> ## Documentation Index
> Fetch the complete documentation index at: https://enterprise-docs.dify.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 使用 Azure 配置 SAML

本篇文档将以 Azure Entra ID 作为 SSO 身份提供商为例，演示如何为 Dify 企业版开启 SAML 验证协议。通过启用此功能，企业版登录页将使用统一的身份认证入口以增强安全性。对于企业内部用户而言，无需输入复杂密码，使用组织账号登录即可通过验证，简化登录流程。

## 1. 在 Azure 中创建一个新的应用程序

访问 Azure 管理员后台页，导航到 Applications 页，轻点 New application。

![](https://assets-docs.dify.ai/2024/11/4f52715ff661e6c9430af09b4b2a4736.png)

选择 **Create your own application**，输入应用名称例如 dify，然后选择 **Integrate any other application you don't find in the gallery (Non-gallery)**，然后轻点 Create。

![](https://assets-docs.dify.ai/2024/11/b823ecfaa94d18ba0ac794cc0290dc7f.png)

接下来需要为该应用程序分配可见成员，获得授权的 Azure 成员才能够被允许登录 Dify 企业版。选择应用程序左侧的 **Users and groups**，然后轻点 **Add user/group**。

![](https://assets-docs.dify.ai/2024/11/ed3c6f5de21c75e2261bf05d055ffb9e.png)

## 2. 配置应用程序

点击应用左侧 Manage 下方的 Single sign-on 选项，然后选择 SAML 选项。

![](https://assets-docs.dify.ai/2024/11/7a5f653e751bf20c01c7eb53cc79ddde.png)

编辑 SAML 配置，在 **Entity ID** 和 **Reply URL** 字段内填写 Dify 企业版的 ACS URL。

<div style={{ display: 'flex', gap: '20px' }}>
  <Frame>
    <img src="https://assets-docs.dify.ai/2024/11/639bb89e402f8f20078d6c7a14ca0297.png" alt="Image 1" />
  </Frame>

  <Frame>
    <img src="https://assets-docs.dify.ai/2024/11/236a4995e4fe338d12b41993fc237611.png" alt="Image 2" />
  </Frame>
</div>

系统管理员需要前往 Dify 企业版的 Authentication 页，轻点 **"+ New Identity Provider → New SAML Provider"**，然后即可获取 ACS URL。

![](https://assets-docs.dify.ai/2024/11/f66303a3902d7fff58c76228f6485386.png)

它通常为以下格式：

```bash theme={null}
https://[your-dify-enterprise-url]/console/api/enterprise/sso/oidc/callback
```

获取 ACS URL 后，切换回 Azure 应用程序页，在 SAML Certificates tab 栏中下载 Certificate；同时复制 set up 页的 Login URL。接下来需要将这两项参数填写至 Dify 企业版管理后台内。

![](https://assets-docs.dify.ai/2024/11/ab7e3bd7067858ec4627d1d863244e81.png)

### 进阶配置：编辑属性和声明

1. 单击 **Required claim** 下的 **Unique User Identifier (Name ID)**。

![](https://assets-docs.dify.ai/2024/11/97a46bf1b5264ef72ad4b202fdf2a772.png)

2. 将源属性修改为 `user.mail`。

![](https://assets-docs.dify.ai/2024/11/183dd293f17f87081ac4c2390b583fb0.png)

## 3. 完成 Dify 企业版后台配置

系统管理员点击 Dify 企业版的 Authentication 页，轻点 **"+ New Identity Provider → New SAML Provider"**，

* 在 IdP SSO URL 栏中填写 Azure 应用程序的 Login URL；
* 在 X509 Signing Certificate 栏中填写已下载 Certificate 文件中的内容；

![](https://assets-docs.dify.ai/2024/11/556e3d68efbc742711e4313534a2e95c.png)

## 4. 开启 SSO 强制认证

完成 SSO Provider 配置后，轻点 **"Workspaces SSO"** 或 **"WebApp SSO"** 右侧的开关按钮，为你的团队启用 SSO 认证。启用后，你的组织成员必须完成身份验证后才能访问 Dify 企业版中的资源。
