> ## Documentation Index
> Fetch the complete documentation index at: https://enterprise-docs.dify.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 内部用户认证

内部用户指的是已在 Dify 企业版工作空间内注册或在管理后台添加的成员。身份认证机制确保确保内部用户经过授权后访问 Dify 企业版内的资源。

## 认证范围概览

Dify 企业版针对不同的用户角色和访问场景提供差异化的认证方式：

| 访问目标        | 用户角色          | 认证方式           | 安全级别 |
| ----------- | ------------- | -------------- | ---- |
| **工作空间**    | 企业内部用户        | 邮箱密码、邮箱验证码、SSO | 高    |
| **Web App** | 企业内部用户、特定分组用户 | 邮箱密码、邮箱验证码、SSO | 中    |

## 认证方式配置

系统管理员前往 **管理后台** → **身份认证** → **成员认证** 中统一管理企业内部用户登录工作空间和 Web App 时的认证方式。

![](https://assets-docs.dify.ai/2025/06/6b8cf5d9a048fc463c59bc8b41665d2a.png)

### 邮箱与密码认证

**适用范围：**

* 工作空间
* Web App

**功能特点：**

* 传统的用户名密码登录方式
* 支持强密码策略配置
* 适用于所有用户类型

**配置步骤：**

1. **身份认证** → **成员认证** → **邮箱与密码**
2. 点击右侧开关启用该认证方式

<Tabs>
  <Tab title="管理后台配置">
    <Frame caption="企业管理后台开启邮箱密码认证">
      <img src="https://assets-docs.dify.ai/2025/06/6ebe7dbbdc394d94b3f45dbc4b615a1d.png" alt="邮箱密码认证配置界面" />
    </Frame>
  </Tab>

  <Tab title="用户登录界面">
    <Frame caption="用户登录页面显示">
      <img src="https://assets-docs.dify.ai/2025/04/14e603662ca00daf80762f57a228e57c.png" alt="用户登录界面" />
    </Frame>
  </Tab>
</Tabs>

**密码安全建议：**

* 强制要求密码长度至少 8 位
* 包含大小写字母、数字和特殊字符
* 定期提醒用户更新密码
* 禁用常见弱密码

### 邮箱与验证码认证

**适用范围：**

* 工作空间
* Web App

**功能特点：**

* 免密码登录方式
* 基于邮箱验证的一次性验证码
* 提高用户便利性，降低密码管理负担

**配置步骤：**

1. 确保已配置邮件服务提供商
2. 在 **身份认证** → **成员认证** 页面启用 "邮箱与验证码"
3. 配置验证码参数：
   * 验证码有效期（建议 5-10 分钟）
   * 发送频率限制
   * 验证码长度和类型

<Tabs>
  <Tab title="管理后台配置">
    <Frame caption="企业管理后台开启邮箱验证码认证">
      <img src="https://assets-docs.dify.ai/2025/06/7729d5b4e299f11f089c0d73045308e1.png" alt="邮箱验证码认证配置界面" />
    </Frame>
  </Tab>

  <Tab title="用户登录界面">
    <Frame caption="验证码登录页面">
      <img src="https://assets-docs.dify.ai/2025/04/2572a20174e7b9fa85817dca02bba937.png" alt="验证码登录界面" />
    </Frame>
  </Tab>
</Tabs>

**前置条件：**

* 已配置 SMTP 邮件服务
* 邮件服务稳定可用
* 用户邮箱地址有效

### 单点登录（SSO）

**适用范围：**

* 工作空间
* Web App

**功能特点：**

* 与企业现有身份系统集成
* 支持 OIDC、SAML、OAuth2 协议
* 统一的企业身份管理
* 支持自动用户同步

**配置步骤：**

1. 在 **身份认证** → **成员认证** 页面启用 "单点登录（SSO）"
2. 配置身份提供商信息
3. 设置用户属性映射
4. 测试 SSO 连接

<Tabs>
  <Tab title="管理后台配置">
    <Frame caption="企业管理后台开启 SSO 认证">
      <img src="https://assets-docs.dify.ai/2025/06/b8e0836b5179a4127d611926f9a1a34d.png" alt="SSO 认证配置界面" />
    </Frame>
  </Tab>

  <Tab title="用户登录界面">
    <Frame caption="SSO 登录页面">
      <img src="https://assets-docs.dify.ai/2025/04/32db3fc352c7ba40eb4343fd5f6229e5.png" alt="SSO 登录界面" />
    </Frame>
  </Tab>
</Tabs>

<Warning>
  配置 SSO 时，需要在身份提供商中正确设置回调地址。工作空间和 Web App 的**回调地址不同**，请注意区分。
</Warning>

