使用 Azure 配置 SAML
本篇文档将以 Azure Entra ID 作为 SSO 身份提供商为例,演示如何为 Dify 企业版开启 SAML 验证协议。通过启用此功能,企业版登录页将使用统一的身份认证入口以增强安全性。对于企业内部用户而言,无需输入复杂密码,使用组织账号登录即可通过验证,简化登录流程。
1. 在 Azure 中创建一个新的应用程序
访问 Azure 管理员后台页,导航到 Applications 页,轻点 New application。
选择 Create your own application,输入应用名称例如 dify,然后选择 Integrate any other application you don’t find in the gallery (Non-gallery),然后轻点 Create。
接下来需要为该应用程序分配可见成员,获得授权的 Azure 成员才能够被允许登录 Dify 企业版。选择应用程序左侧的 Users and groups,然后轻点 Add user/group。
2. 配置应用程序
点击应用左侧 Manage 下方的 Single sign-on 选项,然后选择 SAML 选项。
编辑 SAML 配置,在 Entity ID 和 Reply URL 字段内填写 Dify 企业版的 ACS URL。
系统管理员需要前往 Dify 企业版的 Authentication 页,轻点 ”+ New Identity Provider → New SAML Provider”,然后即可获取 ACS URL。
它通常为以下格式:
获取 ACS URL 后,切换回 Azure 应用程序页,在 SAML Certificates tab 栏中下载 Certificate;同时复制 set up 页的 Login URL。接下来需要将这两项参数填写至 Dify 企业版管理后台内。
进阶配置:编辑属性和声明
- 单击 Required claim 下的 Unique User Identifier (Name ID)。
- 将源属性修改为
user.mail。
3. 完成 Dify 企业版后台配置
系统管理员点击 Dify 企业版的 Authentication 页,轻点 ”+ New Identity Provider → New SAML Provider”,
- 在 IdP SSO URL 栏中填写 Azure 应用程序的 Login URL;
- 在 X509 Signing Certificate 栏中填写已下载 Certificate 文件中的内容;
4. 开启 SSO 强制认证
完成 SSO Provider 配置后,轻点 “Workspaces SSO” 或 “WebApp SSO” 右侧的开关按钮,为你的团队启用 SSO 认证。启用后,你的组织成员必须完成身份验证后才能访问 Dify 企业版中的资源。