1. 功能概述
Dify Enterprise 为管理后台提供两种登录方式:邮箱+密码 和 单点登录(SSO)。系统管理员可以在”登录设置”中根据需要启用或禁用任一方式,并在一个地方完成 SSO 身份提供商配置。配置立即生效,管理控制台登录页面仅显示当前可用的入口,满足不同企业的安全和体验策略。2. 配置说明
2.1 访问路径
管理后台 > 设置 > 登录设置
2.2 登录行为说明
| 登录方式 | 条件 | 行为 |
|---|---|---|
| 本地登录 | 邮箱和密码登录已启用 | 邮箱密码登录 |
| SSO 登录 | SSO 登录已启用且身份提供商已配置 | 登录页面显示”使用 SSO 登录”入口 |
| 首次 SSO 登录 | 启用自动系统用户创建时 | 自动创建并登录系统 |
注意:两种方式可以完全启用,或者可以禁用任一登录方式,但至少必须保留一种启用状态。
2.3 SSO 身份提供商配置说明
支持通过 SAML、OIDC 和 OAuth2 协议与现有企业身份系统集成。 管理员可以根据企业的实际身份系统选择协议类型,并填写相应字段(如 Client ID、Issuer URL、证书等)。 三种协议的配置方法可以在身份认证模块的 SSO 配置中找到:
- Okta
- Azure
- GitHub
登录设置页面表单底部的回调地址信息,并在您的身份提供商平台中进行配置。
2.4 自动系统用户创建
启用此选项后,首次通过 SSO 登录的用户将自动创建系统用户,无需事先在系统中手动添加账户。- 创建的用户将拥有完整的系统管理权限;
- 当前系统没有角色管理机制,所有用户具有相同权限。
3. 注意事项
- 在身份提供商配置成功之前,请勿启用 SSO 开关;
- 系统目前不支持用户登录后的权限区分,所有系统用户默认为超级管理员权限。
4. 常见问题 (FAQ)
Q1: 设置 > 登录设置 中的 SSO 和 身份认证 > 成员认证 中的 SSO 有什么区别?
单点登录功能针对不同的用户群体,适用于不同的登录场景:
-
登录设置 SSO (
管理后台 > 设置 > 登录设置) 用于配置系统管理员(系统用户)访问管理后台的认证方式,通常面向具有系统管理权限的企业技术人员或平台运维人员。 -
成员认证 SSO (
身份认证 > 成员认证) 用于配置工作空间成员或 Web 应用终端用户的身份认证,适用于业务终端用户、客户、员工等访问业务工作区或 Web 产品前台的登录场景。
Q2: 这两个 SSO 功能在企业 IdP(身份提供商)端的配置有什么区别?
为了区分管理控制台和业务应用的身份认证,建议在企业 IdP 中配置两个独立的应用程序:- 后台 SSO 配置:用于管理控制台的身份认证,分配给具有系统管理权限的用户(如管理员、DevOps、平台运营者);
- 成员 SSO 配置:用于工作空间或 Web 应用用户的身份认证,面向普通成员、内部员工、客户用户等。