Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

SSO 集成配置:SAML / OIDC 协议选择、IdP 配置参数、用户权限映射规则

SSO 集成通常是合作伙伴交付里最容易被低估的工作,因为它不只是“能不能登录”,还涉及用户标识、角色映射、组织同步和退出登录行为。

这一题的公开资料不像部署文档那么集中,但仍然有两个可靠来源:一是 Enterprise 侧关于认证能力的公开说明,二是社区围绕 Dify Enterprise 登录认证的经验文章。也就是说,这一题已经足够支撑一版培训稿,但如果你们内部有固定支持的 IdP 类型和字段映射模板,后续仍然值得补充。

一、从公开资料能确认的 SSO 培训边界

1. SSO 不是单纯的登录按钮配置

公开经验文章已经明确指出,Enterprise 登录认证涉及协议选择、IdP 配置、字段映射与用户进入后的权限边界。因此培训时必须把“认证成功之后系统如何识别与授权”一起讲清。

2. OIDC 与 SAML 的选择取决于企业现有身份基础设施

这一点虽然不是 Dify 独有,但在企业交付里非常关键:如果客户已经有现代化 OAuth / OIDC 体系,OIDC 更自然;如果客户是传统企业 IdP 体系,SAML 往往更常见。

3. 这一题公开资料能确认框架,但细节往往需要内部模板

公开资料已经足够说明方向与培训重点,但像 Okta、Azure AD、Google Workspace、Keycloak 等具体字段示例,通常还是要靠你们内部交付模板补上。

二、协议选择

  • OIDC:现代应用接入更常见,和 OAuth 生态更接近
  • SAML:在传统企业与部分既有 IdP 环境中仍然常见

三、培训重点

学员应掌握:

  • IdP 元数据 / issuer / client id / secret / redirect uri 各自作用
  • 测试环境与生产环境回调地址不能混用
  • 用户唯一标识字段用什么

四、权限映射建议

至少明确:

  • 登录后创建什么角色
  • 新用户默认进哪个 workspace
  • 是否允许按部门自动映射权限

五、需要补充的部分

如果你们内部已有具体支持的 SSO 页面、字段截图和某个 IdP(如 Okta / Azure AD)的对接模板,建议后续补进这里。

公开资料线索

note.com

  • Keycloakを少しずつ | https://note.com/noritux/n/na1dbd9b6cde8

zenn.dev / 官方文档 / 其他公开页面

  • 【Dify Enterprise版】ログイン時の認証機能について | https://zenn.dev/upgradetech/articles/1029808cbc6991
  • Dify Enterprise Docs | https://enterprise-docs.dify.ai/

这篇当前能从公开资料确认的有效信息

  • SSO 集成涉及协议选择、IdP 参数与登录后的权限映射
  • OIDC / SAML 应根据客户现有身份体系选择,而不是一刀切
  • 具体字段映射和各 IdP 模板仍更适合由内部交付文档补足