Loading

在 Hyperforce 中保留对 Salesforce 服务的不间断访问权限

发布日期: Apr 30, 2026
描述

Hyperforce 专为向后兼容性设计,但对于一些用户,需要采取额外措施保持 Salesforce 连接。

Hyperforce 使用基于云的现代技术,需要使用技术最佳实践,保持与 Salesforce 连接。这些最佳实践也适用于第一方基础设施,其中多数为可选项。对于 Hyperforce,这些是必填项。

总之,要求如下:

  • 请勿使用硬编码的实例引用
  • 请勿使用硬编码的 IP 允许列表
  • 在连接 Salesforce 服务时,在 TLS ClientHello 消息包含服务名称指标 (SNI)。
  • 请对平台事件和流式处理使用 .NET 5.0 版本或更高版本

建议贵组织自行观察,如有必要,在升级到 Hyperforce 前实施一次性更改以采用这些实践。 


如下方临时已知问题部分概述,Hyperforce 还有一些临时已知功能问题。如果依赖这些功能,请勿在这些功能可用前升级到 Hyperforce。

解决方案

故障摘要

本表摘录了在未满足连接相关要求时出现的故障,及其解决方法。
 

技术要求

用户场景

Hyperforce 故障

解决方法

请勿使用硬编码的实例引用

Salesforce 组织使用硬编码的实例引用,或从外部 API 客户端使用硬编码的实例引用调用 Salesforce 端点

API 调用无法连接客户组织,并返回 API 错误。

请按组织迁移最佳实践,更新硬编码引用。请查看如何为组织迁移做好准备。 

 

启用 My Domain 设置稳定 Visualforce、体验生成器、Site.com 和内容文件 URL

使用 Marketing Cloud Connect,但未启用特定于租户的 OAuth 端点 (TSOE)。

Marketing Cloud Connect 功能(例如跟踪)未如预期正常工作。Marketing Cloud API 令牌过期。

启用 Marketing Cloud Connect 特定于租户的 Oauth 端点 (TSOE)

使用具有硬编码实例信息的通用 Marketing Cloud 端点

对 Marketing Cloud 端点进行 API 调用失败,或返回错误。

将 Marketing Cloud 端点更新为特定于租户的端点

请勿使用硬编码的 IP 允许列表。

(电子邮件转发除外 - 见本文章的“Hyperforce - 电子邮件转发”表)

依赖 IP 地址允许列表,访问 Salesforce 服务器

用户和 API 客户端无法从企业网络访问 Salesforce 服务

允许列表的所需域,而非 IP 地址。

依赖 IP 地址允许列表,筛选 Salesforce 服务的电子邮件

电子邮件被拦截或作为垃圾邮件处理。

使用 Salesforce 支持的行业标准电子邮件安全机制,例如 SPF/DKIM/DMARC。

依赖 IP 地址允许列表,授予 Salesforce 服务对企业网络资源的访问权限。例如:Web 服务端点、OData 连接。

从 Salesforce 调出无法访问托管的 Web 服务或端点。

使用现代安全机制,集成身份验证和授权。例如:双向 SSL、身份验证提供商和连接的应用程序。

包含服务器名称指标 (SNI),以便 HTTPS 握手成功。

使用 TLS ClientHello 消息未包括 SNI 的 API 客户端

HTTPS 握手失败,并显示 SSLHandshakeException 或相似错误。

选择其中一个


- 在 TLS ClientHello 消息中包含 SNI


OR


- 在 *.my.salesforce.com 或 *.sandbox.my.salesforce.com 中使用 Salesforce API 端点

向 *.cloudforce.com 或 *.database.com 发送请求

HTTPS 握手失败,并显示 SSLHandshakeException 或相似错误。

启用增强域,将寻址这些域的流量重定向到 *.my.salesforce.com

您有 Salesforce 体验站点,并使用第三方 CDN 提供服务的自定义域。CDN 不发送 SNI,或发送自定义域,而非原始 *.force.com 域。

CDN 出现异常,Salesforce 体验站点无法加载。


 

