このドキュメントでは、OktaをSSOアイデンティティプロバイダーとして使用し、SAMLプロトコルを使用してDifyエンタープライズ版に接続する方法を説明します。

1. Oktaで新しいアプリケーションを作成する

  1. Oktaの管理人バックエンドページにアクセスし、Applicationsページに移動してCreate App Integrationボタンをクリックします。
  1. 次に “SAML 2.0” アプリケーションタイプを選択します。
  1. Nextをクリックすると、Configure SAMLページにナビゲートされます。この部分ではいくつかのパラメータを入力する必要があります。少し待って、新しいブラウザタブを開き、以下のガイドに従って必要な情報を取得し、入力を続けてください。

2. Oktaアプリケーションの設定

システム管理人は、Difyエンタープライズ版のCallback URLをOktaアプリケーションに入力する必要があります。
  1. Difyエンタープライズ版のAuthenticationページをクリックし、**”+ New Identity Provider → New SAML Provider”**をクリックすると、ACS URLが表示されます。 通常、以下の形式になります: 
    https://[your-dify-enterprise-url]/console/api/enterprise/sso/saml/acs
  2. これをConfigure SAMLページのSingle sign-on URLとAudience URI (SP Entity ID)フィールドに貼り付けます。
  3. URLを入力した後、以下の設定を完了します:
    • Name IDフォーマットをEmailAddressに設定
    • “Show Advanced Settings”の下で、レスポンスとアサーションの署名がSignedに設定されていることを確認
  4. “Next”ボタンをクリックして設定を完了します。

3. Difyでの設定を完了する

  1. まず、Oktaアプリケーションの “Sign On” ページに移動し、以下の情報を見つけます:
    • Sign-on URL
    • Signing certificate
  2. 次に “Assignments” ページで、SSOログインを許可するメンバーを割り当てます。
  3. 最後に Difyエンタープライズ版の Authentication ページに戻り、”+ New Identity Provider → New SAML Provider” をクリックし、前述の情報を順に入力して設定を完了します。 X509 Signing Certificate を入力する際は、以下の形式を参考にしてください: 
    -----BEGIN CERTIFICATE-----
{certificate}
-----END CERTIFICATE-----

4. SSO 強制認証を有効にする

OIDC Provider の設定が完了したら、“Workspaces SSO” の右側にあるスイッチボタンをクリックして、チームのために SSO 認証を有効にします。 有効にすると、組織のメンバーは Difyエンタープライズ版のリソースにアクセスする前に認証を完了する必要があります。