跳转到主要内容

1. 功能概述

Dify Enterprise 为管理后台提供两种登录方式:邮箱+密码单点登录(SSO)。系统管理员可以在”登录设置”中根据需要启用或禁用任一方式,并在一个地方完成 SSO 身份提供商配置。配置立即生效,管理控制台登录页面仅显示当前可用的入口,满足不同企业的安全和体验策略。

2. 配置说明

2.1 访问路径

管理后台 > 设置 > 登录设置

2.2 登录行为说明

登录方式条件行为
本地登录邮箱和密码登录已启用邮箱密码登录
SSO 登录SSO 登录已启用且身份提供商已配置登录页面显示”使用 SSO 登录”入口
首次 SSO 登录启用自动系统用户创建时自动创建并登录系统
注意:两种方式可以完全启用,或者可以禁用任一登录方式,但至少必须保留一种启用状态。

2.3 SSO 身份提供商配置说明

支持通过 SAML、OIDC 和 OAuth2 协议与现有企业身份系统集成。 管理员可以根据企业的实际身份系统选择协议类型,并填写相应字段(如 Client ID、Issuer URL、证书等)。 三种协议的配置方法可以在身份认证模块的 SSO 配置中找到: 注意:不同表单底部有不同的回调地址。请参考登录设置页面表单底部的回调地址信息,并在您的身份提供商平台中进行配置。

2.4 自动系统用户创建

启用此选项后,首次通过 SSO 登录的用户将自动创建系统用户,无需事先在系统中手动添加账户。
  • 创建的用户将拥有完整的系统管理权限;
  • 当前系统没有角色管理机制,所有用户具有相同权限。

3. 注意事项

  • 在身份提供商配置成功之前,请勿启用 SSO 开关;
  • 系统目前不支持用户登录后的权限区分,所有系统用户默认为超级管理员权限。

4. 常见问题 (FAQ)

Q1: 设置 > 登录设置 中的 SSO 和 身份认证 > 成员认证 中的 SSO 有什么区别?

单点登录功能针对不同的用户群体,适用于不同的登录场景:
  • 登录设置 SSO (管理后台 > 设置 > 登录设置) 用于配置系统管理员(系统用户)访问管理后台的认证方式,通常面向具有系统管理权限的企业技术人员或平台运维人员。
  • 成员认证 SSO (身份认证 > 成员认证) 用于配置工作空间成员或 Web 应用终端用户的身份认证,适用于业务终端用户、客户、员工等访问业务工作区或 Web 产品前台的登录场景。

Q2: 这两个 SSO 功能在企业 IdP(身份提供商)端的配置有什么区别?

为了区分管理控制台和业务应用的身份认证,建议在企业 IdP 中配置两个独立的应用程序:
  • 后台 SSO 配置:用于管理控制台的身份认证,分配给具有系统管理权限的用户(如管理员、DevOps、平台运营者);
  • 成员 SSO 配置:用于工作空间或 Web 应用用户的身份认证,面向普通成员、内部员工、客户用户等。
每个应用程序应使用独立的回调地址(Redirect URI)和信任设置,以确保权限隔离和认证准确性。