 사례에 따라 엔드포인트 참조에 하드 코딩된 인스턴스 이름을 사용하지 않는 것이 좋습니다.

인스턴스 이름이 하드 코딩되면 타사 인프라에서도 경우에 따라 조직의 인스턴스를 변경하는 마이그레이션으로 인해 액세스가 중단됩니다. 공개 클라우드에서 동적 확장 등 유용한 기능을 지원하는 유연한 인프라는 조직 마이그레이션 및 인스턴스 서비스 점검에 인스턴스 변경이 포함될 가능성이 높습니다. 정기적인 서비스 점검 동안 중단을 방지하기 위해 하드 코딩된 참조는 Hyperforce에서 허용되지 않습니다.

다음의 문서화된 모범 사례에 따라 구현에서 하드 코딩된 참조를 식별하고 제거하세요.

Hyperforce Assistant를 사용하여 조직에서 하드코딩된 참조를 확인하세요. (링크를 마우스 오른쪽 버튼으로 클릭하고 '새 탭에서 열기'를 선택하세요.)
Salesforce Optimizer를 사용하여 하드코딩된 참조가 포함된 클래스 목록을 확인하세요.
특히 통합에 WSDL(Web Service Definition Language)을 사용하는 경우 기존 통합 엔드포인트에 내 도메인을 사용합니다.
이전 조직 마이그레이션 후 일부가 리디렉션되는 경우에도 모든 참조를 업데이트합니다.
Knowledge 문서에 직접 이미지를 업로드합니다. URL을 사용하지 마세요.
파트너 포털을 새 URL로 보냅니다.
Web-to-Lead 및 Web-to-Case 참조를 확인합니다.
Mobile SDK 앱을 최신 버전으로 업데이트합니다.
호환성을 극대화하려면 내 도메인 설정 Visualforce, 익스피리언스 빌더, Site.com, 콘텐츠 파일 URL 안정화를 활성화합니다.

하드 코딩된 참조 업데이트에서 해당 권장 사항에 대해 자세히 확인할 수 있습니다.

Marketing Cloud 고려 사항

Marketing Cloud 고객이 테넌트별 OAuth 엔드포인트를 활성화해야 합니다. 자세한 내용은 다음 지침을 읽고 수행하세요.

귀하의 조직이 Marketing Cloud Account Engagement(구 Pardot)를 사용하고 있으며 Marketing Cloud Engagement 계정이 없는 경우, 이 요구 사항을 무시하세요.

기타 제품

Hyperforce로 마이그레이션되는 기타 제품도 하드 코딩된 인스턴스 참조를 허용하지 않습니다. 제품의 Hyperforce 이동을 예상하여 다른 서비스와 함께 사용되는 인스턴스 기반의 하드 코딩된 참조를 찾아서 업데이트하는 것이 좋습니다.

하드 코딩된 IP 허용 목록은 사용하지 않습니다.

지정 IP를 허용하는 것은 바람직하거나 권장할 만한 방법이 아닙니다. Salesforce 인터넷 트래픽이 탈취되거나 악성 웹사이트로 경로가 전환될 수 있기 때문입니다. 허용 목록은 가급적 사용하지 않습니다. IP가 추가 및 변경될 경우 고객이 허용 목록 데이터베이스를 업데이트하기 전까지 연결 장애를 겪을 수 있기 때문입니다. 특히 Hyperforce에서처럼 IP가 자주 업데이트되는 경우 이러한 유지 보수 비용은 부담이 될 수 있습니다.

취약한 IP 허용 목록 대신 현대적이며 지속 가능한 보안 수단을 사용하는 것이 바람직합니다.
IP 허용 목록의 일반적인 대안과 장점 및 구현 방법을 알고 싶다면 Hyperforce 허용 목록의 적합한 대체 방법을 확인하기 바랍니다.
다음 섹션에서는 허용 목록이 일상적으로 사용된 구체적 사용 사례와 적합한 대안에 대해 설명합니다.

Salesforce 서비스에 대한 사용자 및 API 클라이언트 액세스 제어

IP 허용 목록을 사용하여 인터넷에 대한 사용자 또는 서버 액세스를 제어하는 경우 필수 도메인 허용을 참조하세요.

