Active directory Salesforce为AD中的特定用户组使用ADF进行SSO设置

这是我的两难处境，或者我的悬而未决的问题

我已经设置了这样一个场景：我已经使用ADFS证书在Salesforce上启用了SSO，但目前所有用户都可以使用SSO访问Salesforce。我想将SSO限制为只有三个组“在AD中定义的用户组”才能在salesforce中使用SSO

我知道我需要委派访问权限，但不确定我是否需要在ADFS端或salesforce端执行此操作。。。。在ADFS上，我所做的唯一一件事就是创建证书并将其引入salesforce，然后获取生成的XML并将其引入ADFS

任何帮助都将不胜感激

在搜索web和此表单后，我意识到存在委派身份验证，我可能需要安装委派身份验证WSDL，但不确定此步骤是否对ADFS 3.0是必要的

许多人似乎都指向使用委托身份验证，但我想知道是否有任何方法可以使用adfs服务器上的声明票证获得相同的功能

---

再次感谢：）

您似乎描述了通过AD FS授权规则可以实现的事情。阅读

基本上，您所做的是依靠AD FS中Salesforce的依赖方，您创建授权规则以基于AD组成员身份允许/拒绝。所以，若用户在组中，AD FS将发出令牌。如果没有，他们将得到拒绝，这意味着没有允许访问Salesforce的令牌

---

另请参阅，因为根据您的AD FS版本，您可以通过访问控制策略而不是发行授权规则来执行此操作。

欢迎使用SO！这似乎是一个更好的问题。太棒了，我现在来看看授权规则：），你以前创建过授权规则吗？谢谢：），你有没有可能发布一个你用来实现授权规则的随机组的屏幕截图，我读过，但不幸的是，目前还没有安装ADF的实验室：（我的好奇心要了我的命，哈哈，非常感谢你的回复！！！！！这意味着很多，你提供的链接非常棒！！！！如果你的好奇心要了你的命，那么在Azure中免费建立一个实验室，免费使用salesforce开发租户玩可能正是你需要做的：）因此，我采纳了您关于授权规则的建议：），但是在制定索赔规则时，我被卡在了一个部分上。我在添加转换索赔规则向导中，在ADFS管理索赔规则名称：Sales\u Force\u Test User’s Group中填写了如下字段：通过浏览Outgoing claim Type://这里我有点迷路了，所以我选择了“名称ID”传出名称ID格式：UPN传出声明值：不确定要在此处放置什么LOL，它不允许我在未安装此字段的情况下完成向导。任何帮助都将非常有用：）抱歉设置格式，由于某些原因，在堆栈溢出上发布时，我无法附加图像或正确设置文本格式