Ограничение IP-адресов входа в профилях

Ограничение IP-адресов входа в профилях

Чтобы ограничить входы пользователей на основе диапазонов IP-адресов, укажите как минимум один разрешенный диапазон IP-адресов для каждого профиля. При наличии как минимум одного диапазона IP-адресов входа в профиле вход с любого другого IP-адреса отклоняется.

1. Введите строку «Профили» в поле «Быстрый поиск» меню «Настройка» и выберите пункт «Профили».
2. Чтобы ограничить IP-адреса для данного профиля, добавьте разрешенные диапазоны IP-адресов.
   1. Добавьте разрешенный диапазон IP-адресов.
      • В расширенном пользовательском интерфейсе профиля нажмите «Диапазоны IP-адресов входа», а потом нажмите «Добавить диапазоны IP-адресов».
      • В исходном пользовательском интерфейсе профиля прокрутите вниз к связанному списку «Диапазоны IP-адресов входа», а потом нажмите «Создать».

      

      Примечание Профили пользователей-партнеров ограничены пятью IP-адресами. Чтобы увеличить это ограничение, обратитесь в компанию Salesforce.
   2. Укажите разрешенные IP-адреса входа для профиля.

      Введите действительный IP-адрес в поле «Начальный IP-адрес» и совпадающий или пронумерованный выше IP-адрес в поле «Конечный IP-адрес».

      Чтобы разрешить вход с одного IP-адреса, введите один адрес в оба поля.

      Диапазон может содержать IPv4, IPv6-адреса, соотнесенные с IPv4, или IPv6. Диапазон IP-адресов не может содержать несколько типов адресов. Например, не разрешены такие диапазоны, как 255.255.255.255 к ::1:0:0:0 и :: к ::1:0:0:0.

      • Диапазон IPv4-адресов: от 0.0.0.0 до 255.255.255.255.
      • Диапазон общедоступных IPv6-адресов - от ::1:0:0:0 до ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff.
      • Соотнесенные с IPv4 IPv6-адреса позволяют приложению с поддержкой IPv6 взаимодействовать с устройствами только IPv4. Для выполнения этой конфигурации IPv4-адрес встроен в формат IPv6. Эти адреса представлены как IPv4-адреса в пользовательском интерфейсе Salesforce и в API.

        Синтаксисом для IPv6-адреса, соотнесенного с IPv4, является ::ffff:a.b.c.d, где a.b.c.d - десятичное представление IPv4-адреса. Например, соотнесенный с IPv4 IPv6 адрес 192.0.2.128 является ::ffff:192.0.2.128. Таким образом, диапазон IPv6-адресов, соотнесенных с IPv4, ::ffff:0.0.0.0 с ::ffff:255.255.255.255.

      

      Важно! Чтобы предотвратить проблемы доступа пользователей, добавьте диапазоны IP-адресов входа с IPv6-адресами только в профили с как минимум одним диапазоном IP-адресов входа с IPv4.
   3. По желанию, введите описание диапазона.
      При использовании нескольких диапазонов используйте поле «Описание» для предоставления сведений, например, какая часть сети соответствует этому диапазону.
   4. Чтобы разрешить пользователям с этим профилем входить с дополнительных IP-адресов, добавьте еще один диапазон.
   5. Сохраните внесенные изменения.
3. Чтобы удалить диапазон IP-адресов входа, нажмите «Удалить».
   Чтобы разрешить группе пользователей входить с любого IP-адреса, удалите все диапазоны IP-адресов входа в профиле пользователей.

Примечание Параметры кэширования для статических ресурсов установлены на личные при доступе посредством сайта Salesforce с профилем пользователя-гостя с ограничениями на основе диапазона IP-адресов или часов входа. Сайты с ограничениями профиля пользователя-гостя кэшируют статические ресурсы только в обозревателе. Также, если ранее неограниченный сайт становится ограниченным, срок действия статических ресурсов из кэша Salesforce и любых промежуточных кэшей может составлять до 45 дней.

Применение ограничений IP-адресов входа профиля к запросам страницы

1. Введите строку «Параметры сеанса» в поле «Быстрый поиск» меню «Настройка» и выберите пункт «Параметры сеанса».
2. Выберите «Применять диапазоны IP-адресов входа при каждом запросе» и сохраните изменения.
   Данный параметр влияет только на профили пользователей с ограничениями IP-адресов входа.

Подготовка к поддержке IPv6 для диапазонов IP-адресов входа профиля

Сегодня IPv6 поддерживается только для сети доставки содержимого Salesforce (CDN) для сайтов Experience Cloud. Но Salesforce работает в фоновом режиме над полной поддержкой IPv6. Конкретной целевой даты полной поддержки IPv6 нет. Salesforce планирует поэтапно развернуть поддержку IPv6. Просмотрите примечания к выпуску для получения объявлений о конкретных сроках для каждого этапа.

Если Salesforce поддерживает IPv6 для вашей организации, списки разрешенных IPv4 остаются активными, и пользователи могут входить только по IPv4 или IPv6, разрешенному их профилем. Чтобы обеспечить непрерывный доступ для пользователей, добавьте один или несколько диапазонов IP-адресов входа с IPv6-адресами этих пользователей для каждого профиля с диапазоном IP-адресов входа.

Ниже перечислены некоторые рекомендации по добавлению списков разрешенных IPv6 в профили.

• Если в профиле отсутствуют диапазоны IP-адресов входа, пользователи с этим профилем могут войти в Salesforce с любого IP-адреса. Диапазоны IP-адресов входа профиля не обязательны. Однако, профили с одним или несколькими диапазонами IP-адресов входа могут требовать обновлений для IPv6.
• Диапазон IP-адресов входа с IPv6-адресами можно добавить сегодня, но входы через эти адреса разрешены только при поддержке Salesforce IPv6.
• Между IPv6-адресом и IPv4-адресом нет корреляции. Чтобы определить IPv6-адреса пользователей, обратитесь к рабочей группе сети.
• Пока Salesforce полностью не поддержит IPv6, если профиль содержит диапазоны IP-адресов входа, проверьте наличие как минимум одного диапазона IPv4. При наличии как минимум одного диапазона IP-адресов входа в профиле вход с любого другого IP-адреса отклоняется. Таким образом, если диапазоны IP-адресов входа профиля содержат только IPv6, пользователи с таким профилем не смогут получить доступ к Salesforce до тех пор, пока в вашей организации не будет поддержан IPv6 для функции, к которой имеет доступ пользователь.

Примечание Если вы используете списки разрешенных IP-адресов в Hyperforce, рассмотрите предпочитаемую альтернативу, например, внедрение mTLS или разрешение доменов.