Private Spaces と Salesforce の間の信頼関係接続の確立
最終更新日 2024年12月03日(火)
Table of Contents
Heroku と Salesforce を一緒に使用している場合は、排他的な信頼関係によってセキュリティ体制が強化され、パブリックインターネットからの望ましくないトラフィックを防止できます。IP 制限を使用することで、Heroku Private Spaces と Salesforce の間に排他的な信頼を確立できます。また、双方向のトラフィックを個別に設定できます。
要件:
Salesforce Hyperforce の外部 IP については、このドキュメントを参照してください。
Fir にカスタムの信頼できる IP 範囲が追加されるまでは、Cedar 世代のスペース内のアプリに対してのみ、Salesforce -> Heroku の接続を確立できます。機能が追加されたときに通知を受け取るには、Changelog の受信登録を行ってください。
Salesforce → Heroku アプリ
多くの場合、Heroku 上で実行されるアプリは Salesforce からのみアクセスできます。一般的なユースケースとして、カスタム Apex または Lightning コンポーネントに HTTP/REST クエリインターフェースを提供する Heroku アプリがあります。API がパブリックな消費を対象にしていない場合は、パブリックアクセスをブロックすることが最善です。
受信 Salesforce トラフィックを許可する
すべての Salesforce の IP 範囲を Cedar 世代 の Private Space の信頼できる IP 範囲として設定します。信頼するすべての CIDR ブロックの一覧については、Salesforce の IP アドレスとドメインに関するナレッジ記事を参照してください。
この IP 制限は、個々の Salesforce 組織に固有のものではありません。すべての Salesforce インスタンスからのトラフィックが許可されます。定期的なサイト切り替えやインフラストラクチャのメンテナンスのため、特定の Salesforce インスタンスからのアクセスを制限するために IP 制限を使用することはできません。
パブリックトラフィックを防止する
Private Space の信頼済み IP 範囲からデフォルトエントリ 0.0.0.0/0 を削除することを忘れないでください。これにより、明示的に許可されていないパブリックインターネットからのすべてのトラフィックがブロックされます。
Heroku アプリ → Salesforce
デフォルトでは、Salesforce ではパブリックインターネット上の任意の場所からのログインが許可されます。IP アドレスの制限により、悪意のあるログインアクティビティのリスクを最小限に抑ええることができます。
直接のユーザーログインを制限する
統合ユーザーに対する Salesforce のログイン IP 制限を設定します。
コネクテッドアプリ (OAuth) のアクセスを制限する
コネクテッドアプリの OAuth プロバイダーへのパブリックアクセスをブロックするには、コネクテッドアプリの IP 範囲を設定します。
Private Space からのすべてのトラフィックは、その固定アウトバウンド IP アドレスから送出されます。Space のアドレスの一覧を、この制限のために使用できます。
Hyperforce のベストプラクティス
Salesforce では IP 許可リストの使用を推奨していません。Hyperforce はクラウド上で実行するため、IP が頻繁に更新されるためです。これは Salesforce の管理外です。IP が更新されると、Heroku Connect の設定などで接続が中断される可能性があります。Hyperforce への接続に関するベストプラクティスについては、「Hyperforce の IP 許可リスト登録の望ましい代替案」を参照してください。
他の手法と組み合わせる
IP 制限は特効薬ではなく、1 つのセキュリティツールにすぎません。より多くのセキュリティ戦略を積み重ねることによってリスクがさらに削減されます。信頼できるアプリを開発するには、SSL/TLS 証明書、リクエスト認証、予防的ペネトレーションテストのすべてが重要です。