详细的 SSO 配置说明请参考 [企业 SSO 配置指南](/zh/3.5.x/administer/sso/introduction)。

## 访问权限管理

### 工作空间

系统管理员可以在 **系统设置** → **身份认证** → **成员认证** 中启用邮箱与密码认证、邮箱和验证码认证、单点登录（SSO）认证方式。

![](https://assets-docs.dify.ai/2025/06/6b8cf5d9a048fc463c59bc8b41665d2a.png)

用户在访问 Dify 企业版工作空间时，将按照配置弹出对应身份验证提醒，通过后方可访问。

**用户注册策略：**

以下是常见的用户配置注册策略：

<Tabs>
  <Tab title="开放注册模式">
    **配置：**

    * 启用 "允许用户自行注册账户"
    * 启用 "允许系统自动创建个人空间"

    **特点：**

    * 用户可自主注册并立即使用
    * 系统自动分配个人工作空间
    * 适用于开放的企业环境
  </Tab>

  <Tab title="邀请注册模式">
    **配置：**

    * 禁用 "允许用户自行注册账户"
    * 启用 "允许系统自动创建个人空间"

    **特点：**

    * 仅允许管理员邀请的用户注册
    * 注册后自动创建个人空间
    * 适用于受控的企业环境
  </Tab>

  <Tab title="完全受控模式">
    **配置：**

    * 禁用 "允许用户自行注册账户"
    * 禁用 "允许系统自动创建个人空间"

    **特点：**

    * 所有操作需管理员手动处理
    * 最高安全级别
    * 适用于高度敏感的企业环境
  </Tab>
</Tabs>

### Web App

当 Web App 的发布权限为 **平台内所有全员** 或 **平台内指定分组** 时，访问 Web App 时将自动启用系统管理员在“内部用户认证”设置页中启用的认证方式（邮箱密码、邮箱验证码或 SSO）。若用户不在 Dify 企业版成员列表内，将提示无法访问。

## 安全最佳实践

### 认证策略建议

**启用多种认证方式**

* 主要使用 SSO 统一身份管理
* 保留邮箱密码作为备用方式
* 邮箱验证码用于紧急访问

### 会话管理

**会话安全配置：**

* **会话超时**：建议设置 7-30 天，根据安全要求调整
* **同时登录限制**：限制同一账户的并发登录数
* **IP 地址绑定**：高安全要求下可启用 IP 白名单

### 密码策略

**强密码要求：**

* 最少 8 个字符，推荐 12 个字符以上
* 包含大小写字母、数字和特殊字符
* 禁用常见弱密码和字典词汇
* 定期强制更新密码（90-180 天）

## 故障排除

### 常见问题

<Accordion title="访问 Web App 时，提示无权限访问">
  **可能原因：**

  * SSO 配置未启用
  * 身份提供商配置错误
  * 网络连接问题

  **解决方案：**
  请联系系统管理员前往 **系统设置** → **身份认证** → **Web App 外部用户验证** 检查 SSO 认证是否正确配置并开启。
</Accordion>

<Accordion title="用户无法登录，提示 'Authentication method not configured'">
  **原因分析：**
  系统管理员未启用任何认证方式，或所有认证方式都被禁用。

  **解决方案：**

  1. 检查 **身份认证** → **成员认证** 配置
  2. 至少启用一种认证方式
  3. 确认邮件服务配置正常（如使用邮箱验证码）
  4. 测试 SSO 连接状态（如使用 SSO）
</Accordion>

<Accordion title="邮箱验证码无法发送或接收">
  **可能原因：**

  * SMTP 邮件服务配置错误
  * 邮件服务器连接问题
  * 用户邮箱地址无效
  * 邮件被垃圾邮件过滤

  **解决方案：**

  1. 检查 SMTP 服务器配置和连接状态
  2. 验证邮件服务器认证信息
  3. 检查用户邮箱地址的有效性
  4. 提醒用户检查垃圾邮件文件夹
  5. 联系邮件服务提供商确认服务状态
</Accordion>

<Accordion title="SSO 登录失败或无法跳转">
  **可能原因：**

  * 身份提供商配置错误
  * 回调地址设置不正确
  * 用户在身份提供商中无权限
  * 网络连接问题

  **解决方案：**

  1. 检查身份提供商的配置信息
  2. 验证回调地址的正确性
  3. 确认用户在身份提供商中的状态和权限
  4. 测试与身份提供商的网络连接
  5. 查看系统日志获取详细错误信息
</Accordion>

通过合理配置企业内部用户认证，可以在保障安全性的同时，为企业用户提供便捷的 AI 应用使用体验。建议根据企业的具体安全要求和用户规模，选择合适的认证策略组合。
