所以这是我的困境,还是我有些悬而未决的问题。
我为自己设置了一个方案,以使我已经使用ADFS证书在Salesforce上启用了SSO,但是目前所有用户都可以使用SSO来访问Salesforce。我想将SSO限制为只有三个组“ AD中定义的用户组”,才能在Salesforce中使用SSO。]
我知道我需要委派访问权限,但不确定我是否需要在ADFS端或Salesforce端进行此操作。...在ADFS上,我唯一要做的就是创建证书并将其引入Salesforce,然后将生成的XML导入ADFS。
任何帮助将不胜感激。
在搜索了Web并使用此表单后,我意识到有一个委派的身份验证,我可能需要安装一个委派的身份验证WSDL,不确定此步骤对于ADFS 3.0是否必要。
[许多人似乎都指向使用委托身份验证,但是我想知道是否有任何方法可以使用adfs服务器上的声明票证获得相同的功能。
再次感谢您:)
您似乎描述了可以通过AD FS授权规则执行的操作。阅读https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/when-to-use-an-authorization-claim-rule
基本上,您要做的是在AD FS中依靠Salesforce的依赖方,您将创建授权规则以基于AD组成员身份允许/拒绝。因此,如果用户在组中,则AD FS颁发令牌。如果不是,他们将被拒绝,这意味着没有令牌将允许访问Salesforce。
也请参阅https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/access-control-policies-in-ad-fs,因为根据您的AD FS版本,您可以通过访问控制策略(而不是发行授权规则)来执行此操作。