OpenAI

إعداد تسجيل الدخول الموحد لمنصة واجهة API

يستعرض هذا الدليل كيفية إعداد تسجيل الدخول الموحد لمنظمة منصة واجهة API والمستخدمين المرتبطين بها.

تم التحديث: 3 days ago

سيحل هذا المستند محل مستند تسجيل الدخول الموحد (SSO) الحالي للمنصة لدينا هنا.

المتطلبات الأولية

من أجل إعداد تسجيل الدخول الموحد، يجب عليك:

  1. امتلاك منظمة منصة واجهة API مع خطة فوترة مخصصة أو ضمن الخطة Enterprise

  2. أن تكون مالكًا في هذه المنظمة

  3. أن يكون لديك مجال واحد على الأقل تم التحقق منه

قبل المتابعة، يرجى مراجعة صفحات مستندات "نظرة عامة على تسجيل الدخول الموحد" و"إدارة المستخدمين" للتأكد من معرفتك ببنية تسجيل الدخول الموحد لدينا.

إذا اشتريت مؤخرًا ترخيص ChatGPT Enterprise وتبحث عن كيفية إعداد تسجيل الدخول الموحد (SSO) في مساحة عمل ChatGPT، يُرجى اتباع التعليمات الواردة هنا.

إذا قمت مسبقًا بتكوين تسجيل الدخول الموحد في مساحة عمل ChatGPT Enterprise، فمن المفترض أن تكون إعدادات تسجيل الدخول الموحد قد تم نقلها بالفعل ومن المحتمل أن تكون نشطة. وفي هذا الحالة، ستظهر لك الحقول مملوءة مسبقًا على صفحة هوية منصة واجهة API الخاصة بك، وكل ما عليك فعله هو التأكد من تبديل زر "تسجيل الدخول الموحد" إلى وضع التشغيل للمنظمة.

⚠️ سيتم حظر دخولك أنت وجميع المستخدمين إذا لم يتم تفعيل تسجيل الدخول الموحد بطريقة صحيحة!

يمكن أن يؤدي الإعداد الخاطئ إلى حظر دخولك أنت وجميع المستخدمين. نوصيك، بصفتك مالك مساحة العمل، بإبقاء نافذتين منفصلتين مفتوحتين لتسجيل الدخول:

  1. يُنصح بأن تكون إحدى النوافذ مسجّلة الدخول من خلال نافذة التصفح الخفي

  2. يُنصح بأن تكون إحدى النوافذ مسجّلة الدخول من خلال المتصفح العادي

يتيح لك ذلك اختبار عملية تسجيل الدخول وإعداد تسجيل الدخول الموحد/التحقق من النطاق في نافذة واحدة، واستخدام النافذة الثانية للتراجع عن أي تغييرات عند الحاجة.

اختبار تسجيل الدخول الموحّد (SSO)

إذا رغبت في اختبار عملية الإعداد دون المخاطرة بالتأثير على منظمتك ضمن خطة Enterprise، يمكنك استخدام تطبيق الاختبار المتوفر عبر هذا الرابط.

لا ينعكس أي اتصال ناجح داخل هذا التطبيق على بيئة الإنتاج، ولا يؤدي إلى حفظ الإعدادات (ما يسمح بإعادة استخدام المعلمات نفسها لاحقًا في منظمتك ضمن خطة Enterprise عندما تكون مستعدًا). وبذلك، يُعد هذا التطبيق مساحة آمنة للتجربة أو ساحة اختبار، تساعدك على فهم المتطلبات واستكمال أي شروط ناقصة.

تفعيل تسجيل الدخول الموحّد (SSO)

للبدء، انتقل إلى صفحة "الهوية" أسفل إعدادات منظمتك.

إذا لم يعمل هذا الرابط لديك، فمن المحتمل أن منظمتك لم يتم تكوينها بشكل صحيح أو أنك لا تملك الأذونات الصحيحة المرتبطة بحساب المستخدم الخاص بك. يرجى التواصل مع فريق الدعم للحصول على المساعدة إذا كنت ترى أن هذا الوضع غير صحيح.

التحقق من النطاق

من أجل تفعيل تسجيل الدخول الموحد، نطلب منك أولًا التحقق من نطاق واحد على الأقل.

ملاحظة مهمة: تذكّر مراجعة التأثيرات المحتملة للتحقق من المجال على المستخدمين الذين يستخدمون هذا المجال فور تمكين تسجيل الدخول الموحد.

