🔐 身份验证与访问控制
控制谁能进入、他们可以执行什么操作,以及您的实例如何与您的身份认证组件相集成。
Open WebUI 从第一天起就支持多用户。无论您是运行个人实例,还是在组织中管理成千上万个席位,您都可以完全控制身份验证、授权和程序化访问。连接您的身份提供商,定义细粒度的权限,并自动化用户生命周期管理,而无需触及任何一行代码。
本节内容
| 👥 RBAC | 角色、用户组和单资源权限。定义谁可以访问什么 |
| 🔑 SSO / OIDC | 与 Google、Microsoft、Okta、Keycloak 或任何 OIDC 提供商进行联邦身份验证 |
| 📂 LDAP | 对接您现有的目录服务进行身份验证 |
| 📋 SCIM 2.0 | 从您的 IdP 自动配置和撤销用户与用户组 |
| 🔐 API Keys | 为脚本、机器人、Pipeline 和集成提供程序化访问 |
各组件如何协同工作
- 用户进行身份验证,通过 SSO、OIDC、LDAP 或本地凭证登录。
- SCIM 自动配置,从您的身份提供商自动导入/注销用户和用户组。
- RBAC 决定访问权限,基于角色(Admin、User)和用户组成员资格。
- 权限是累加的:加入每个用户组都会增加功能,而绝不会减少它们。
- API Keys 继承了创建用户的完整权限,以实现程序化访问。
专注于 SSO 的体验
在仅限 SSO 的环境中,您可以通过设置 ENABLE_PASSWORD_AUTH=false 来禁用本地密码身份验证,并通过设置 ENABLE_PASSWORD_CHANGE_FORM=false 在账户页面中隐藏密码更新控件。
快速开始
个人或小团队?从简单开始
Open WebUI 开箱即可与本地电子邮件/密码身份验证协同工作。不需要外部身份提供商。只需创建账户,分配 Admin 或 User 角色,即可完成。
组织?逐步集成 SSO 和 SCIM
- 配置 SSO:配置您的身份提供商以进行单点登录。
- 配置 RBAC:创建用户组、分配权限并设置访问控制列表。
- 启用 SCIM (可选):从您的 IdP 自动化用户生命周期管理。
- 生成 API Keys (可选):为自动化流程启用程序化访问。
核心概念
累加式权限
Open WebUI 的安全模型是累加式的。用户以其角色的默认权限开始,加入用户组只会增加功能。一个用户的实际权限是其角色和其所属所有用户组所授予的权限的并集。
单个资源访问控制
模型、知识库、工具和技能都支持细粒度的访问控制。资源在默认情况下是私有的。创建者可以通过用户授权、用户组授权或公开可见性来控制谁可以查看和使用它们。
管理员 (Admin) 与普通用户 (User)
这里有两个主要角色。管理员 (Admins) 具有完整的系统访问权限。普通用户 (Users) 具有由默认权限加上其所属用户组所定义的功能。第三个角色是 挂起 (Pending),它将新注册的用户保存在队列中,等待管理员审批。