> ## Documentation Index
> Fetch the complete documentation index at: https://enterprise-docs.dify.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 権限範囲と制限

> 外部 SSO セッションでできること・できないこと、追加アクセスの申請方法

外部 SSO でサインインすると、`difyctl` は会社の Dify ホスト上であなたの企業 ID を表す制限付きセッションを保持します。このセッションには、管理者が付与したアクセス権だけが含まれます。

## できること

* **実行を許可されたアプリの確認。** [`difyctl get app`](/ja/3.11.x/develop/cli/reference/apps#アプリを一覧表示) は、ホスト上のすべてのアプリではなく、管理者が許可したアプリを一覧表示します。
* **アプリの入力の確認。** [`describe app`](/ja/3.11.x/develop/cli/reference/apps#アプリを確認) は、許可されたアプリのタイプと、期待される入力を表示します。これにより、正しい呼び出しを組み立てられます。
* **許可されたアプリの実行。** [`run app`](/ja/3.11.x/develop/cli/reference/apps#アプリを実行) はアプリを呼び出し、レスポンスを出力します。アカウントユーザーの場合と同じ動作です。
* **一時停止したワークフローの再開。** 実行したワークフローが [人間の入力を待って一時停止](/ja/3.11.x/develop/cli/reference/apps#ワークフローが一時停止する場合) した場合、[`resume app`](/ja/3.11.x/develop/cli/reference/apps#一時停止したワークフローを再開) で続行できます。
* **ローカルでの操作。** [`auth whoami`](/ja/3.11.x/develop/cli/reference/auth-and-contexts#現在の認証情報を確認)、[`version`](/ja/3.11.x/develop/cli/reference/version)、[`help`](/ja/3.11.x/develop/cli/reference/help) には特別なアクセス権は不要です。

## できないこと

付与されたアプリの実行が、セッションの権限範囲のすべてです。`difyctl` のそれ以外の機能には手が届きません。

* **ワークスペースなし。** 外部 SSO セッションはワークスペースに紐付かないため、[`get workspace`](/ja/3.11.x/develop/cli/reference/workspaces) と `use workspace` は適用されず、`--workspace` フラグも同様です。
* **許可されたアプリを超えた閲覧は不可。** `get app` は管理者が付与したアプリのみを返し、`-A`（すべてのワークスペース）は適用されません。ホスト上の他のアプリを一覧表示したり、アクセスしたりはできません。
* **アプリのエクスポートやインポートは不可。**
* **ワークスペースやメンバーの管理は不可。**

## 権限エラーの表示

権限範囲外の操作を試みると、サーバーは HTTP 403 で拒否します。`difyctl` はこれを `server_4xx_other` エラー、終了コード `1` として報告します。

これはサインインの拒否とは異なります。`access_denied`（終了コード `4`）は、コマンドが権限範囲を外れたことではなく、ブラウザのステップで承認そのものが拒否されたことを意味します。完全なスキームは [出力フォーマットと終了コード](/ja/3.11.x/develop/cli/reference/output-formats-and-exit-codes) を参照してください。

## 追加アクセスの申請

リストにないアプリや、権限範囲外の機能が必要な場合は、Dify 管理者に依頼してください。アクセス権は管理者側で付与されるため、管理者が更新するまでは、再度サインインしてもセッションが到達できる範囲は変わりません。
