SSO認証設定
SSO 認証紹介
Dify エンタープライズ版は、組織メンバーに対して強制シングルサインオン(SSO)の実施をサポートしています。有効化後、チーム内のメンバーはアイデンティティプロバイダー(例:Microsoft Entra ID、Okta、GitHub などの認証プロバイダー)を通じて Dify エンタープライズプラットフォームにログインする必要があります。
システム管理者は Authentication ページで対応するプロトコルを選択し、パラメータを設定するだけで、Dify エンタープライズ版により安全なアイデンティティ認証システムを有効化できます。OpenID Connect (OIDC)、SAML、OAuth2 プロトコルをサポートしています。
SSO の適用範囲
ユーザーの対象範囲に応じて、Dify エンタープライズ版の SSO 認証システムは以下の2つの異なる範囲のシングルサインオン(SSO)設定オプションを提供しています:内部ユーザー
内部ユーザーとは、Dify エンタープライズ版ワークスペース内で登録されたメンバーまたは管理バックエンドで追加されたメンバーを指します。Workspace
- ユーザーが Dify エンタープライズ版ワークスペースにアクセスする方法を制御します。
- 有効化後、すべてのユーザーは任意のワークスペースに入る前に、指定したアイデンティティプロバイダー(IDP)を通じてアイデンティティ認証を行う必要があります。
- 内部ユーザーが Dify エンタープライズ版プラットフォーム内で作成された Web App にアクセスすることを制御します。
- 有効化後、内部ユーザーは Dify エンタープライズ版プラットフォームで作成された任意の Web アプリケーションにアクセスする前に、アイデンティティプロバイダー(IdP)を通じてアイデンティティ認証を行い、認証後にアクセスが許可されます。この設定はグローバルオプションで、現在は個別の WebApp の開放/閉鎖権限を個別に制御することはできません。個別の Webapp に対する人員権限グループ化を有効化する必要がある場合は、アプリケーションアクセス権限管理をご参照ください。
Workspace と Webapp SSO の Callback URL は異なりますので、ご注意ください。
外部ユーザー
外部ユーザーとは、Dify エンタープライズ版に参加していないメンバーを指します。Web App
- 外部ユーザーは SSO 認証後、Dify エンタープライズ版プラットフォーム内で作成された Web アプリケーションにアクセスできます。
- 有効化後、ユーザーは Dify エンタープライズ版で作成された任意の Web アプリケーションにアクセスする前に、アイデンティティプロバイダー(IdP)を通じてアイデンティティ認証を行い、認証後にアクセスが許可されます。
この権限範囲の Web App Callback URL は、内部ユーザー向けの Web App とは異なりますので、ご注意ください。⚠️ 注意事項 セキュリティ上の理由から、一部のアイデンティティプロバイダー(IDP)では iframe ページ内での SSO 認証の有効化を禁止しています。これは WebApp を他の Web ページに埋め込む状況に影響する可能性があり、アイデンティティプロバイダー(IDP)の CSP: frame-ancestors 設定を確認して、この機能が正常に有効化されることを保証する必要があります。詳細説明についてはこちらの文書をご参照ください。 以下は、異なる IDP プロバイダーが提供する差別化されたセキュリティポリシーです:
- Azure EntraID は、セキュリティ問題により、SSO ログインページが iframe ページに埋め込まれることを明確に許可していません。
- Okta は SSO ログインページの埋め込みを許可するよう設定されています。詳細説明については Okta 公式文書をご参照ください。
SSO 認証の設定
管理者は、Dify エンタープライズ版を Okta、OneLogin、Azure Active Directory (Azure AD) などの様々なアイデンティティプロバイダーと簡単に統合できます。Dify エンタープライズ版は、OIDC 要件に準拠する任意の SAML アイデンティティプロバイダーと組み合わせて使用できます。 以下の SSO プロバイダー設定ガイドをご参照ください:- Okta
- Azure
- GitHub