Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

B2C Commerce の Demandware.net の送信元の遮蔽 - フェーズ 4

公開日: Dec 10, 2025
説明

Salesforce では、お客様のビジネスにとってデータの機密性、整合性、そして可用性が重要であることを理解しており、データ保護に真摯に取り組んでいます。2024 年 10 月に、お客様固有のコンテンツ配信ネットワーク (CDN) ゾーンとファイアウォールルールを作成することで、Commerce Cloud はステージングインスタンスの demandware.net ホスト名へのアクセスを変更し、Business Manager とその他の正当なトラフィックを Commerce Cloud 信頼済みソースのみから許可するように設定します。この変更により、サービス拒否 (DDoS) の配布やボット攻撃などの悪意のある活動から環境とデータを保護できます。

解決策

変更点は?
2024 年 10 月より、Commerce Cloud は、Commerce Cloud eCDN から発信されていないトラフィックが、ステージングインスタンスのドットまたはハイフンを使用した demandware.net ホスト名にアクセスするのをブロックするようになります。この変更により、Open Commerce API (OCAPI) またはストアフロントにアクセスするために、「ドット」形式 (staging.*) または「ハイフン」形式(staging-*)で指定した SFCC POD またはホスト名への直接 IP アドレスで実行されたコールは拒否されます。

組織への影響は?
この変更は、OCAPI またはストアフロントにアクセスするために staging- または  staging. を使用する Commerce Cloud のお客様に影響します。これらのドットまたはハイフンを使用したホスト名をバニティホスト名に変更して、変更による影響を回避します。

Commerce Cloud eCDN の前に Commerce Cloud eCDN または積み上げ CDN 設定を使用している実装 (brand.com、www.brand.com などのバニティホスト名を使用する場合など) は影響を受けません。staging-realm-customer.demandware.net を使用して Business Manager にアクセスした場合、Business Manager は Commerce Cloud B2C エコシステムの内部であるため、この操作には影響しません。

変更はいつ行われますか?
この変更は 2024 年 10 月 7 日に適用されます。ここでは、既存のすべてのステージングインスタンスに変更が適用されます。ここで、すべてのステージングインスタンスは、demandeware.net のドットまたはハイフン形式のホスト名へのコールを拒否します。


準備方法は?
次のアクションを実行してください:

  • 現在の実装での OCAPI またはストアフロントへの意図したコール使用において、直接の POD IP、ドット形式のホスト名、 demandware.net のハイフンを使用したホスト名などを使用することを確認します (例: staging.xxx.demandware.net や  staging-xxx.demandware.net)。
    • 注意: Business Manager は Commerce Cloud エコシステムの内部であるため、引き続き Business Manager の staging-realm-customer.demandware.net にアクセスできます。
  • 影響を受けるサービスまたはアプリケーションを更新して、バニティホスト名 (例: brand.com、www.brand.com) を使用し、eCDN を介したトラフィックを使用します。
  • バニティホスト名がない場合、本番ホスト名または開発ホスト名を対象とする代わりに OCAPI コールのカスタムドメインを作成します。
  • OCAPI コールに使用するカスタムドメインを作成するために埋め込み CDN を構成することに関する手順に従います。
  • 販売時点システム、モバイルアプリケーション、またはサードパーティ CDN/プロキシからの Server Name Indication (SNI) 以外のトラフィックを廃止します。
  • サービスプロバイダーと連携して、eCDN への requests/API に SNI を使用できるようにします。ステージングインスタンスへのロールアウト後に、サービスやアプリケーションに影響がないかどうかを確認するテストを行い、それに応じて更新します。


SNI 以外のトラフィックを廃止する手順は?
サポートされる Web ブラウザーを更新します。

  • 6 年未満の最新のブラウザーでは、Server Name Indication (SNI) という SSL プロトコルの拡張機能がサポートされますが、古い従来のブラウザーと Web サーバーでは SNI はサポートされません。
  • SNI に問題のある 2 つの主要な従来のブラウザーは、Windows XP (またはそれ以前) の Internet Explorer と、Android の Ice Cream Sandwich 以前のバージョンです。

SFCC/Cloudflare ルートドメインに転送する SNI 以外のトラフィックの積み上げ Akamai 設定を確認します。

  • Akamai のオリジンサーバー設定では、上流の接続を実行しているときに SNI を有効にするオプションが用意されています。ほとんどのユーザーはこのオプションを有効にしません。Akamai の積み上げ設定を更新するには、次の手順に従って SNI のみを使用するように設定します。
    • プロパティマネージャーに移動します。
    • オリジン設定を編集し、[SNI TLS 拡張機能を使用] を有効にします。
    • 詳細は、documentation on enabling SNI support を参照してください。


ハイフンを使用した demandware.net ホスト名にアクセスできる特定のサービスは?

  • Business Manager
  • 在庫サービス
  • Analytics Service
  • 注文インテグレーションサービス
  • Salesforce Commerce API (SCAPI) コール
  • Shopper Login (SLAS)
  • 画像ダウンローダーサービス
  • WebDAV コール
  • 状態チェックの /dw/monitor コール
  • sfcc-ci ツール (開発者インスタンスおよびステージングインスタンス)
  • データ API


Commerce Cloud では、一部の Salesforce サービスはこれらの新しいファイアウォールルールに含められません。


サポートを受ける方法
B2C Commerce Trailblazer Group でこの変更に関する質問をしてください。適用中に環境への重大な影響に気付いた場合や、新しいファイアウォールルールが期待どおりに動作しない場合は、Commerce Cloud サポートにケースを登録できます。

ナレッジ記事番号

002628746

 
読み込み中
Salesforce Help | Article