> ## Documentation Index
> Fetch the complete documentation index at: https://enterprise-docs.dify.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Web App 外部用户认证

该认证方式适用于发布权限为“经认证的外部用户”的 Web App。外部用户无需注册 Dify 企业版账户，通过认证后即可访问 Web App。

> 外部用户指的是未加入 Dify 企业版内的成员。

对于企业而言，启用该认证方式不仅可以限制应用访问，同时还可以通过第三方身份提供商监测和管理外部用户。

**使用场景**

少量 IT 人员搭建了面向企业内部员工的 AI 助手，但并非所有成员都加入到了 Dify 企业版系统内，但共同位于第三方身份提供商内的成员列表内。此时可以开启 Web App 外部用户认证，通过认证后即可允许 Dify 企业版系统之外的用户进行访问。

该认证方式适用于向客户、合作伙伴或其他外部用户提供 AI 服务的场景。

## 认证流程

<Steps>
  <Step title="用户访问">
    用户通过浏览器访问 Web 应用链接
  </Step>

  <Step title="自动跳转">
    系统自动将用户重定向到配置的 SSO 登录页面
  </Step>

  <Step title="身份验证">
    用户在第三方身份提供商处完成身份验证
  </Step>

  <Step title="授权回调">
    验证成功后，系统将用户重定向回应用
  </Step>

  <Step title="开始使用">
    用户直接进入 Web 应用界面，开始使用服务
  </Step>
</Steps>

## 配置步骤

### 前置条件

在开始配置之前，请确保：

* 已部署 Dify 企业版
* 具有系统管理员权限
* 已准备好第三方 SSO 身份提供商

### 步骤 1：配置 SSO 身份提供商

1. 登录 **Dify 企业管理后台**
2. 导航至 **身份认证** → **Web 应用外部用户**
3. 在 "SSO 身份提供商" 区域点击 **配置** 按钮

<Frame>
  <img src="https://assets-docs.dify.ai/2025/06/a738885cd51b088a2292742d03b6f271.png" alt="Web App 外部用户认证配置界面" />
</Frame>

根据不同的身份提供商进行配置，详细说明请参考[配置 SSO 认证](/zh/3.5.x/administer/sso/introduction)。

### 步骤 2：启用外部用户认证

1. 在配置完成后，找到 **启用 SSO** 开关
2. 将开关切换至 **开启** 状态

<Info>
  若已配置 SSO 但未开启认证，Web app 发布权限中的 **经认证的外部用户** 选项将被暂时禁用。如需了解更多关于 Web app 发布权限的配置，请参考 [应用访问权限管理](/zh/3.5.x/use/application-publishing/permission-management)。
</Info>

### 步骤 3：测试认证配置

1. 发布 Web App 时将权限范围设置为 **经认证的外部用户**。
2. 将 Web App 的 URL 发送至外部用户。
3. 验证是否正确跳转到 SSO 登录页面。
4. 使用测试账户完成登录流程。
5. 确认能够正常访问 Web App。

## 常见问题

<Accordion title="访问 Web App 时，提示无权限访问">
  **可能原因：**

  * SSO 配置未启用
  * 身份提供商配置错误
  * 网络连接问题

  **解决方案：**

  1. 请联系系统管理员前往 **系统设置** → **身份认证** → **Web App 外部用户验证** 检查 SSO 认证是否正确配置并开启。
  2. 确认该用户已添加至第三方身份提供商的成员列表内。
</Accordion>

<Accordion title="无法跳转到 SSO 登录页面">
  **可能原因：**

  * SSO 配置未启用
  * 身份提供商配置错误
  * 网络连接问题

  **解决方案：**

  1. 检查 SSO 是否已启用
  2. 验证身份提供商配置信息
  3. 测试网络连接和 DNS 解析
  4. 查看系统错误日志
</Accordion>

<Accordion title="SSO 登录后无法返回 Web 应用">
  **可能原因：**

  * 回调地址配置错误
  * 令牌验证失败
  * 用户权限不足

  **解决方案：**

  1. 检查身份提供商中的回调地址设置。请前往 **管理后台** → **身份认证** → **Web 应用外部用户** 获取回调地址。
  2. 验证客户端密钥是否正确
  3. 确认用户在身份提供商中的权限
</Accordion>

<Accordion title="部分用户无法通过 SSO 认证">
  **可能原因：**

  * 用户账户被禁用
  * 权限组配置问题
  * 属性映射不匹配

  **解决方案：**

  1. 在身份提供商中检查用户状态
  2. 验证用户的组织架构和权限分配
  3. 调整属性映射规则
</Accordion>