配置 CDN 不使用 SNI,并确保 CDN 应使用的 HTTPS 证书在使用者可选名称 (SAN) 列表中包含*.my.salesforce.com。

对于平台事件和流式处理客户端请使用 .NET 5.0 版本

贵组织使用平台事件或流式处理客户端,但 .NET 版本低于 5.0

操作失败并显示错误 403


- 403:已超出组织每日事件总数限制



- 403:未知客户端

升级到 .NET 版本 5.0 或更高版本。

 

有关更多详细信息,请见此处的 Microsoft .NET 文档。

 

详细的技术要求

请勿使用硬编码的实例引用

Salesforce 最佳实践不建议在端点引用中使用硬编码的实例名称。

即使在第一方基础设施中,如果实例名称使用硬编码,更改组织实例的迁移有时会中断访问。在公有云中,对于实现动态调节等理想功能的基础设施,它们的灵活性同样更有可能使组织迁移和实例维护包含实例变化。为避免日常维护出现中断,Hyperforce 不允许硬编码的实例引用。

请按这些记录的最佳实践,从实施识别并移除硬编码的引用。

  • 使用 Salesforce 提供的工具,例如 Lightning Experience 准备情况检查适用于 Visual Studio 的 Salesforce Extension,帮助查找硬编码的引用。 
  • 尤其是,如果使用 Web 服务定义语言 (WSDL) 集成,请对现有集成端点使用 My Domain。
  • 即使一些引用在上一次组织迁移后重定向,也需更新所有引用。
  • 直接将图像上载到 Knowledge 文章。请勿依赖 URL。 
  • 将合作伙伴入口网站定向到新 URL。 
  • 检查在线潜在客户和在线个案引用。 
  • 将 Mobile SDK 应用程序更新到最新版本。
  • 为最大限度地提高兼容性,启用 My Domain 设置稳定 Visualforce、体验生成器、Site.com 和内容文件 URL。

有关这些推荐的更多信息,请见更新硬编码的引用

Marketing Cloud 注意事项

Marketing Cloud 客户必须启用特定于租户的 OAuth 端点。要了解更多信息,请阅读并按照这些说明:

其他产品

对于迁移到 Hyperforce 的其他产品,它们也不允许硬编码的实例引用。我们建议,查找并更新与其他服务同用的基于实例的硬编码引用,便于产品迁移到 Hyperforce。

请勿使用硬编码的 IP 允许列表

在新实例和服务器上线时,IP 允许列表需要警戒性维护,防止互联网流量重新路由。Hyperforce 扩展迅速,维护 IP 允许列表的人员开销使客户无法管理,进而中断服务。维护 IP 允许列表不再是 Salesforce 安全最佳实践。

使用可持续的现代安全方法替换落后的 IP 允许列表,用户将从中受益。下一节介绍了允许列表的常见原因和推荐的替代产品。

控制用户和 API 客户端对 Salesforce 服务的访问权限

如果使用 IP 允许列表控制用户或服务器对互联网的访问权限,允许所需域

使用 HTTPS 和 SSL 客户端证书,对这些域强制进行安全访问。

筛选 Salesforce 服务的电子邮件

如果使用 IP 允许列表绕过电子邮件拦截规则,采用标准电子邮件安全协议,例如传输层安全性 (TLS)、发件人策略框架 (SPF)、域密钥识别邮件 (DKIM) 或基于域的消息身份验证、报告和一致性 (DMARC)。Salesforce 完全支持所有这些选项。

注意:虽然不建议在通用情况下对电子邮件使用 IP 允许列表,但 Hyperforce 的电子邮件转发更多采用静态 IP 地址;如有必要,使用静态地址,满足电子邮件转发需求。确保可收到 Salesforce 应用程序的电子邮件的“HYPERFORCE - 电子邮件转发”表列出了这些电子邮件转发 IP 地址。

有关更多信息,请见这些文章:

控制从 Salesforce 服务到客户企业网络的请求

如果使用 IP 允许列表筛选从 Salesforce 调出功能进入托管 Web 服务或 API 端点的请求,此方法虽验证了请求的来源,但未验证真实性,因此不安全。请求类型包含:

  • APEX 调出(基于 WSDL 或 REST)
  • 出站消息
  • Salesforce Connect(OData 或自定义连接器)
  • 通过流的 APEX 可调用操作调出