انقر على زر "+ إضافة نطاق "وأدخل إعدادات نظام أسماء النطاقات (DNS) للبدء:

Verify a new domain dialog with example.com entered and Submit available

بعد الإرسال، نوفر لك مفتاحًا للتحقق من ملكية النطاق. انتقل إلى مزوّد خدمة DNS لديك، وأضف سجل TXT بالقيمة المقدمة:

Manage Domain dialog with a TXT record value to add in DNS and a Check button to verify ownership

يجب أن يكون سجل TXT لديك قابلًا للوصول عبر بحث DNS حتى تنجح عملية التحقق.

بعد إتمام هذه الخطوات في مزوّد خدمة DNS لديك، ارجع إلى صفحة الإعداد وانقر على زر "التحقق". وإذا تم التحقق من ملكية النطاق بنجاح، ستظهر حالة النطاق محدثة إلى "تم التحقق".

Domain management entry with company.abc marked Verified

يمكنك إضافة ما يصل إلى 99 نطاقًا تم التحقق منه لكل معرّف مؤسسة، ونوفر لك فترة قدرها 7 أيام لإكمال التحقق قبل أن يُصنّف النطاق على أنه منتهي الصلاحية.

بشكل افتراضي، يتم التحقق من النطاقات لمنظمة واحدة فقط. ومع ذلك، في الإعدادات التي تدعم التحقق من النطاقات عبر منظمات متعددة (مثل تمكين دعم المنظمات المتعددة/النطاقات المتعددة)، يمكن التحقق من النطاق نفسه عبر منظمات متعددة. وإذا لم تكن متأكدًا مما إذا كان إعدادك يدعم ذلك أم لا، فيُرجى التواصل مع الدعم.

إعداد تطبيقك

بعد التحقق من نطاقك بنجاح، يمكنك متابعة عملية إعداد تسجيل الدخول الموحد عن طريق تكوين تطبيق موفّر الهوية (IdP).

للبدء، انقر على زر "إدارة تسجيل الدخول الموحد":

OpenAI admin security settings with a verified domain and Single Sign On not configured

اختيار موفّر الهوية

يمكنك الاختيار من قائمة أشهر موفّري الهوية (IdP) الذين يدعمون تكامل SAML بشكل أصلي. وإذا لم تجد موفّر الهوية في القائمة، أو إذا رغبت في استخدام اتصال OIDC، يمكنك اختيار زر الاتصال المخصص المناسب الموجود أسفل الصفحة:

Image

إنشاء أو ربط التطبيق

يمكنك الآن متابعة معالج الإعداد خطوة بخطوة لإنشاء تطبيق موفّر الهوية (IdP) وربطه مع نظامنا. وقد تختلف بعض التعليمات بناءً على موفّر الهوية المستخدم، لكن الإعداد الأساسي يظل ثابتًا:

Image

يرجى ملاحظة أن عناوين URL المقدَّمة في خطوة الإنشاء ستكون فريدة لمؤسستك:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

ملاحظة مهمة: إذا اخترت إعادة ضبط اتصال تسجيل الدخول الموحد السليم، فسوف تتغير قيم URL المرتبطة به. عند إعادة إعداد تسجيل الدخول الموحد، ستحتاج إلى التأكد من تحديثها في تطبيقك بما يتوافق مع التغييرات.

بعد إتمام إعداد عناوين URL، يمكنك المتابعة إلى تحديد تخطيط السمات للمستخدمين الذين يتم التحقق من هويتهم عبر تطبيقك.

تخطيط السمات

يحدد تخطيط السمات الذي تضبطه في تطبيقك في النهاية كيفية إنشاء المستخدمين وكيفية ظهورهم في منصة واجهة API. ويدعم نموذج المستخدم الحالي لدينا ثلاث خصائص:

  1. عنوان البريد الإلكتروني (مطلوب في استجابة SAML)

  2. الاسم الأول (اختياري، ولكن يُنصح بتوفيره)

  3. اسم العائلة (اختياري، ولكن يُنصح بتوفيره)

ملاحظة: لا نقدم دعمًا لفك تشفير استجابات SAML. يرجى التأكد من عدم تشفير الاستجابة أو التأكيد لضمان قدرتنا على التعرف على السمات بصورة صحيحة.

