自动同步成员
同步成员
通过 SCIM 标准自动同步组织成员。版本号 ≥ v2.7.0
概述
Dify 企业版支持通过 SCIM(System for Cross-domain Identity Management)标准协议自动同步现有的部门/人员结构,帮助企业管理员高效管理大规模组织人员。
- 支持标准 SCIM 2.0 协议
- 自动同步用户信息和组织结构
- 支持多种主流身份提供商集成
- 在线自动更新成员变动
配置前准备
启用自动同步机制前,你需要进行以下准备:
- 获取系统管理员权限
- 了解组织正在使用的身份提供商类型,并拥有后台管理权限
配置步骤
1. 获取 SCIM 配置信息
1
进入同步设置页面
导航至企业管理后台,点击左侧菜单栏 成员 → 同步设置。
2
获取 SCIM 端点 URL
复制页面中显示的 SCIM 2.0 Base URL,此 URL 将用于身份提供商的配置。
3
生成认证令牌
- 点击”获取令牌”按钮
- 系统将生成 OAuth Bearer Token
认证令牌仅显示一次,请立即复制并妥善保存。如果遗失,需要重新生成新的令牌。
4
保存配置信息
将以下信息妥善保存,用于后续配置:
- SCIM Base URL
- OAuth Bearer Token
2. 配置身份提供商
根据你组织使用的身份提供商,选择相应的配置指南:
属性对应关系
Dify 功能与身份供应商内 SCIM 字段的属性对应关系:
| SCIM 资源类型 | Dify 功能 | 支持的操作 | 额外说明 |
|---|---|---|---|
| User | 成员(用户邮箱、用户名称、用户状态) | 创建 / 更新 / 停用 | 停用操作不会真实删除用户数据,成员在 Dify 企业版内的状态从 激活 改为 禁用,用户数据仍保留 |
| Group | 分组(名称、成员) | 创建 / 更新分组名称 / 更新成员 / 删除 | 删除操作会永久移除群组及其成员关系 |
3. 启用自动同步
前往管理后台,点击成员 → 右侧菜单按钮 → 自动同步 → 启用按钮。
自动同步并非实时进行,取决于身份供应商内应用程序的自动执行日期,你可以前往应用程序设置页查看自动同步历史记录。
重要提示
启用 SCIM 同步后,为确保数据一致性,身份提供商 (IdP) 将成为用户和群组管理的唯一数据来源。系统管理员无法手动添加用户、企业级 APIs 的部分功能也将受到限制。
功能限制
启用 SCIM 时:
- 请始终通过身份提供商 (IdP) 的管理界面来管理用户和组的生命周期(创建、更新、激活/停用、删除以及组成员关系)。
- 用户和群组管理必须通过身份提供商完成
- 企业级 APIs 仅支持只读操作,例如读取用户和组信息(GET 请求)
- 不支持成员自行注册
禁用 SCIM 时:
- 恢复企业级 APIs 完整操作范围
临时操作指南
如需通过企业级 APIs 进行临时修改,建议进行以下操作:
- 暂时禁用 SCIM
- 执行必要的 API 操作
- 重新启用 SCIM 并验证同步状态
此操作可能导致数据同步冲突,请谨慎执行。
如需查看完整的企业级 API 文档,请阅读企业级 APIs文档。