HTTPS 및 SSL 클라이언트 인증서를 통해 해당 도메인에 안전하게 액세스할 수 있습니다.

Salesforce 서비스에서 고객 회사 네트워크로 보내는 요청 제어

Salesforce의 호출 기능을 통해 고객의 기업 네트워크에 호스팅된 웹 서비스나 API 엔드포인트로 요청을 필터링하기 위해 IP 허용 목록을 사용하는 경우, 허용 목록은 요청의 출처는 확인하지만 요청의 진위는 확인하지 않는다는 점을 유의해야 합니다. 또한, 이러한 IP 주소는 여러 고객과 평가용 조직에서 사용되며, 단일 고객에게 고유하지 않습니다. 이러한 이유로, IP 허용 목록은 보안상 안전하지 않습니다. 요청 유형은 다음과 같습니다:

APEX 콜아웃(WSDL 또는 REST 기반)
아웃바운드 메시지
Salesforce Connect(OData 또는 사용자 정의 커넥터)
플로를 통한 APEX 호출 가능한 작업 콜아웃

대신 웹 서비스 및 API 엔드포인트에 최신 인증 및 인가(AuthN/AuthZ)를 구현하여 조직만 네트워크에 액세스할 수 있도록 합니다.

Salesforce는 보안 및 AuthN/AuthZ 통합에 도움이 되는 다음의 기능을 제공합니다.

Salesforce에서 귀사의 기업 네트워크로의 통신에 IP 허용 목록을 사용해야 하는 비즈니스 또는 규정 준수상의 불가피한 필요가 있는 경우, Hyperforce External IPs 에는 Salesforce 플랫폼에서 구축된 Salesforce 제품의 연결을 위한 IP가 포함되어 있습니다. 이러한 IP는 이메일용이 아니며, Marketing Cloud, Commerce Cloud, Slack, 또는 MuleSoft에는 해당되지 않습니다.

Government Cloud Plus 고객의 경우, IP Addresses to Allow for Government Cloud Plus를 참조하십시오.

Salesforce 서비스에서 이메일 필터링

IP 허용 목록을 사용하여 이메일 차단 규칙을 우회하는 경우 TLS(전송 계층 보안), 보낸 사람 정책 프레임워크(SPF), DKIM(DomainKeys Identified Mail) 또는 도메인 기반 메시지 인증, 보고 및 적합성(DMARC) 등 표준 이메일 보안 프로토콜을 채택합니다. Salesforce는 모든 해당 옵션을 지원합니다.

참조: 일반적으로 이메일에 IP 허용 목록 사용을 권장하지는 않지만 Hyperforce에서 이메일 릴레이에 사용되는 IP 주소는 더욱 정적이며 필요한 경우 이메일 릴레이 요구에 사용할 수 있습니다. 해당 이메일 릴레이 IP 주소는 Salesforce 응용 프로그램에서 이메일을 수신할 수 있는지 확인의 "HYPERFORCE - 이메일 릴레이" 표에 나열되어 있습니다.

다음 문서에서 자세한 내용을 확인하세요.

Salesforce Express Connect 고려 사항

Salesforce Express Connect(SEC)는 Hyperforce와의 직접 네트워크 연결을 제공하지 않습니다. SEC는 자사 SFDC 인프라와의 직접 네트워크 연결을 제공합니다. Hyperforce는 Amazon Web Services(AWS)에서 구동합니다. Salesforce는 SEC를 판매하지 않습니다. SEC를 사용하며 Hyperforce와의 직접 연결을 원하는 고객은 SEC 마이그레이션 이전에 통신 서비스 공급자에 연락하여 대체 네트워크 서비스를 반드시 확보 및 도입해야 합니다. 권장되는 솔루션은 AWS Direct Connect(DX)와 Public Virtual Interface(Public VIF)를 사용하여 안전한 연결을 생성하는 방식입니다. 자세한 내용은 How to Access Salesforce Hyperforce Securely and Reliably with AWS Direct Connect에서 확인할 수 있습니다.

