> ## Documentation Index
> Fetch the complete documentation index at: https://enterprise-docs.dify.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 使用 Okta 配置 OIDC

本篇文档将以 Okta 作为 SSO 身份提供商为例，演示如何为 Dify 企业版开启 OIDC 验证协议。

通过启用此功能，企业版登录页将使用统一的身份认证入口以增强安全性。对于企业内部用户而言，无需输入复杂密码，使用组织账号登录即可通过验证，简化登录流程。

> 本文将出现内部用户和外部用户的表述。现作出以下区分说明：
> 内部成员：在 Dify 企业版工作空间内注册或在管理后台添加的成员。
> 外部用户：未在 Dify 企业版内的成员

## 1. 在 Okta 中创建一个新的应用程序

1. 访问 Okta 的管理员后台页，导航到 Applications 页，轻点 Create App Integration 按钮。选择 OIDC 登录方法和 Web Application。
   ![](https://assets-docs.dify.ai/2025/02/21c12f61141314a3a942f3423086e5ef.png)

2. 按照页面提示填写应用名称、按照需求定义授权范围等信息。

* `Sign-in redirect URIs` 字段需填写 Dify 企业版 Callback URL，获取方法请参考[下文](#2-callback-url)。
* `Sign-out redirect URIs` 字段留空。

## 2. 获取Callback URL, 并配置 Okta 应用程序

根据所需要开启的 SSO 范围，**Callback URL 有所差异**。系统管理员需要将 Dify 企业版的 Callback URL 填写至对应的  Okta 的 OAuth2 应用程序内以完成创建流程。

<Tabs>
  <Tab title="Workspace">
    1. 点击 **管理后台** → **身份认证** → **成员认证** → **SSO 身份提供商** → **新建身份提供商** → **新建 OIDC 提供商**，在底部获取 Callback URL。

    它通常为以下格式：

    ```bash theme={null}
    https://[your-dify-enterprise-url]/console/api/enterprise/sso/oidc/callback
    ```
  </Tab>

  <Tab title="WebApp Members（面向内部用户）">
    1. 点击 **管理后台** → **身份认证** → **成员** → **SSO 身份提供商** → **新建身份提供商** → **新建 OIDC 提供商**，在底部获取 Callback URL。

    它通常为以下格式：

    ```bash theme={null}
    https://[your-app-url]/api/enterprise/sso/members/oidc/callback
    ```
  </Tab>

  <Tab title="WebApp External Users（面向外部用户）">
    1. 点击 **管理后台** → **身份认证** → **Web 应用** → **SSO 身份提供商** → **新建身份提供商** → **新建 OIDC 提供商**，在底部获取 Callback URL。

    它通常为以下格式：

    ```bash theme={null}
    https://[your-app-url]/api/enterprise/sso/oidc/callback
    ```
  </Tab>
</Tabs>

2. 将其粘贴到 Okta 应用中的 **Sign-in redirect URIs** 字段并保存应用程序。

## 3. 开启 OIDC 认证

### 3.1 在 Okta 应用程序中获取关键信息

1. 前往 Okta 应用程序的 "General" 页，找到以下字段：

   * Client ID
   * Client secret

   ![](https://assets-docs.dify.ai/2025/10/a5128a58f2f96f185ad74ecf267a2d73.jpg)

2. （可选）勾选 **代码交换证明密钥 (PKCE) → 要求 PKCE 作为附加验证**，然后点击 **保存**。勾选此选项后，Okta 将在交换授权码为令牌时强制验证 `code_verifier`，降低授权码拦截攻击风险。

3. 切换至 "Sign On" 页中找到 Issuer 字段，将 **Issuer** 切换为固定链接并复制信息。

![](https://assets-docs.dify.ai/2025/02/0cf3c5b1c3b662e48d65827ae3b34ca4.png)

### 3.2 配置 OAuth2 认证

访问 Dify 企业版 Authentication 页，轻点 **"+ New Identity Provider → New OAuth2 Provider"**，按照提示依次填写以下信息：

* **Issuer URL**
* **Client ID**
* **Client Secrets**
* 如果在 Okta 应用程序中启用了 PKCE 验证，您需要在窗口中启用 **PKCE 附加验证** 开关

## 4. 开启 SSO 强制认证（可选）

系统管理员打开以下两种场景的 **SSO Enforcement** 选项，开启强制认证：

* **Workspace**，登录 Dify 企业版 Workspace 时要求通过授权。
* **WebApp**， 使用由当前 Dify 企业版所创建的应用时，要求通过验证。

开启后，访问对应场景时将提示需获取访问授权。

<img src="https://assets-docs.dify.ai/2025/02/87bf868d0058723607311265a57888c5.png" width="400" />
