我们希望通过 Salesforce.com 进行 SSO。从他们的文档中，我们发现此选项“委托(delegate)身份验证”可以满足我们的需求。基本上，当给定用户名和密码时，Salesforce.com 会向原始组织发起 Web 服务调用以对其进行验证。

我们正在考虑通过以下方式实现这一点 - 我们的用户将使用用户 ID 和密码登录我们的系统，我们将对其进行身份验证。然后，当他们必须访问 Salesforce.com 时，我们会将用户名和 cookie(我们从身份验证中获得)提供给 Salesforce.com，然后 Salesforce.com 将在 Web 服务调用中将这些传递给我们的组织，我们将能够进行验证使用此 cookie 的用户。

有没有人尝试过/听说过这种方法？是否有任何已知的限制。任何帮助，将不胜感激。

这是使用委派身份验证时的常用方法，主要问题是如果您的 DA 监听器仅接受身份验证 cookie，则无法从网站以外的应用程序(例如移动应用程序、数据加载程序等)登录到 salesforce。您可以编写 DA 监听器以接受身份验证 cookie 或密码并以这种方式工作，或者您可以查看许多应用程序现在支持的基于 SAML 的较新功能。