일부 Salesforce 서비스는 first-party 인프라에서 실행됩니다. Salesforce의 모든 서비스 (first-party와 Hyperforce 모두)에 대한 연결을 유지하려면, Salesforce에 직접 네트워크 액세스를 요구하는 고객은 SEC를 계속 사용하고 AWS DX를 추가로 설정해야 합니다.

HTTPS 핸드셰이크 성공을 위해 SNI(Server Name Indication)를 포함합니다.

Hyperforce에서는 각 Salesforce 도메인에 별도의 HTTPS 인증서가 포함되어 있습니다. 웹 브라우저 및 API 발신자가 ClientHello 메시지에 SNI를 포함하여 원하는 도메인을 지정해야 합니다. 또는 기본 도메인 중 하나를 지정할 수 있습니다.

자세한 SNI 요구 사항, 문제, 해결책에 대한 내용은 다음을 확인하세요.

SNI를 사용하여 Hyperforce의 HTTPS/SSL 연결 오류 해결

인증서를 고정하지 마십시오.

인증서 고정 (Certificate Pinning) 은 신뢰할 인증서를 하나만 선택하는 보안 관행입니다. Pinning은 구식 보안 방식으로, 운영 복잡성을 증가시키고 서비스 중단 위험을 초래할 수 있습니다. Salesforce는 Hyperforce에서 인증서 고정 기능을 지원하지 않습니다. Hyperforce는 항상 SSL/TLS를 사용하며, 인증서를 정기적으로 교체합니다. 모든 Hyperforce 인증서는 Mozilla Server Authentication (SSL/TLS) Root Certificates 목록에 포함된 인증 기관(CA)에서 체인 방식으로 연결됩니다.

모바일 애플리케이션에서 인증서를 고정하고 있다면, Configure Authentication Server Certificate Pin에 있는 지침을 따라 고정 기능을 비활성화하세요. 다른 방식으로 인증서를 고정하고 있다면, 해당 방식을 중단하세요. 만약 인증서를 고정해야 하는 불가피한 필요가 있다면, Mozilla Server Authentication (SSL/TLS) Root Certificates 목록을 고정하세요.

플랫폼 이벤트/스트리밍 클라이언트 요구 사항

플랫폼 이벤트 또는 스트리밍 클라이언트가 포함된 조직은 .NET 버전 5.0 이상을 사용해야 합니다. 이전 .NET 버전을 사용하면 Hyperforce RFC 규정 준수 요구 사항으로 인해 해당 기능이 중단될 수 있습니다. 자세한 내용은 여기의 Microsoft .NET 문서에서 확인할 수 있습니다.

Non-ASCII 문자를 올바르게 인코딩하십시오.

Salesforce에 URI를 전달할 때, 모든 Non-ASCII 문자는 RFC 호환 퍼센트 인코딩을 사용하여 올바르게 인코딩해야 합니다. Hyperforce는 인코딩되지 않은 문자의 전달을 허용하지 않는 엄격한 기본 아키텍처를 가지고 있습니다. 올바른 인코딩에 대한 자세한 정보는 RFC-3986 specification에서 확인할 수 있으며, 유용한 팁은 W3School의 HTML URL Encoding Reference 를 참조하세요.

서드파티 서비스나 콘텐츠 전송 네트워크(CDN)에서 제공하는 커스텀 도메인의 대상 host name을 업데이트 하십시오.

커스텀 도메인을 사용하면 https://www.example.com과 같이 귀하가 소유한 도메인에서 사이트 콘텐츠를 제공합니다. 서드파티 서비스나 CDN이 귀하의 커스텀 도메인을 제공하는 경우, 해당 서비스는 요청을 귀하의 커스텀 도메인으로 전달하기 위해 대상 호스트 이름을 사용합니다. Hyperforce로 업그레이드하면 대상 호스트 이름이 변경됩니다. 커스텀 도메인에서 사이트 콘텐츠를 계속 제공하려면 서드파티 서비스에서 대상 호스트 이름을 업데이트해야 합니다. 타사 서비스 또는 CDN을 사용하는 사용자 정의 도메인의 전제 조건 의 대상 호스트 이름으로 조직에 사용자 정의 도메인 가리키기 섹션의 지침을 따르십시오.

