内部用户指的是已在 Dify 企业版工作空间内注册或在管理后台添加的成员。身份认证机制确保确保内部用户经过授权后访问 Dify 企业版内的资源。

认证范围概览

Dify 企业版针对不同的用户角色和访问场景提供差异化的认证方式:

访问目标用户角色认证方式安全级别
工作空间企业内部用户邮箱密码、邮箱验证码、SSO
Web App企业内部用户、特定分组用户邮箱密码、邮箱验证码、SSO

认证方式配置

系统管理员前往 管理后台身份认证成员认证 中统一管理企业内部用户登录工作空间和 Web App 时的认证方式。

邮箱与密码认证

适用范围:

  • 工作空间
  • Web App

功能特点:

  • 传统的用户名密码登录方式
  • 支持强密码策略配置
  • 适用于所有用户类型

配置步骤:

  1. 身份认证成员认证邮箱与密码
  2. 点击右侧开关启用该认证方式
  3. 配置密码策略(可选):
    • 最小长度要求
    • 复杂度要求(大小写、数字、特殊字符)
    • 密码过期时间

企业管理后台开启邮箱密码认证

密码安全建议:

  • 强制要求密码长度至少 8 位
  • 包含大小写字母、数字和特殊字符
  • 定期提醒用户更新密码
  • 禁用常见弱密码

邮箱与验证码认证

适用范围:

  • 工作空间
  • Web App

功能特点:

  • 免密码登录方式
  • 基于邮箱验证的一次性验证码
  • 提高用户便利性,降低密码管理负担

配置步骤:

  1. 确保已配置邮件服务提供商
  2. 身份认证成员认证 页面启用 “邮箱与验证码”
  3. 配置验证码参数:
    • 验证码有效期(建议 5-10 分钟)
    • 发送频率限制
    • 验证码长度和类型

企业管理后台开启邮箱验证码认证

前置条件:

  • 已配置 SMTP 邮件服务
  • 邮件服务稳定可用
  • 用户邮箱地址有效

单点登录(SSO)

适用范围:

  • 工作空间
  • Web App

功能特点:

  • 与企业现有身份系统集成
  • 支持 OIDC、SAML、OAuth2 协议
  • 统一的企业身份管理
  • 支持自动用户同步

配置步骤:

  1. 身份认证成员认证 页面启用 “单点登录(SSO)”
  2. 配置身份提供商信息
  3. 设置用户属性映射
  4. 测试 SSO 连接

企业管理后台开启 SSO 认证

配置 SSO 时,需要在身份提供商中正确设置回调地址。工作空间和 Web App 的回调地址不同,请注意区分。

详细的 SSO 配置说明请参考 企业 SSO 配置指南

访问权限管理

工作空间

系统管理员可以在 系统设置身份认证成员认证 中启用邮箱与密码认证、邮箱和验证码认证、单点登录(SSO)认证方式。

用户在访问 Dify 企业版工作空间时,将按照配置弹出对应身份验证提醒,通过后方可访问。

用户注册策略:

以下是常见的用户配置注册策略:

配置:

  • 启用 “允许用户自行注册账户”
  • 启用 “允许系统自动创建个人空间”

特点:

  • 用户可自主注册并立即使用
  • 系统自动分配个人工作空间
  • 适用于开放的企业环境

Web App

当 Web App 的发布权限为 平台内所有全员平台内指定分组 时,访问 Web App 时将自动启用系统管理员在“内部用户认证”设置页中启用的认证方式(邮箱密码、邮箱验证码或 SSO)。若用户不在 Dify 企业版成员列表内,将提示无法访问。

安全最佳实践

认证策略建议

启用多种认证方式

  • 主要使用 SSO 统一身份管理
  • 保留邮箱密码作为备用方式
  • 邮箱验证码用于紧急访问

会话管理

会话安全配置:

  • 会话超时:建议设置 7-30 天,根据安全要求调整
  • 同时登录限制:限制同一账户的并发登录数
  • IP 地址绑定:高安全要求下可启用 IP 白名单

密码策略

强密码要求:

  • 最少 8 个字符,推荐 12 个字符以上
  • 包含大小写字母、数字和特殊字符
  • 禁用常见弱密码和字典词汇
  • 定期强制更新密码(90-180 天)

故障排除

常见问题

通过合理配置企业内部用户认证,可以在保障安全性的同时,为企业用户提供便捷的 AI 应用使用体验。建议根据企业的具体安全要求和用户规模,选择合适的认证策略组合。