认证范围概览
Dify 企业版针对不同的用户角色和访问场景提供差异化的认证方式:| 访问目标 | 用户角色 | 认证方式 | 安全级别 |
|---|---|---|---|
| 工作空间 | 企业内部用户 | 邮箱密码、邮箱验证码、SSO | 高 |
| Web App | 企业内部用户、特定分组用户 | 邮箱密码、邮箱验证码、SSO | 中 |
认证方式配置
系统管理员前往 管理后台 → 身份认证 → 成员认证 中统一管理企业内部用户登录工作空间和 Web App 时的认证方式。
邮箱与密码认证
适用范围:- 工作空间
- Web App
- 传统的用户名密码登录方式
- 支持强密码策略配置
- 适用于所有用户类型
- 身份认证 → 成员认证 → 邮箱与密码
- 点击右侧开关启用该认证方式
- 管理后台配置
- 用户登录界面

- 强制要求密码长度至少 8 位
- 包含大小写字母、数字和特殊字符
- 定期提醒用户更新密码
- 禁用常见弱密码
邮箱与验证码认证
适用范围:- 工作空间
- Web App
- 免密码登录方式
- 基于邮箱验证的一次性验证码
- 提高用户便利性,降低密码管理负担
- 确保已配置邮件服务提供商
- 在 身份认证 → 成员认证 页面启用 “邮箱与验证码”
- 配置验证码参数:
- 验证码有效期(建议 5-10 分钟)
- 发送频率限制
- 验证码长度和类型
- 管理后台配置
- 用户登录界面

- 已配置 SMTP 邮件服务
- 邮件服务稳定可用
- 用户邮箱地址有效
单点登录(SSO)
适用范围:- 工作空间
- Web App
- 与企业现有身份系统集成
- 支持 OIDC、SAML、OAuth2 协议
- 统一的企业身份管理
- 支持自动用户同步
- 在 身份认证 → 成员认证 页面启用 “单点登录(SSO)”
- 配置身份提供商信息
- 设置用户属性映射
- 测试 SSO 连接
- 管理后台配置
- 用户登录界面

访问权限管理
工作空间
系统管理员可以在 系统设置 → 身份认证 → 成员认证 中启用邮箱与密码认证、邮箱和验证码认证、单点登录(SSO)认证方式。
用户在访问 Dify 企业版工作空间时,将按照配置弹出对应身份验证提醒,通过后方可访问。
用户注册策略:
以下是常见的用户配置注册策略:
- 开放注册模式
- 邀请注册模式
- 完全受控模式
配置:
- 启用 “允许用户自行注册账户”
- 启用 “允许系统自动创建个人空间”
- 用户可自主注册并立即使用
- 系统自动分配个人工作空间
- 适用于开放的企业环境
Web App
当 Web App 的发布权限为 平台内所有全员 或 平台内指定分组 时,访问 Web App 时将自动启用系统管理员在“内部用户认证”设置页中启用的认证方式(邮箱密码、邮箱验证码或 SSO)。若用户不在 Dify 企业版成员列表内,将提示无法访问。安全最佳实践
认证策略建议
启用多种认证方式- 主要使用 SSO 统一身份管理
- 保留邮箱密码作为备用方式
- 邮箱验证码用于紧急访问
会话管理
会话安全配置:- 会话超时:建议设置 7-30 天,根据安全要求调整
- 同时登录限制:限制同一账户的并发登录数
- IP 地址绑定:高安全要求下可启用 IP 白名单
密码策略
强密码要求:- 最少 8 个字符,推荐 12 个字符以上
- 包含大小写字母、数字和特殊字符
- 禁用常见弱密码和字典词汇
- 定期强制更新密码(90-180 天)
故障排除
常见问题
访问 Web App 时,提示无权限访问
访问 Web App 时,提示无权限访问
可能原因:
- SSO 配置未启用
- 身份提供商配置错误
- 网络连接问题
用户无法登录,提示 'Authentication method not configured'
用户无法登录,提示 'Authentication method not configured'
原因分析:
系统管理员未启用任何认证方式,或所有认证方式都被禁用。解决方案:
- 检查 身份认证 → 成员认证 配置
- 至少启用一种认证方式
- 确认邮件服务配置正常(如使用邮箱验证码)
- 测试 SSO 连接状态(如使用 SSO)
邮箱验证码无法发送或接收
邮箱验证码无法发送或接收
可能原因:
- SMTP 邮件服务配置错误
- 邮件服务器连接问题
- 用户邮箱地址无效
- 邮件被垃圾邮件过滤
- 检查 SMTP 服务器配置和连接状态
- 验证邮件服务器认证信息
- 检查用户邮箱地址的有效性
- 提醒用户检查垃圾邮件文件夹
- 联系邮件服务提供商确认服务状态
SSO 登录失败或无法跳转
SSO 登录失败或无法跳转
可能原因:
- 身份提供商配置错误
- 回调地址设置不正确
- 用户在身份提供商中无权限
- 网络连接问题
- 检查身份提供商的配置信息
- 验证回调地址的正确性
- 确认用户在身份提供商中的状态和权限
- 测试与身份提供商的网络连接
- 查看系统日志获取详细错误信息


