> ## Documentation Index
> Fetch the complete documentation index at: https://enterprise-docs.dify.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 登录设置

## 1. 功能概述

Dify Enterprise 为管理后台提供两种登录方式：**邮箱+密码** 和 **单点登录(SSO)**。系统管理员可以在"登录设置"中根据需要启用或禁用任一方式，并在一个地方完成 SSO 身份提供商配置。配置立即生效，管理控制台登录页面仅显示当前可用的入口，满足不同企业的安全和体验策略。

## 2. 配置说明

### 2.1 访问路径

`管理后台 > 设置 > 登录设置`

![](https://assets-docs.dify.ai/2025/10/b9bcb62d86bc03d729fdd202aeeb9e58.jpg)

### 2.2 登录行为说明

| 登录方式      | 条件                 | 行为                  |
| --------- | ------------------ | ------------------- |
| 本地登录      | 邮箱和密码登录已启用         | 邮箱密码登录              |
| SSO 登录    | SSO 登录已启用且身份提供商已配置 | 登录页面显示"使用 SSO 登录"入口 |
| 首次 SSO 登录 | 启用自动系统用户创建时        | 自动创建并登录系统           |

> 注意：两种方式可以完全启用，或者可以禁用任一登录方式，但至少必须保留一种启用状态。

## 2.3 SSO 身份提供商配置说明

支持通过 SAML、OIDC 和 OAuth2 协议与现有企业身份系统集成。

管理员可以根据企业的实际身份系统选择协议类型，并填写相应字段（如 Client ID、Issuer URL、证书等）。

三种协议的配置方法可以在`身份认证`模块的 SSO 配置中找到：

* Okta
  * [使用 Okta 配置 OIDC](/zh/3.10.x/administer/sso/okta/oidc)
  * [使用 Okta 配置 SAML](/zh/3.10.x/administer/sso/okta/saml)
  * [使用 Okta 配置 OAuth2](/zh/3.10.x/administer/sso/okta/oauth2)
* Azure
  * [使用 Azure 配置 SAML](/zh/3.10.x/administer/sso/azure/saml)
* GitHub
  * [使用 GitHub 配置 OAuth2](/zh/3.10.x/administer/sso/github/oauth2)

注意：不同表单底部有不同的回调地址。请参考`登录设置`页面表单底部的回调地址信息，并在您的身份提供商平台中进行配置。

### 2.4 自动系统用户创建

启用此选项后，首次通过 SSO 登录的用户将**自动创建系统用户**，无需事先在系统中手动添加账户。

* 创建的用户将拥有完整的系统管理权限；
* 当前系统没有角色管理机制，所有用户具有相同权限。

## 3. 注意事项

* 在身份提供商配置成功之前，请勿启用 SSO 开关；
* 系统目前不支持用户登录后的权限区分，所有系统用户默认为超级管理员权限。

***

## 4. 常见问题 (FAQ)

### Q1: `设置 > 登录设置` 中的 SSO 和 `身份认证 > 成员认证` 中的 SSO 有什么区别？

单点登录功能针对不同的用户群体，适用于不同的登录场景：

* **登录设置 SSO** (`管理后台 > 设置 > 登录设置`)
  用于配置系统管理员（系统用户）访问**管理后台**的认证方式，通常面向具有系统管理权限的企业技术人员或平台运维人员。

* **成员认证 SSO** (`身份认证 > 成员认证`)
  用于配置工作空间成员或 Web 应用终端用户的身份认证，适用于业务终端用户、客户、员工等访问**业务工作区或 Web 产品前台**的登录场景。

### Q2: 这两个 SSO 功能在企业 IdP（身份提供商）端的配置有什么区别？

为了区分管理控制台和业务应用的身份认证，建议在企业 IdP 中配置两个独立的应用程序：

* **后台 SSO 配置**：用于管理控制台的身份认证，分配给具有系统管理权限的用户（如管理员、DevOps、平台运营者）；
* **成员 SSO 配置**：用于工作空间或 Web 应用用户的身份认证，面向普通成员、内部员工、客户用户等。

每个应用程序应使用独立的回调地址（Redirect URI）和信任设置，以确保权限隔离和认证准确性。
