Private Spaces と Salesforce の間の信頼関係接続の確立
この記事の英語版に更新があります。ご覧の翻訳には含まれていない変更点があるかもしれません。
最終更新日 2024年05月04日(土)
Table of Contents
Heroku と Salesforce を一緒に使用している場合は、排他的な信頼関係によってセキュリティの状態が改善され、パブリックインターネットからの望ましくないトラフィックが防止される可能性があります。IP 制限を使用すると、Heroku Private Spaces と Salesforce の間に排他的な信頼関係を確立できます。2 方向のトラフィックを独立して設定できます。
要件:
Salesforce Hyperforce の外部 IP については、このドキュメントを参照してください。
Salesforce → Heroku アプリ
多くの場合、Heroku 上で実行されるアプリは Salesforce からのみアクセスできます。一般的なユースケースとして、カスタム Apex または Lightning コンポーネントに HTTP/REST クエリインターフェースを提供する Heroku アプリがあります。API がパブリックな消費を対象にしていない場合は、パブリックアクセスをブロックすることが最善です。
受信 Salesforce トラフィックを許可する
すべての Salesforce の IP 範囲を Private Space の信頼済み IP 範囲として設定します。信頼するすべての CIDR ブロックの一覧については、Salesforce の IP アドレスとドメインに関するナレッジ記事を参照してください。
この IP 制限は、個々の Salesforce 組織に固有のものではありません。すべての Salesforce インスタンスからのトラフィックが許可されます。定期的なサイト切り替えやインフラストラクチャのメンテナンスのため、特定の Salesforce インスタンスからのアクセスを制限するために IP 制限を使用することはできません。
パブリックトラフィックを防止する
Private Space の信頼済み IP 範囲からデフォルトエントリ 0.0.0.0/0 を削除することを忘れないでください。これにより、明示的に許可されていないパブリックインターネットからのすべてのトラフィックがブロックされます。
Heroku アプリ → Salesforce
デフォルトでは、Salesforce ではパブリックインターネット上の任意の場所からのログインが許可されます。IP アドレスの制限により、悪意のあるログインアクティビティのリスクを最小限に抑ええることができます。
直接のユーザーログインを制限する
統合ユーザーに対する Salesforce のログイン IP 制限を設定します。
コネクテッドアプリ (OAuth) のアクセスを制限する
コネクテッドアプリの OAuth プロバイダーへのパブリックアクセスをブロックするには、コネクテッドアプリの IP 範囲を設定します。
Private Space からのすべてのトラフィックは、その固定アウトバウンド IP アドレスから送出されます。Space のアドレスの一覧を、この制限のために使用できます。
他の手法と組み合わせる
IP 制限は特効薬ではなく、1 つのセキュリティツールにすぎません。より多くのセキュリティ戦略を積み重ねることによってリスクがさらに削減されます。信頼できるアプリを開発するには、SSL/TLS 証明書、リクエスト認証、予防的ペネトレーションテストのすべてが重要です。