Loading

Alternativas preferidas a la lista de admisión de direcciones IP en Hyperforce

Fecha de publicación: Apr 22, 2026
Descripción
En Salesforce, la confianza es nuestro valor principal. Entendemos que nuestros clientes tienen que tener la confianza de que se están comunicando con Salesforce en un entorno seguro. A pesar de ser una práctica de conectividad común, no recomendamos crear listas de IP permitidas porque los costes generales de mantenimiento de actualización de direcciones IP pueden ser muy elevados. Hyperforce se ejecuta en la nube, y la infraestructura de nube es efímera por naturaleza. En Hyperforce, las IP se actualizan frecuentemente sin que Salesforce tenga ningún control sobre ello. Cuando esto ocurre, los clientes pueden experimentar interrupciones de la conexión hasta que se actualizan las bases de datos de las listas de IP permitidas.
Solución
Se recomienda que los clientes de Hyperforce adopten las siguientes prácticas recomendadas lo antes posible.
 
Siga leyendo para obtener explicaciones detalladas sobre los beneficios de cada una de estas prácticas.
 

Dominios de la lista de admisión


En lugar de incluir las IP en la lista de admisión, los clientes pueden incluir los nombres de los dominios de Salesforce, como *.force.com. Incluir los nombres de los dominios en la lista de admisión es más seguro porque el proveedor de nube gestiona las direcciones IP en cada dominio.

Para la mayoría de clientes, cambiar al uso de listas de admisión de dominios supone poco esfuerzo, y son necesarias pocas actualizaciones. Este es el cambio más sencillo de implementar para los clientes.
 

Recursos


Utilizar indicadores del nombre del servicio (SNI)


Los indicadores del nombre del servicio amplían el protocolo de Seguridad en la capa de transporte (TLS) permitiendo que los clientes o el navegador especifiquen el nombre de host al que se quiere conectar. Esto es importante, puesto que es posible que un servidor presente varios certificados en la misma dirección IP. Un ejemplo común para comprender los SNI consiste en enviar un paquete a alguien que vive en un edificio de varios apartamentos. TLS garantiza que el paquete se envíe a la dirección correcta y los SNI garantizan que el paquete se envíe al apartamento adecuado en esa dirección.

En Hyperforce, cada dominio de Salesforce tiene un certificado HTTPS separado. En la ausencia de SNI, Hyperforce devuelve un certificado predeterminado que admite todos los dominios *.my.salesforce.com y *.sandbox.my.salesforce.com. Sin embargo, para dirigirse a cualquier otro dominio, navegador web y llamante de API se debe especificar el dominio deseado incluyendo el SNI en su mensaje ClientHello. Incluso al dirigirse a dominios predeterminados, se recomienda enviar un SNI. (Obtenga más información en Resolver errores de conexión HTTPS/SSL en Hyperforce con SNI).

Para establecer conexiones seguras entre Hyperforce y una red interna de un cliente, en lugar de incluir las IP en las listas de admisión, se recomienda que los clientes averigüen si su infraestructura de red admite la inspección de encabezado de SNI. Al examinar el encabezado de SNI, el cliente puede asegurarse de que el tráfico enviado por Salesforce se dirige al entorno de Salesforce del cliente.

Los SNI proporcionan los siguientes beneficios
  • Precisión: Se garantiza que el tráfico se enrute al destino correcto.
  • Sencillez: Los clientes agregan una extensión a un protocolo común.
  • Capacidad de ampliación: Amplía el número de conexiones que puede realizar un cliente, especialmente si usan IPv4.
  • Seguridad: Las conexiones se basan en TLS, lo cual es más seguro que incluir las IP en la lista de admisión.


Recursos


Implementar Mutual TLS (mTLS)


La Seguridad en la capa de transporte (TLS) es un protocolo de conexión basado en el cifrado que establece vínculos seguros entre un cliente y un servicio. Mutual TLS (mTLS) va un paso más allá y, además, establece vínculos seguros entre un servidor y un cliente. Al validar los certificados de ambas entidades antes de establecer una conexión, mTLS proporciona una seguridad mejorada. Los clientes que implementen mTLS pueden estar absolutamente seguros de que se están conectando con Salesforce, y viceversa.
 

Recursos


Utilizar un proveedor de autenticación (Opcional)


Para los clientes que quieran utilizar un proveedor de autenticación como GitHub o Okta para acceder a su entorno de Salesforce, Salesforce gestionará la aplicación de autenticador por ellos.

Esta opción permite que los clientes tengan elección y control sobre el proceso de autenticación, pero no es un requisito de Salesforce.
 

Recursos


Utilizar aplicaciones conectadas


Si necesita acceder a Salesforce desde aplicaciones externas, utilice aplicaciones conectadas. El marco de trabajo de la aplicación conectada permite que las aplicaciones externas se integren con Salesforce utilizando protocolos estándar y las API, como Security Assertion Markup Language (SAML) OAuth y OpenID Connect. Las aplicaciones conectadas utilizan estos protocolos para autorizar, autenticar y proporcionar inicio de sesión único (SSO) para aplicaciones externas. Las aplicaciones conectadas pueden acceder a datos de forma segura con integración de API, integrar proveedores de servicios con Salesforce, proporcionar autorización para pasarelas de API externas y gestionar el acceso a aplicaciones de terceros.
 

Recursos


Consulte también


Si tiene una necesidad urgente de acceder a las direcciones IP de Hyperforce, registre un caso y póngase con su orientador de Customer Success.
 
Número del artículo de conocimiento

000394078

 
Cargando
Salesforce Help | Article