> ## Documentation Index
> Fetch the complete documentation index at: https://enterprise-docs.dify.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 单点登录

## 1. 功能简介

为提升系统安全性与企业级身份统一管理能力，管理后台现已支持单点登录（SSO）功能。通过配置企业的身份提供商，管理员可实现统一的登录入口，简化用户管理流程，避免重复维护账号和密码。

系统支持三种身份认证协议：**SAML**、**OIDC**、**OAuth2**。

## 2. 操作说明

### 2.1 访问路径

`管理后台 > 设置 > 单点登录`。
![](https://assets-docs.dify.ai/2025/07/ceb8c488bc34bd3590c6349d413f3dcd.png)

### 2.2 启用 / 关闭 SSO 功能

在 SSO 页面中，管理员可以通过开关启用或关闭系统的 SSO 登录能力。

* 启用后，登录页将展示“使用 SSO 登录”入口；
* 关闭后，系统将不再显示 SSO 登录选项，但本地账户登录方式仍可使用，不受影响。

### 2.3 配置身份提供商

支持通过 SAML、OIDC、OAuth2 协议与企业现有身份系统集成。

管理员可根据企业实际使用的身份系统，选择协议类型，并填写对应字段（如 Client ID、Issuer URL、证书等）。

三种协议的配置方式可参 `身份认证`模块中的 SSO 配置：

* Okta
  * [使用 Okta 配置 OIDC](/versions/2-8-x/zh-cn/administrator-guide/sso/okta/oidc)
  * [使用 Okta 配置 SAML](/versions/2-8-x/zh-cn/administrator-guide/sso/okta/saml)
  * [使用 Okata 配置OAuth2](/versions/2-8-x/zh-cn/administrator-guide/sso/okta/oauth2)
* Azure
  * [使用 Azure 配置 SAML](/versions/2-8-x/zh-cn/administrator-guide/sso/azure/saml)
* GitHub
  * [使用 GitHub 配置 OAuth2](/versions/2-8-x/zh-cn/administrator-guide/sso/github/oauth2)

提示：请参考页面中的回调地址信息，将其配置至您的身份提供商平台。

### 2.4 自动创建系统用户

启用该选项后，首次通过 SSO 登录的用户将**自动创建系统用户**，无需预先在系统中手动添加账号。

* 创建的用户将具备完整的系统管理权限；
* 当前系统无角色管理机制，所有用户权限一致。

## 3. 登录行为说明

| 登录方式      | 条件                | 行为                 |
| --------- | ----------------- | ------------------ |
| 本地登录      | 始终保留              | 账号密码登录             |
| SSO 登录    | 启用 SSO 且身份提供商配置完成 | 登录页展示“使用 SSO 登录”入口 |
| 首次 SSO 登录 | 自动创建系统用户启用时       | 自动创建并登录系统          |

## 4. 注意事项

* 身份提供商配置成功前，请勿开启 SSO 开关；
* 系统暂不支持用户登录后的权限区分，所有系统用户默认为超级管理员。

以下是优化后的 FQA 内容，采用更专业、清晰的企业级 SaaS 产品帮助文档风格，更符合 Web 应用平台的表述规范：

***

## 5. 常见问题（FAQ）

### Q1：`管理后台 > 设置` 中的 SSO 与 `身份认证 > 成员认证` 中的 SSO 有何区别？

两者的单点登录功能面向不同用户群体，适用于不同登录场景：

* **管理后台的 SSO**（`管理后台 > 设置 > 单点登录`）
  用于配置系统管理员（System Users）访问**管理后台**的认证方式，通常面向具备系统管理权限的企业技术人员或平台运营人员。

* **成员认证的 SSO**（`身份认证 > 成员认证`）
  用于配置工作空间成员或 Web 应用端用户的身份认证，适用于业务端用户、客户、员工等访问**业务工作区或 Web 产品前台**的登录场景。

### Q2：这两个 SSO 功能在企业 IdP（身份提供商）端的配置有何不同？

为了区分管理后台与业务应用的身份认证，建议在企业 IdP 中分别配置两个应用：

* **后台 SSO 配置**：用于管理后台的身份认证，分配给具备系统管理权限的用户（如管理员、DevOps、平台运营人员）；
* **成员 SSO 配置**：用于工作空间或 Web 应用用户的身份认证，面向普通成员、内部员工、客户用户等。

每个应用应使用独立的回调地址（Redirect URI）和信任设置，以保证权限隔离与认证准确性。
