在简档中限制登录 IP 地址
要在用户级别控制登录访问权限,请在用户简档上指定允许的 IP 地址范围。当您为简档定义 IP 地址限制后,来自受限 IP 地址的登录将被拒绝。
所需的 Edition
| 适用于:Salesforce Classic 和 Lightning Experience |
| 在所有版本中可用 |
| 所需用户权限 | |
|---|---|
| 要查看登录 IP 范围: | 查看设置和配置 |
| 要编辑和删除登录 IP 范围: | 管理简档和权限集 |
您如何根据 Salesforce 版本限制简档上有效 IP 地址的范围。
- 在 Enterprise、Performance、Unlimited 或 Developer Edition 中,管理简档中的有效 IP 地址。
- 在 Group 或 Personal Edition 中,从“设置”中,在“会话设置”页面上管理有效的 IP 地址。
- 在 Professional Edition 中,IP 范围的位置取决于“编辑简档和页面布局”是否作为加载项功能启用。使用该功能,您可以为个人简档指定登录 IP 范围。如果没有“编辑简档和页面布局”功能,您只能在“网络访问权限设置”页面上的组织级别定义受信 IP 范围。
此外,这些登录限制不适用于在体验交付上托管的站点。相反,使用自定义防火墙规则表达式管理在体验交付上托管的站点的有效 IP 地址。
从 Winter ’26 开始,Salesforce 会对特定简档的登录 IP 范围实施限制。限制取决于 IP 地址类型 — IPv4 或 IPv6。您不能添加超过 IP 范围类型限制的登录 IP 范围。如果受信 IP 范围在此更改前已超过限制,Salesforce 可以向用户挑战设备激活,即使他们在简档的登录 IP 范围内。如果用户超出范围,Salesforce 会完全阻止登录。有关更多信息,请查看设备激活。
以下是 IPv4 和 IPv6 地址的限制。如果您使用 IPv4 映射的 IPv6 地址,则适用 IPv4 限制。
| IP 地址类型 | 限制 |
|---|---|
| IPv4 | 16,777,216 |
| IPv6 | 2^99(2 等于 99 的幂) |
在计算 IP 地址总数时,Salesforce 不计算此范围内的专用 IP 地址:10.0.0.0到10.255.255.255。有关专用 IP 地址的更多信息,请参阅 Internet 工程任务组的 RFC 1918。要确保排除专用 IP 地址,请将它们添加为单独的范围条目。
在简档中限制登录 IP 地址
要根据 IP 范围限制用户登录,请为每个简档指定至少一个允许的 IP 地址范围。当简档中存在一个或多个登录 IP 范围时,将拒绝从任何其他 IP 地址登录。
- 从“设置”中,在快速查找框中输入简档,然后选择简档。
-
要限制此简档的 IP 地址,请添加允许的 IP 范围。
-
添加允许的 IP 范围。
- 在增强简档用户界面中,单击登录 IP 范围,然后单击添加 IP 范围。
- 在原始简档用户界面中,向下滚动到登录 IP 范围相关列表,然后单击新建。
备注 “合作伙伴用户”简档仅限于 5 个 IP 地址。要增加此限制,请联系 Salesforce。 -
为简档指定允许的登录 IP 地址。
在 IP 开始地址字段中输入有效的 IP 地址,在 IP 结束地址字段中输入匹配或更高编号的 IP 地址。
要允许从单个 IP 地址登录,请在两个字段中输入同一个地址。
范围可以包括 IPv4、IPv4 映射的 IPv6 地址或 IPv6 地址。IP 地址范围不能包含多种类型的地址。例如,不允许像
255.255.255.255到::1:0:0:0和::到::1:0:0:0这样的范围。- IPv4 地址的范围是
0.0.0.0255.255.255.255。 - 公共可访问的 IPv6 地址的范围
::1:0:0:0于ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff。 - IPv4 映射的 IPv6 地址允许启用 IPv6 的应用程序与仅支持 IPv4 的设备通信。为了实现此配置,IPv4 地址以 IPv6 地址格式嵌入。这些地址在 Salesforce 用户界面和 API 中表示为 IPv4 地址。
IPv4 映射的 IPv6 地址的语法是
::ffff:a.b.c.d,其中a.b.c.d是 IPv4 地址的十进制表示。例如,192.0.2.128的 IPv4 映射 IPv6 地址是::ffff:192.0.2.128。因此,IPv4 映射的 IPv6 地址的范围::ffff:0.0.0.0于::ffff:255.255.255.255。
重要 为防止用户访问问题,仅将具有 IPv6 地址的登录 IP 范围添加到具有至少一个具有 IPv4 地址的登录 IP 范围的简档。 - IPv4 地址的范围是
-
或输入范围描述。
如果您维护多个范围,请使用“描述”字段提供详细信息,例如,您的网络对应于该范围的那部分。
- 要允许具有此简档的用户从更多 IP 地址登录,请添加另一个范围。
- 保存更改。
-
添加允许的 IP 范围。
-
要删除登录 IP 范围,请单击删除。
要允许一组用户使用任何 IP 地址登录,请删除用户简档上的所有登录 IP 范围。
将简档登录 IP 限制应用于页面请求
您可以使用简档登录 IP 范围来进一步限制对 Salesforce 的访问。通过此选项,这些登录 IP 范围会在每个页面请求上强制执行,包括来自客户端应用程序的请求。否则,登录 IP 范围仅在用户登录时强制执行。
- 从“设置”中,在快速查找框中输入会话设置,然后选择会话设置。
-
选择在每个请求上强制执行登录 IP 范围,并保存更改。
此设置仅影响具有登录 IP 限制的用户简档。
准备 IPv6 支持简档登录 IP 范围
今天,只有 Experience Cloud 站点的 Salesforce 内容递送网络 (CDN) 支持 IPv6。但 Salesforce 正在幕后努力完全支持 IPv6。没有完全支持 IPv6 的特定目标日期。Salesforce 计划分阶段推出 IPv6 支持。观看发行说明,了解关于每个阶段具体时间的公告。
当 Salesforce 为您的组织支持 IPv6 时,IPv4 允许列表保持活动状态,用户只能通过他们的简档允许的 IPv4 或 IPv6 地址登录。为确保用户的不间断访问,对于每个具有 IPv4 地址的登录 IP 范围的简档,添加一个或多个具有这些用户 IPv6 地址的登录 IP 范围。
以下是将 IPv6 允许列表添加到简档时的一些注意事项。
- 如果简档上不存在登录 IP 范围,则具有该简档的用户可以从任何 IP 地址登录 Salesforce。简档登录 IP 范围不是必需的。但是,具有一个或多个登录 IP 范围的简档可能需要更新 IPv6。
- 您今天可以添加带有 IPv6 地址的登录 IP 范围,但只有当 Salesforce 支持 IPv6 时,才允许通过这些地址登录。
- IPv6 地址和 IPv4 地址之间没有相关性。要确定用户的 IPv6 地址,请与网络团队合作。
- 在 Salesforce 完全支持 IPv6 之前,如果简档包含登录 IP 范围,请验证简档上是否存在至少一个 IPv4 范围。如果简档中存在一个或多个登录 IP 范围,则拒绝从任何其他 IP 地址登录。因此,如果简档的登录 IP 范围仅包含 IPv6 地址,则拥有该简档的用户无法访问 Salesforce,直到您的组织支持该用户正在访问的功能的 IPv6。
