身元認証
内部ユーザー認証
内部ユーザーとは、Dify エンタープライズ版のワークスペース内で登録されたメンバーまたは管理バックエンドから追加されたメンバーを指します。アイデンティティ認証メカニズムは、内部ユーザーが認可された後に Dify エンタープライズ版内のリソースにアクセスできることを保証します。
パスワードセキュリティ推奨事項:
前提条件:
詳細な SSO 設定手順については、エンタープライズ SSO 設定ガイドをご参照ください。
ユーザーが Dify エンタープライズ版ワークスペースにアクセスする際、設定に応じて対応するアイデンティティ認証プロンプトが表示され、認証後にアクセスが許可されます。
ユーザー登録戦略:
以下は一般的なユーザー設定登録戦略です:
企業ユーザー認証を適切に設定することで、セキュリティを確保しながら、企業ユーザーに便利な AI アプリケーション使用体験を提供できます。企業の具体的なセキュリティ要件とユーザー規模に基づいて、適切な認証戦略の組み合わせを選択することをお勧めします。
認証範囲の概要
Dify エンタープライズ版は、異なるユーザーロールとアクセスシナリオに対して差別化された認証方式を提供します:| アクセス対象 | ユーザーロール | 認証方式 | セキュリティレベル |
|---|---|---|---|
| ワークスペース | 企業内部ユーザー | メールアドレス・パスワード、メールアドレス・認証コード、SSO | 高 |
| Web App | 企業内部ユーザー、特定グループユーザー | メールアドレス・パスワード、メールアドレス・認証コード、SSO | 中 |
認証方式の設定
システム管理者は 管理バックエンド → アイデンティティ認証 → メンバー認証 で、企業内部ユーザーがワークスペースや Web App にログインする際の認証方式を統一管理できます。
メールアドレスとパスワード認証
適用範囲:- ワークスペース
- Web App
- 従来のユーザー名・パスワードログイン方式
- 強力なパスワードポリシー設定をサポート
- すべてのユーザータイプに適用
- アイデンティティ認証 → メンバー認証 → メールアドレスとパスワード
- 右側のスイッチをクリックしてこの認証方式を有効化
企業管理バックエンドでメールアドレス・パスワード認証を有効化
- パスワード長を最低8文字に強制設定
- 大文字・小文字・数字・特殊文字を含める
- 定期的にユーザーにパスワード更新を促す
- 一般的な弱いパスワードを禁止
メールアドレスと認証コード認証
適用範囲:- ワークスペース
- Web App
- パスワードレスログイン方式
- メール認証に基づくワンタイム認証コード
- ユーザーの利便性を向上させ、パスワード管理の負担を軽減
- メールサービスプロバイダーが設定されていることを確認
- アイデンティティ認証 → メンバー認証 ページで「メールアドレスと認証コード」を有効化
- 認証コードパラメータを設定:
- 認証コード有効期限(推奨5-10分)
- 送信頻度制限
- 認証コードの長さとタイプ
企業管理バックエンドでメールアドレス・認証コード認証を有効化
- SMTP メールサービスが設定済み
- メールサービスが安定して利用可能
- 有効なユーザーメールアドレス
シングルサインオン(SSO)
適用範囲:- ワークスペース
- Web App
- 企業の既存アイデンティティシステムとの統合
- OIDC、SAML、OAuth2 プロトコルをサポート
- 統一された企業アイデンティティ管理
- 自動ユーザー同期をサポート
- アイデンティティ認証 → メンバー認証 ページで「シングルサインオン(SSO)」を有効化
- アイデンティティプロバイダー情報を設定
- ユーザー属性マッピングを設定
- SSO 接続をテスト
企業管理バックエンドで SSO 認証を有効化
SSO を設定する際は、アイデンティティプロバイダーでコールバックアドレスを正しく設定する必要があります。ワークスペースと Web App のコールバックアドレスは異なりますのでご注意ください。
アクセス権限管理
ワークスペース
