1. 機能概要
Dify エンタープライズ版は、管理コンソールに 「メール+パスワード」「シングルサインオン(SSO)」 の2つのログイン方式をサポートしています。システム管理者は「ログイン設定」で必要に応じていずれかの方式を有効または無効にし、SSO アイデンティティプロバイダーの設定をワンストップで完了できます。設定は即座に有効となり、管理コンソールのログインページには現在利用可能なエントリのみが表示され、企業の異なるセキュリティと体験戦略を満たします。2. 設定説明
2.1 アクセスパス
管理コンソール > 設定 > ログイン設定
2.2 ログイン動作説明
| ログイン方式 | 条件 | 動作 |
|---|---|---|
| ローカルログイン | メールとパスワードログインが有効 | メールパスワードログイン |
| SSO ログイン | SSOログインが有効でアイデンティティプロバイダー設定が完了 | ログインページに「SSOでログイン」エントリを表示 |
| 初回 SSO ログイン | システムユーザー自動作成が有効の場合 | 自動作成してシステムにログイン |
注意:両方の方式を全て有効にすることも、いずれかのログイン方式を無効にすることもできますが、少なくともそのうち一つは有効状態である必要があります。
2.3 SSO アイデンティティプロバイダー設定説明
SAML、OIDC、OAuth2 プロトコルを通じて企業の既存アイデンティティシステムとの統合をサポートしています。 管理者は企業が実際に使用しているアイデンティティシステムに応じてプロトコルタイプを選択し、対応するフィールド(Client ID、Issuer URL、証明書など)を入力できます。 3つのプロトコルの設定方法は、認証モジュールの SSO 設定を参照してください:
- Okta
- Azure
- GitHub
ログイン設定ページのフォーム下部にあるコールバックアドレス情報を参照し、アイデンティティプロバイダープラットフォームに設定してください。
2.4 システムユーザー自動作成
このオプションを有効にすると、SSO で初回ログインするユーザーはシステムユーザーが自動作成され、事前にシステムで手動でアカウントを追加する必要がありません。- 作成されたユーザーは完全なシステム管理権限を持ちます;
- 現在のシステムにはロール管理機能がなく、すべてのユーザーの権限は同じです。
3. 注意事項
- アイデンティティプロバイダーの設定が成功する前に、SSO スイッチをオンにしないでください;
- システムはユーザーのログイン後の権限区分をサポートしておらず、すべてのシステムユーザーはデフォルトでスーパー管理者です。
4. よくある質問(FAQ)
Q1:設定 > ログイン設定 の SSO と 認証 > メンバー の SSO は何が違いますか?
両者のシングルサインオン機能は異なるユーザー群を対象としており、異なるログインシーンに適用されます:
-
管理バックエンドの SSO(
管理バックエンド > 設定 > ログイン設定) システム管理者(System Users)が管理バックエンドにアクセスするための認証方法を設定するために使用され、通常はシステム管理権限を持つ企業の技術者やプラットフォーム運営者を対象としています。 -
メンバー認証の SSO(
認証 > メンバー) ワークスペースメンバーや Web アプリケーションユーザーのアイデンティティ認証を設定するために使用され、業務端ユーザー、顧客、従業員などが業務ワークスペースや Web 製品のフロントエンドにアクセスするためのログインシーンに適用されます。
Q2:これらの2つの SSO 機能は企業の IdP(アイデンティティプロバイダー)側での設定にどのような違いがありますか?
管理バックエンドと業務アプリケーションのアイデンティティ認証を区別するため、企業の IdP で2つのアプリケーションをそれぞれ設定することをお勧めします:- バックエンド SSO 設定:管理バックエンドのアイデンティティ認証に使用され、システム管理権限を持つユーザー(管理者、DevOps、プラットフォーム運営者など)に割り当てられます;
- メンバー SSO 設定:ワークスペースや Web アプリケーションユーザーのアイデンティティ認証に使用され、一般メンバー、内部従業員、顧客ユーザーなどを対象とします。