应用访问权限管理
版本号 ≥ v2.6.0
仅 Workspace Owner、Admin、Editor 具备创建和发布应用的权限。关于各成员的权限,详细请参考成员权限管理。
创建应用后,默认情况下应用的权限选项为“特定组或成员”且范围留空,即表示不对任何成员开放。为确保数据安全,建议添加访问权限后再发布应用。
本文将介绍如何配置和管理应用的访问权限。
为应用添加访问权限
- 在应用编辑界面,点击右上角的 Publish 按钮。
- 点击发布页内的 Who can access web app 下方选项,为应用分配访问权限。
设置应用访问权限
Dify 提供了三种访问权限模式,你可以根据应用的使用场景选择合适的权限:
组织内任何人
选择该权限选项前,请确保已开启 WebApp SSO 设置。详细配置方法请参考认证方式 - WebApp 配置。
该权限仅限团队内的成员访问应用,通常适用于面向企业内部全体员工的应用。选择该权限后,其他成员在访问在线应用链接时,要求登录企业预设的 SSO 服务,通过验证后即可访问应用。
若已在 Dify EE 旧版本中已开启 WebApp SSO 设置,新版本升级后会把当前的 web app 的访问权限范围设置为”组织内任何人”。
特定组或成员
创建新应用时的默认权限选项,限制应用仅对团队中特定群组的成员开放,帮助开发者精确控制应用的访问权限。选择该权限项但尚未添加任何群组或成员时,应用处于无人可访问状态,无法生成应用的访问链接、获取应用嵌入代码。
配置方法:
- 允许特定群组访问
点击 Add 按钮添加特定群组,该群组内的全体成员将自动获取应用的访问权限。当群组内新增成员时,系统将自动授予该成员应用访问权限;当成员被从群组中移除时,系统将自动撤销其应用访问权限。
- 允许特定成员访问
被选中的成员将始终具备应用的访问权限,即便被移除出群组也具备应用访问权限;同群组内未被选中的成员无法访问应用。
当选择特定群组或成员访问但尚未添加任何群组或成员时,应用处于无人可访问状态,并且无法生成应用的访问链接、获取应用嵌入代码等操作。
Workspace Owner、Admin 和 Editor 拥有访问和编辑 Workspace 内所有应用的权限。但需注意,若该 Owner 或 Admin 未被添加到应用的访问权限列表,他们依然无法通过在线链接访问应用。
任何人
该选项将允许任何获得互联网链接的用户访问应用,通常适用于公开演示的应用、面向客户的服务或公开资源。
访问应用
团队成员可以在 Explorer 页面中查看和访问企业内对当其开放的所有应用。根据应用的权限配置,成员可能需要通过 SSO 登录验证后才能访问特定的应用。
其它应用发布选项
应用权限配置完成后,你还可以在应用发布面板中使用以下功能:
嵌入网站
获取嵌入代码,将应用嵌入到其他网站。
常见问题
是否需要重新发布应用才能使权限变更生效?
不需要。权限变更会立即生效,无需重新发布应用。但请注意,已获得访问权限的成员当前会话不会立即失效,可能需要等待会话过期后才会应用新的权限设置。
如何确保只有特定成员才能访问我的应用?
你可以选择”特定群组或成员”选项,然后添加需要授予访问权限的成员。
如何查看谁有权限访问我的应用?
你可以在应用的发布页面中的 Who can access web app(谁可以访问 Web 应用) 选项查看拥有当前应用访问权限的群组和成员列表。
调整应用访问权限后,是否会影响 API 调用?
不会。应用的 API 访问权限由 API Key 独立控制,与 Web 应用的访问权限无关。
只要确保 API Key 保持有效且未泄露,就可以正常通过 API 调用应用。即使更改了 Web 应用的访问权限设置,也不会影响已有 API Key 的调用权限。