1. Okta で新規アプリケーションを作成する
-
Okta 管理コンソールへアクセスし、Applications ページに移動します。Create App Integration ボタンをクリックし、OIDC ログイン方式と Web Application アプリケーションタイプを選択します。
-
画面の指示に従ってアプリケーション名を入力し、必要に応じて認可スコープなどを設定します。
Sign-in redirect URIsフィールドには Dify Enterprise の Callback URL を設定します(取得方法は下記を参照)。Sign-out redirect URIsフィールドは空のままにします。
2. Callback URL を取得する
有効にしたい SSO の範囲によって、Callback URL は異なります。システム管理者は Dify Enterprise の Callback URL を対応する GitHub OAuth2 アプリに入力し、設定を完了する必要があります。- Workspace
- WebApp
Dify Enterprise の Authentication ページを開き、Workspace Settings セクションにある 「+ New Identity Provider → New OAuth2 Provider」 をクリックし、下部に表示される Callback URL を確認します。
通常は以下の形式です:
通常は以下の形式です:- この URL を Okta アプリの Sign-in redirect URIs フィールドに貼り付けます。
3. OAuth2 認証を有効化する
3.1 Okta アプリケーションからの主要情報取得
-
Okta アプリケーションの “General” ページへ移動し、以下のフィールドをコピーしておきます。後で設定に使用します。
- Client ID
- Client secret
-
“Sign On” ページに切り替え、Issuer を固定リンクに変更します。
3.2 OAuth2 認証を設定する
Dify Enterprise の Authentication ページを開き、「+ New Identity Provider → New OAuth2 Provider」 をクリックして、以下の情報を順に入力してください。- Client ID
- Client Secrets
- Authorization Endpoint:
https://your-okta-issuer-url/oauth2/v1/authorize - Token Endpoint:
https://your-okta-issuer-url/login/oauth/access_token - User Info Endpoint:
https://your-okta-issuer-url/oauth2/v1/userinfo - Scopes:
openid,profile,email
your-okta-issuer-url の取得方法:上記手順を参照し、Okta OAuth2 アプリの Issuer URL を固定リンクに設定して情報をコピーしてください。Okta アプリから追加のフィールドを取得する方法については、Use of the Issuer をご覧ください。
4. SSO 強制認証を有効化(オプション)
システム管理者は、以下の 2 つのシナリオで SSO Enforcement オプションを有効にし、必須認証とすることができます。- Workspace:Dify Enterprise の Workspace ログイン時に認証を要求
- WebApp:この Dify Enterprise が作成したアプリケーションの利用時に認証を要求

