このドキュメントでは、OktaをSSOアイデンティティプロバイダーとして使用し、SAMLプロトコルを使用してDifyエンタプライス版に接続する方法を説明します。

1. Oktaで新しいアプリケーションを作成する

  1. Oktaの管理人バックエンドページにアクセスし、Applicationsページに移動してCreate App Integrationボタンをクリックします。

  1. 次に “SAML 2.0” アプリケーションタイプを選択します。

  1. Nextをクリックすると、Configure SAMLページにナビゲートされます。この部分ではいくつかのパラメータを入力する必要があります。少し待って、新しいブラウザタブを開き、以下のガイドに従って必要な情報を取得し、入力を続けてください。

2. Oktaアプリケーションの設定

システム管理人は、Difyエンタプライス版のCallback URLをOktaアプリケーションに入力する必要があります。

  1. Difyエンタプライス版のAuthenticationページをクリックし、**”+ New Identity Provider → New SAML Provider”**をクリックすると、ACS URLが表示されます。

    通常、以下の形式になります:

    https://[your-dify-enterprise-url]/console/api/enterprise/sso/saml/acs

  2. これをConfigure SAMLページのSingle sign-on URLとAudience URI (SP Entity ID)フィールドに貼り付けます。

  3. URLを入力した後、以下の設定を完了します:

    • Name IDフォーマットをEmailAddressに設定
    • “Show Advanced Settings”の下で、レスポンスとアサーションの署名がSignedに設定されていることを確認

  4. “Next”ボタンをクリックして設定を完了します。

3. Difyでの設定を完了する

  1. まず、Oktaアプリケーションの “Sign On” ページに移動し、以下の情報を見つけます:

    • Sign-on URL
    • Signing certificate

  2. 次に “Assignments” ページで、SSOログインを許可するメンバーを割り当てます。

  3. 最後に Difyエンタプライス版の Authentication ページに戻り、”+ New Identity Provider → New SAML Provider” をクリックし、前述の情報を順に入力して設定を完了します。

    X509 Signing Certificate を入力する際は、以下の形式を参考にしてください:

    -----BEGIN CERTIFICATE-----
{certificate}
-----END CERTIFICATE-----

4. SSO 強制認証を有効にする

OIDC Provider の設定が完了したら、“Workspaces SSO” の右側にあるスイッチボタンをクリックして、チームのために SSO 認証を有効にします。

有効にすると、組織のメンバーは Difyエンタプライス版のリソースにアクセスする前に認証を完了する必要があります。