内部ユーザー認証
内部ユーザーとは、Dify エンタープライズ版のワークスペース内で登録されたメンバーまたは管理バックエンドから追加されたメンバーを指します。アイデンティティ認証メカニズムは、内部ユーザーが認可された後に Dify エンタープライズ版内のリソースにアクセスできることを保証します。
認証範囲の概要
Dify エンタープライズ版は、異なるユーザーロールとアクセスシナリオに対して差別化された認証方式を提供します:
| アクセス対象 | ユーザーロール | 認証方式 | セキュリティレベル |
|---|---|---|---|
| ワークスペース | 企業内部ユーザー | メールアドレス・パスワード、メールアドレス・認証コード、SSO | 高 |
| Web App | 企業内部ユーザー、特定グループユーザー | メールアドレス・パスワード、メールアドレス・認証コード、SSO | 中 |
認証方式の設定
システム管理者は 管理バックエンド → アイデンティティ認証 → メンバー認証 で、企業内部ユーザーがワークスペースや Web App にログインする際の認証方式を統一管理できます。
メールアドレスとパスワード認証
適用範囲:
- ワークスペース
- Web App
機能特徴:
- 従来のユーザー名・パスワードログイン方式
- 強力なパスワードポリシー設定をサポート
- すべてのユーザータイプに適用
設定手順:
- アイデンティティ認証 → メンバー認証 → メールアドレスとパスワード
- 右側のスイッチをクリックしてこの認証方式を有効化
- パスワードポリシーを設定(オプション):
- 最小長さ要件
- 複雑度要件(大文字・小文字・数字・特殊文字)
- パスワード有効期限
企業管理バックエンドでメールアドレス・パスワード認証を有効化
企業管理バックエンドでメールアドレス・パスワード認証を有効化
ユーザーログインページ表示
パスワードセキュリティ推奨事項:
- パスワード長を最低8文字に強制設定
- 大文字・小文字・数字・特殊文字を含める
- 定期的にユーザーにパスワード更新を促す
- 一般的な弱いパスワードを禁止
メールアドレスと認証コード認証
適用範囲:
- ワークスペース
- Web App
機能特徴:
- パスワードレスログイン方式
- メール認証に基づくワンタイム認証コード
- ユーザーの利便性を向上させ、パスワード管理の負担を軽減
設定手順:
- メールサービスプロバイダーが設定されていることを確認
- アイデンティティ認証 → メンバー認証 ページで「メールアドレスと認証コード」を有効化
- 認証コードパラメータを設定:
- 認証コード有効期限(推奨5-10分)
- 送信頻度制限
- 認証コードの長さとタイプ
企業管理バックエンドでメールアドレス・認証コード認証を有効化
企業管理バックエンドでメールアドレス・認証コード認証を有効化
認証コードログインページ
前提条件:
- SMTP メールサービスが設定済み
- メールサービスが安定して利用可能
- 有効なユーザーメールアドレス
シングルサインオン(SSO)
適用範囲:
- ワークスペース
- Web App
機能特徴:
- 企業の既存アイデンティティシステムとの統合
- OIDC、SAML、OAuth2 プロトコルをサポート
- 統一された企業アイデンティティ管理
- 自動ユーザー同期をサポート
設定手順:
- アイデンティティ認証 → メンバー認証 ページで「シングルサインオン(SSO)」を有効化
- アイデンティティプロバイダー情報を設定
- ユーザー属性マッピングを設定
- SSO 接続をテスト
企業管理バックエンドで SSO 認証を有効化
企業管理バックエンドで SSO 認証を有効化
SSO ログインページ
SSO を設定する際は、アイデンティティプロバイダーでコールバックアドレスを正しく設定する必要があります。ワークスペースと Web App のコールバックアドレスは異なりますのでご注意ください。
詳細な SSO 設定手順については、エンタープライズ SSO 設定ガイドをご参照ください。
アクセス権限管理
ワークスペース
システム管理者は システム設定 → アイデンティティ認証 → メンバー認証 で、メールアドレス・パスワード認証、メールアドレス・認証コード認証、シングルサインオン(SSO)認証方式を有効化できます。
ユーザーが Dify エンタープライズ版ワークスペースにアクセスする際、設定に応じて対応するアイデンティティ認証プロンプトが表示され、認証後にアクセスが許可されます。
ユーザー登録戦略:
以下は一般的なユーザー設定登録戦略です:
設定:
- 「ユーザーが自分でアカウントを登録することを許可」を有効化
- 「システムが自動的に個人スペースを作成することを許可」を有効化
特徴:
- ユーザーが自主的に登録してすぐに使用可能
- システムが自動的に個人ワークスペースを割り当て
- オープンな企業環境に適している
設定:
- 「ユーザーが自分でアカウントを登録することを許可」を有効化
- 「システムが自動的に個人スペースを作成することを許可」を有効化
特徴:
- ユーザーが自主的に登録してすぐに使用可能
- システムが自動的に個人ワークスペースを割り当て
- オープンな企業環境に適している
設定:
- 「ユーザーが自分でアカウントを登録することを許可」を無効化
- 「システムが自動的に個人スペースを作成することを許可」を有効化
特徴:
- 管理者が招待したユーザーのみ登録可能
- 登録後に自動的に個人スペースを作成
- 制御された企業環境に適している
設定:
- 「ユーザーが自分でアカウントを登録することを許可」を無効化
- 「システムが自動的に個人スペースを作成することを許可」を無効化
特徴:
- すべての操作で管理者の手動処理が必要
- 最高レベルのセキュリティ
- 高度に機密性の高い企業環境に適している
Web App
Web App の公開権限が プラットフォーム内全メンバー または プラットフォーム内指定グループ に設定されている場合、Web App にアクセスする際、システム管理者が「内部ユーザー認証」設定ページで有効化した認証方式(メールアドレス・パスワード、メールアドレス・認証コード、または SSO)が自動的に有効になります。ユーザーが Dify エンタープライズ版メンバーリストに含まれていない場合、アクセスできない旨が表示されます。
セキュリティベストプラクティス
認証戦略の推奨事項
複数の認証方式を有効化
- 統一アイデンティティ管理のために主に SSO を使用
- バックアップ方式としてメールアドレス・パスワードを保持
- 緊急アクセス用にメールアドレス・認証コードを使用
セッション管理
セッションセキュリティ設定:
- セッションタイムアウト:セキュリティ要件に基づいて7-30日を推奨
- 同時ログイン制限:同一アカウントの並行ログイン数を制限
- IP アドレスバインディング:高セキュリティ要件下で IP ホワイトリストを有効化
パスワードポリシー
強力なパスワード要件:
- 最低8文字、12文字以上を推奨
- 大文字・小文字・数字・特殊文字を含む
- 一般的な弱いパスワードや辞書語を禁止
- 定期的な強制パスワード更新(90-180日)
トラブルシューティング
よくある問題
企業ユーザー認証を適切に設定することで、セキュリティを確保しながら、企業ユーザーに便利な AI アプリケーション使用体験を提供できます。企業の具体的なセキュリティ要件とユーザー規模に基づいて、適切な認証戦略の組み合わせを選択することをお勧めします。