Loading

Alternatives de prédilection à la liste autorisée d’IP sur Hyperforce

Date de publication: Apr 22, 2026
Description
Chez Salesforce, la confiance est notre première valeur. Nous comprenons l'importance de la confiance que nos clients doivent avoir dans l'environnement sécurisé qu'ils utilisent pour communiquer avec Salesforce. Bien qu’il s’agisse d’une pratique de connectivité courante, nous déconseillons l’ajout sur liste autorisée d’adresses IP, car les frais de maintenance liés à la mise à jour des adresses IP peuvent être très lourds. Hyperforce s’exécute dans le Cloud et l’infrastructure Cloud est éphémère par nature. Les adresses IP sont fréquemment mises à jour dans Hyperforce, hors du contrôle de Salesforce. Lorsque cela se produit, les clients peuvent subir des interruptions de connexion tant qu’ils n’ont pas mis à jour leurs bases de données de listes autorisées.
Résolution
Nous recommandons aux clients Hyperforce d’adopter les meilleures pratiques suivantes dès que possible.
 
Poursuivez la lecture pour une explication détaillée des avantages offerts par chacune de ces pratiques.
 

Ajouter des domaines à la liste autorisée


Au lieu d’autoriser les adresses IP, les clients peuvent autoriser les noms de domaine Salesforce (par exemple, *.force.com). Il est plus sécurisé d’ajouter des noms de domaine à une liste autorisée, car le fournisseur de Cloud gère les adresses IP sous chaque domaine.

Pour la plupart des clients, le passage à des listes autorisées de domaines nécessite peu de travail et ces listes ne nécessitent que de rares mises à jour. Il s’agit du changement le plus facile à implémenter pour les clients.
 

Ressources


Utiliser des indicateurs de nom de service (SNI)


Les indicateurs de nom de service étendent le protocole Transport Layer Security (TLS) en permettant à un client ou à un navigateur de spécifier le nom d’hôte auquel il souhaite se connecter. C’est un élément important, car un serveur peut présenter plusieurs certificats sur la même adresse IP. Pour comprendre les SNI, une analogie courante est le fait d’envoyer un colis à quelqu’un qui vit dans un immeuble. TLS garantit que le colis est envoyé à la bonne adresse et SNI garantit que ce colis est envoyé au bon appartement de cette adresse.

Dans Hyperforce, chaque domaine Salesforce possède un certificat HTTPS distinct. En l’absence de SNI, Hyperforce renvoie un certificat par défaut qui prend en charge tous les domaines *.my.salesforce.com et *.sandbox.my.salesforce.com, mais pour s’adresser à tous les autres domaines, les navigateurs Web et les appelants d’API doivent spécifier le domaine souhaité en incluant les SNI dans leur message ClientHello. L’envoi de SNI est recommandé, même pour s’adresser à des domaines par défaut. (Pour en savoir plus, consultez Résolution des erreurs de connexion HTTPS/SSL dans Hyperforce avec SNI.)

Pour établir des connexions sécurisées d’Hyperforce au réseau interne d’un client, au lieu de listes autorisées d’IP, nous recommandons aux clients de vérifier si leur infrastructure réseau prend en charge l’inspection d’en-tête SNI. En inspectant l’en-tête SNI, le client peut s’assurer que le trafic envoyé par Salesforce est dirigé vers son propre environnement Salesforce.

SNI offre les avantages suivants :
  • Précision : garantit que tout le trafic est acheminé vers la bonne destination.
  • Simplicité : les clients ajoutent une extension à un protocole commun.
  • Évolutivité : augmente le nombre de connexions qu’un client peut établir, surtout s’il utilise IPv4.
  • Sécurité : les connexions reposent sur le protocole TLS, qui est plus sécurisé que les listes autorisées d’IP.


Ressources


Implémenter un TLS mutuel (mTLS)


Transport Layer Security (TLS) est un protocole de connexion reposant sur un chiffrement qui établit des liens sécurisés entre un client et un serveur. TLS mutuel (mTLS) va encore plus loin et établit également des liens sécurisés entre le serveur et le client. En validant les certificats des deux entités avant d’établir une connexion, mTLS offre une sécurité renforcée. Les clients qui implémentent mTLS peuvent être absolument sûrs qu’ils se connectent à Salesforce, et vice versa.
 

Ressources


Utiliser un fournisseur d’authentification (facultatif)


Pour les clients qui souhaitent avoir recours à un fournisseur d’authentification tel que GitHub ou Okta pour accéder à leur environnement Salesforce, Salesforce gérera pour eux l’application d’authentification.

Cette option permet aux clients de choisir et de contrôler leur processus d’authentification, mais elle n’est pas exigée par Salesforce.
 

Ressources


Utiliser des applications connectées


Si vous devez accéder à Salesforce à partir d’applications externes, utilisez les applications connectées. L’infrastructure d’application connectée permet aux applications externes de s’intégrer à Salesforce à l’aide d’API et de protocoles standard, tels que SAML (Security Assertion Markup Language), OAuth et OpenID Connect. Les applications connectées utilisent ces protocoles pour autoriser, authentifier et fournir une authentification unique (SSO) pour les applications externes. Les applications connectées peuvent accéder en toute sécurité aux données grâce à l’intégration d’API, intégrer les fournisseurs de services à Salesforce, fournir une autorisation aux passerelles d’API externes et gérer l’accès aux applications tierces.
 

Ressources


Voir également


Si vous avez absolument besoin d’accéder aux adresses IP Hyperforce, veuillez consigner une requête et contacter votre guide Customer Success.
 
Numéro d’article de la base de connaissances

000394078

 
Chargement
Salesforce Help | Article