システム管理者は システム設定 → アイデンティティ認証 → メンバー認証 で、メールアドレス・パスワード認証、メールアドレス・認証コード認証、シングルサインオン(SSO)認証方式を有効化できます。
ユーザーが Dify エンタープライズ版ワークスペースにアクセスする際、設定に応じて対応するアイデンティティ認証プロンプトが表示され、認証後にアクセスが許可されます。
ユーザー登録戦略:
以下は一般的なユーザー設定登録戦略です:
設定:
- 「ユーザーが自分でアカウントを登録することを許可」を有効化
- 「システムが自動的に個人スペースを作成することを許可」を有効化
- ユーザーが自主的に登録してすぐに使用可能
- システムが自動的に個人ワークスペースを割り当て
- オープンな企業環境に適している
Web App
Web App の公開権限が プラットフォーム内全メンバー または プラットフォーム内指定グループ に設定されている場合、Web App にアクセスする際、システム管理者が「内部ユーザー認証」設定ページで有効化した認証方式(メールアドレス・パスワード、メールアドレス・認証コード、または SSO)が自動的に有効になります。ユーザーが Dify エンタープライズ版メンバーリストに含まれていない場合、アクセスできない旨が表示されます。セキュリティベストプラクティス
認証戦略の推奨事項
複数の認証方式を有効化- 統一アイデンティティ管理のために主に SSO を使用
- バックアップ方式としてメールアドレス・パスワードを保持
- 緊急アクセス用にメールアドレス・認証コードを使用
セッション管理
セッションセキュリティ設定:- セッションタイムアウト:セキュリティ要件に基づいて7-30日を推奨
- 同時ログイン制限:同一アカウントの並行ログイン数を制限
- IP アドレスバインディング:高セキュリティ要件下で IP ホワイトリストを有効化
パスワードポリシー
強力なパスワード要件:- 最低8文字、12文字以上を推奨
- 大文字・小文字・数字・特殊文字を含む
- 一般的な弱いパスワードや辞書語を禁止
- 定期的な強制パスワード更新(90-180日)
トラブルシューティング
よくある問題
Web App にアクセスする際、アクセス権限なしと表示される
Web App にアクセスする際、アクセス権限なしと表示される
考えられる原因:
- SSO 設定が有効化されていない
- アイデンティティプロバイダー設定エラー
- ネットワーク接続問題
ユーザーがログインできず、'Authentication method not configured' と表示される
ユーザーがログインできず、'Authentication method not configured' と表示される
原因分析:
システム管理者が認証方式を有効化していない、またはすべての認証方式が無効化されています。解決方法:
- アイデンティティ認証 → メンバー認証 設定を確認
- 少なくとも1つの認証方式を有効化
- メールサービス設定が正常であることを確認(メールアドレス認証コードを使用する場合)
- SSO 接続状態をテスト(SSO を使用する場合)
メールアドレス認証コードが送信または受信できない
メールアドレス認証コードが送信または受信できない
考えられる原因:
- SMTP メールサービス設定エラー
- メールサーバー接続問題
- 無効なユーザーメールアドレス
- スパムメールフィルタリング
- SMTP サーバー設定と接続状態を確認
- メールサーバー認証情報を検証
- ユーザーメールアドレスの有効性を確認
- ユーザーにスパムフォルダーの確認を促す
- メールサービスプロバイダーに連絡してサービス状態を確認
SSO ログインが失敗またはリダイレクトできない
SSO ログインが失敗またはリダイレクトできない
考えられる原因:
- アイデンティティプロバイダー設定エラー
- コールバックアドレス設定が正しくない
- アイデンティティプロバイダーでのユーザー権限不足
- ネットワーク接続問題
- アイデンティティプロバイダーの設定情報を確認
- コールバックアドレスの正確性を検証
- アイデンティティプロバイダーでのユーザー状態と権限を確認
- アイデンティティプロバイダーとのネットワーク接続をテスト
- システムログで詳細なエラー情報を確認