Okta
Okta を使用した OAuth2 の設定
本ドキュメントでは、Okta を SSO(Single Sign-On)のアイデンティティプロバイダーとして使用し、Dify Enterprise Edition で OAuth2 認証を有効にする手順を示します。
この機能を有効にすると、Enterprise Edition のログインページは統合された認証ポータルを利用し、セキュリティが強化されます。社内ユーザーは複雑なパスワードを入力する必要がなく、組織アカウントを使ってログインすることで認証を簡素化できます。
1. Okta で新規アプリケーションを作成する
-
Okta 管理コンソールへアクセスし、Applications ページに移動します。Create App Integration ボタンをクリックし、OIDC ログイン方式と Web Application アプリケーションタイプを選択します。
-
画面の指示に従ってアプリケーション名を入力し、必要に応じて認可スコープなどを設定します。
Sign-in redirect URIsフィールドには Dify Enterprise の Callback URL を設定します(取得方法は下記を参照)。Sign-out redirect URIsフィールドは空のままにします。
2. Callback URL を取得する
有効にしたい SSO の範囲によって、Callback URL は異なります。システム管理者は Dify Enterprise の Callback URL を対応する GitHub OAuth2 アプリに入力し、設定を完了する必要があります。Dify Enterprise の Authentication ページを開き、Workspace Settings セクションにある 「+ New Identity Provider → New OAuth2 Provider」 をクリックし、下部に表示される Callback URL を確認します。
通常は以下の形式です:
通常は以下の形式です:- この URL を Okta アプリの Sign-in redirect URIs フィールドに貼り付けます。
3. OAuth2 認証を有効化する
3.1 Okta アプリケーションからの主要情報取得
-
Okta アプリケーションの “General” ページへ移動し、以下のフィールドをコピーしておきます。後で設定に使用します。
- Client ID
- Client secret
-
“Sign On” ページに切り替え、Issuer を固定リンクに変更します。
3.2 OAuth2 認証を設定する
Dify Enterprise の Authentication ページを開き、「+ New Identity Provider → New OAuth2 Provider」 をクリックして、以下の情報を順に入力してください。- Client ID
- Client Secrets
- Authorization Endpoint:
https://your-okta-issuer-url/oauth2/v1/authorize - Token Endpoint:
https://your-okta-issuer-url/login/oauth/access_token - User Info Endpoint:
https://your-okta-issuer-url/oauth2/v1/userinfo - Scopes:
openid,profile,email
your-okta-issuer-url の取得方法:上記手順を参照し、Okta OAuth2 アプリの Issuer URL を固定リンクに設定して情報をコピーしてください。Okta アプリから追加のフィールドを取得する方法については、Use of the Issuer をご覧ください。
4. SSO 強制認証を有効化(オプション)
システム管理者は、以下の 2 つのシナリオで SSO Enforcement オプションを有効にし、必須認証とすることができます。- Workspace:Dify Enterprise の Workspace ログイン時に認証を要求
- WebApp:この Dify Enterprise が作成したアプリケーションの利用時に認証を要求