Dify 企業版は組織メンバーに対して強制的なシングルサインオン(SSO)を実施することをサポートしています。これを有効にすると、チーム内のメンバーは Microsoft Entra ID、Okta、Auth0、OneLogin などのアイデンティティプロバイダーを通じて Dify 企業プラットフォームにログインする必要があります。

システム管理人は Authentication ページで対応するプロトコルを選択し、パラメータを設定するだけで、Dify 企業版により安全な認証システムを導入することができます。OpenID Connect (OIDC)、SAML、および OAuth2 プロトコルをサポートしています。

SSO の適用範囲

Dify 企業版の SSO 認証システムは、以下の2つの異なる範囲のシングルサインオン(SSO)設定オプションを提供します:

Workspace SSO

  • ユーザーが Dify 企業版プラットフォーム自体にアクセスする方法を制御します。
  • 有効にすると、すべてのユーザーは指定されたアイデンティティプロバイダー(IdP)を通じて認証を受ける必要があります。

Web App SSO

  • Dify 企業版プラットフォーム内で作成された Web アプリケーションへのユーザーアクセスを制御します。
  • 有効にすると、Dify 企業版プラットフォームで作成された Web アプリケーションにアクセスする前に、ユーザーはアイデンティティプロバイダー(IDP)を通じて認証を受ける必要があります。この設定はグローバルオプションであり、特定の WebApp のアクセス権を個別に制御することは一時的にできません。特定の WebApp のアクセス権を制御するには、FAQを参照してください。

注意事項

セキュリティ上の理由から、一部のアイデンティティプロバイダー(IDP)は iframe ページでの SSO 認証を無効にすることがあります。これにより、WebApp が他のウェブページに埋め込まれる場合に影響を与える可能性があります。アイデンティティプロバイダー(IDP)の CSP: frame-ancestors 設定を確認して、この機能が正常に有効になっていることを確認する必要があります。詳細については、このドキュメントを参照してください。

以下は、異なる IDP 供給者が提供する差別化されたセキュリティポリシーです:

  • Azure EntraID はセキュリティ上の理由から、SSO ログインページが iframe ページに埋め込まれることを明確に許可していません。
  • Okta は SSO ログインページの埋め込みを許可しています。詳細については Oktaの公式ドキュメントを参照してください。

SSO 認証の設定

管理人は、Okta、OneLogin、または Azure Active Directory (Azure AD) などのさまざまなアイデンティティプロバイダーと Dify 企業版を簡単に統合できます。Dify 企業版は、OIDC 要件を満たす任意のアイデンティティプロバイダーまたは SAML アイデンティティプロバイダーと連携することができます。

以下の SSO プロバイダー設定ガイドを参照してください:

セッションタイムアウト制限の設定

このオプションは、組織メンバーのセッション持続時間を設定するためのものです。この時間を超えると、システムはメンバーに再度アイデンティティプロバイダーを通じて認証を受けるように促し、Dify 企業版リソースへのアクセス権を再取得する必要があります。

デフォルト値は 7 日です。

SSO 認証の有効化

SSO Enforcement セクションの青いボタンをクリックして SSO 認証を有効にします。管理人は Workspace または Web App のログイン認証を有効にすることができます。

FAQ

詳細な説明については、FAQ を参照してください。