相反,对 Web 服务和 API 端点实施现代身份验证和授权 (AuthN/AuthZ),确保仅有贵组织可访问您的网络。

Salesforce 提供了这些功能,帮您集成安全性与 AuthN/AuthZ。

包含 HTTPS 握手成功的服务器名称指标 (SNI)

在 Hyperforce 中,每个 Salesforce 域含单独的 HTTPS 证书。在 ClientHello 消息中包含 SNI,Web 浏览器和 API 调用者必须指定所需域,否则只能解决其中一个默认域。

有关 SNI 的详细要求、问题和解决方案的更多信息,请见:

使用 SNI 解决 Hyperforce 的 HTTPS/SSL 连接错误

平台事件/流式处理客户端要求

对于使用平台事件或流式处理客户端的组织,它们必须使用 .NET 版本 5.0 或更高版本。鉴于 Hyperforce RFC 兼容性要求,.NET 早期版本无法使用这些功能。有关更多详细信息,请见此处的 Microsoft .NET 文档。

 

临时已知问题

Hyperforce 不支持大规模使用以下产品和功能,或在组织迁移到 Hyperforce 后无法如预期正常工作。

如下情况的用户:

  • 现使用功能 → 在功能准备就绪前,无法升级到 Hyperforce
  • 计划未来使用功能 → 可与客户团队讨论具体情况。
  • 未使用功能(含新用户)→ 现可升级到 Hyperforce,也可选择在功能可用时使用。

Hyperforce 已知问题和目标解决日期

目标解决日期需遵守 Salesforce 的前瞻性声明,不作任何保证。

 

特点或功能

谁将受影响?

客户可以采取哪些措施?

何时可在 Hyperforce 使用功能?

使用自定义 HTTPS 证书的自定义域

拥有使用自定义 HTTPS 证书的自定义域的组织。

无。

目前,大部分生产组织支持使用自定义 HTTPS 证书的自定义域。到 2023 年底,这将应用于所有配置和 Sandbox。

Salesforce Express Connect

已经由第三方电信提供商购买 Salesforce Express Connect 的组织。

无。

尚无计划。

不合规的 ApexREST 服务头

使用不合规 ApexREST 服务头的组织。

移除禁止字符,更新 ApexREST 服务头,满足 RFC 2616 要求。有关更多内容,请见在 Hyperforce 环境中对 ApexREST 服务严格强制实施 RFC 2616 头

Hyperforce 支持不合规的 ApexREST 头。Salesforce 计划在 Spring '23(2023 年第一季度)为客户提供测试合规性的工具,预期停止支持所有环境。

大批量订单

作为 Salesforce 订单管理的一部分,启用大批量订单的组织

无。

Salesforce 计划在 2023 年第二季度分阶段推出支持大批量订单的升级组织。

Service Cloud Voice (US)

 

北美地区已部署 Service Cloud Voice 的第一方实例的组织。北美地区实例名称以 NA 开头。

无。

尚无计划。

 

注意:Hyperforce 支持 Service Cloud Voice,但不支持从 NA 实例实施组织迁移

其他问题

内容文件预览问题

建议查看内容文件预览问题文章,了解解决方法。此问题影响了 Hyperforce 和第一方用户。

另请参阅:

 

修订历史

大约在过去 6 月进行的修订:

 

修订日期

修订

2022 年 10 月 20 日将临时已知问题分组入表,更新列表,并增加目标解决日期。已增加对平台和流式处理事件的 .NET 5.0 要求。
2022 年 9 月 9 日移除 HTTP 1.1 要求
2022 年 8 月 19 日在临时已知问题中增加 ApexREST 和 .NET 信息
2022 年 8 月 9 日更新 IP 允许列表部分的批准措辞。
2022 年 7 月 28 日增加使用增强域的建议,解决具有 *.cloudforce.com 或 *.database.com 的 SNI 问题。
2022 年 3 月 24 日更新使用自定义 HTTPS 证书的自定义域的预计解决时间

2022 年 2 月 21 日

增加关于在 Hyperforce 中对电子邮件转发功能使用 IP 允许列表的说明 - 在 Hyperforce 中用于电子邮件转发的 IP 地址更多是静态地址;如有必要,请使用这些地址进行邮件转发。 

2021 年 12 月 30 日

文档已创建。

知识文章编号

000392992

 
正在加载
Salesforce Help | Article