기타 문제

콘텐츠 파일 미리 보기 문제

콘텐츠 파일 미리 보기 문제 문서를 검토하고 해결 방법을 이해하는 것이 좋습니다. 이 문제는 Hyperforce 및 자사 사용자 모두에게 영향을 미칩니다.

참고 항목

수정 내역

수정된 날짜	수정
2024년 5월 24일	Tableau를 Hyperforce IP가 사용 불가능한 제품 목록에서 제거했습니다.
2024년 5월 23일	임시 제한 사항 테이블을 제거했습니다. 추적 중인 모든 열린 문제는 해결되었습니다.
2024년 5월 7일	SEC 관련 노트를 수정하고 AWS DX 지침을 추가했습니다. 커스텀 도메인에 대한 지침을 추가했습니다.
2024년 2월 9일	URL 인코딩 요구 사항을 추가했습니다.
2024년 1월 16일	Streaming API 요구 사항을 제거했습니다.
2023년 12월 7일	다음 항목에 대한 임시 제한 사항을 제거했습니다: High Scale Orders, Service Cloud Voice, Event Relay, Salesforce Payments
2023년 10월 20일	Streaming API 버전 요구 사항을 추가했습니다. 임시 기능 제한 사항의 여러 날짜를 업데이트했습니다.
2023년 8월 10일	하드코딩된 참조를 찾을 수 있는 도구를 업데이트했습니다.
2023년 8월 10일	인증서 pinning을 하지 말라는 요구 사항을 추가했습니다. "Marketing Cloud" 브랜드명을 "Marketing Cloud Engagement"로 명확히 했습니다.
2023년 7월 14일	Service Cloud Voice의 알려진 문제를 업데이트했습니다.
2023년 6월 8일	Hyperforce IPs에 대한 추가 설명을 추가했습니다. High Scale Orders, Service Cloud Voice, Event Relay의 알려진 문제 날짜를 업데이트하고 Salesforce Payments를 추가했습니다.
2023년 04월 26일	re: Hyperforce IP에 대한 입장을 수정하고 다운로드 위치 링크를 추가했습니다. Salesforce Express Connect의 대체 솔루션 도입을 일시적으로 알려진 문제에서 정식 요구 사항으로 변경하고 자세한 정보를 추가했습니다. ApexREST 서비스 머리글의 링크를 업데이트했습니다.
2023년 02월 1일	일시적인 알려진 문제에서 사용자 정의 HTTPS 인증서가 제거되었습니다.
2023년 01월 26일	일시적인 알려진 문제에 이벤트 릴레이가 추가되었습니다.
2022년 12월 8일	비준수 ApexREST 서비스 머리글에서 RFC 2616이 7230으로 변경되었습니다.
2022년 10월 20일	일시적인 알려진 문제가 표로 그룹화되었으며 목록이 업데이트되었고 목표 해결 날짜가 추가되었습니다. 플랫폼 및 스트림 이벤트에 대한 .NET 5.0 요구 사항이 추가되었습니다.
2022년 09월 9일	http 1.1 요구 사항이 제거되었습니다.
2022년 08월 19일	일시적인 알려진 문제에 ApexREST 및 .NET 정보가 추가되었습니다.
2022년 08월 9일	IP 허용 목록 섹션에서 승인된 문구가 업데이트되었습니다.
2022년 07월 28일	.cloudforce.com 또는 .database.com에서 고급 도메인을 사용하여 SNI 문제 해결을 권장하는 사항이 추가되었습니다.
2022년 03월 24일	사용자 정의 HTTPS 인증서를 사용한 사용자 정의 도메인의 해결 예상 시간이 업데이트되었습니다.
2022년 02월 21일	Hyperforce에서 이메일 릴레이 기능과 관련하여 IP 허용 목록 사용에 대한 설명이 추가되었습니다. - Hyperforce에서 이메일 릴레이에 사용되는 IP 주소는 더욱 정적이며 필요한 경우 이메일 릴레이 요구에 사용할 수 있습니다.
2021년 12월 30일	문서가 생성되었습니다.