اعتمادًا على موفّر الهوية (IdP) لديك، قد يختلف تخطيط السمات الفعلي. نوصي بالالتزام بالتخطيط المحدد لموفّر الهوية لديك في معالج الإعداد، على سبيل المثال، بالنسبة لـ Okta يكون كما يلي:

Okta SAML attribute statements mapping id, email, firstName, and lastName to user profile fields

في حال ظهور مستخدمين جدد مع عناوين بريدهم الإلكتروني مضبوطة على اسم العرض الخاص بهم، يُرجى التحقق من تخطيط السمات والتأكد من عدم تشفير الاستجابات.

بدلاً من ذلك، إذا طُلب من المستخدمين الجدد إدخال أسمائهم وتاريخ ميلادهم، فهذا يشير على الأرجح إلى أننا لا نستخرج قيمة الاسم بشكل صحيح من استجابة السمات لديك.

تغييرات البريد الإلكتروني

في بعض الأحيان، قد يُحدّث أحد المستخدمين عنوان بريده الإلكتروني لدى موفّر الهوية (IdP) التابع له، على سبيل المثال:

  • تغيير الاسم القانوني بعد الزواج

  • تغيير النطاق بعد استحواذ الشركة

  • وأمثلة أخرى مشابهة

سيؤدي ذلك في النهاية إلى إنشاء مستخدم جديد في OpenAI مرتبط بعنوان البريد الإلكتروني الجديد. وفي بعض الحالات، قد يظل ملف تعريف المصادقة السابق موجودًا، مما يمنع المستخدم الجديد من تسجيل الدخول بنجاح. في هذه الحالة، يرجى التواصل مع الدعم للحصول على المساعدة.

عناوين البريد الإلكتروني الأساسية

في بعض الحالات، قد يمتلك المستخدمون عدة عناوين بريد إلكتروني مختلفة. وهذا أمر شائع في الشركات الكبيرة التي تمتلك أنظمة بريد موزعة، أو لعملاء القطاع التعليمي الذين لديهم مدارس مختلفة، على سبيل المثال:

في مثل هذه الحالات، نوصي بالتأكد من أن استجابة SAML تتضمن عنوان بريد إلكتروني واحد فقط ضمن السمات، إذ إن تضمين عدة عناوين قد يسبب ارتباكًا عند محاولة ربطها بمستخدم جديد أو موجود.

بالإضافة إلى ذلك، إذا كان لدى المستخدمين عنوان بريد ثابت (مثل UPN)، نوصي باستخدامه في تخطيط السمات لضمان إنشاء حساب مستخدم مستقر في OpenAI لا يتأثر عند تغيير عناوين بريدهم الأخرى.

توفير الوصول إلى تطبيق موفّر الهوية

بمجرد الانتهاء من إنشاء تخطيط السمات بنجاح، سيرشدك المعالج خلال خطوات توفير الوصول للمستخدمين المناسبين عبر المجموعات المطلوبة.

يرجى مراجعة توصياتنا حول إدارة المستخدمين للاطلاع على أفضل الممارسات.

تعيين بيانات تعريف موفّر الهوية

في هذه الخطوة من عملية الإعداد، يمكنك اختيار أحد الخيارين لتعريف بيانات موفّر الهوية: الإعداد الديناميكي أو الإعداد اليدوي.

الإعداد الديناميكي

يُعتبر هذا الخيار الأكثر توصية والأسهل استخدامًا. وباستخدام الإعداد الديناميكي، يكفي إدخال رابط بيانات التعريف (Metadata URL) المرتبط بتطبيقك، والذي أنشئ تلقائيًا اعتمادًا على رابط تسجيل الدخول الموحد ومعرّف الكيان الذي أعددته مسبقًا. وسيرشدك معالج الإعداد إلى المكان الذي يمكنك من خلاله العثور على هذه البيانات في موفّر الهوية.

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

الإعداد اليدوي

كما يشير الاسم، يتطلب الإعداد اليدوي مزيدًا من الجهد. واعتمادًا على موفّر الهوية الذي تستخدمه، ستحتاج إلى إدخال رابط تسجيل الدخول الموحد (SSO) وجهة إصدار موفّر الهوية المقابل، بالإضافة إلى شهادة x.509:

Step 5 SSO setup with Manual configuration selected for identity provider metadata

تسجيل الدخول المباشر من موفّر الهوية

إذا رغبت في تمكين المستخدمين من النقر على أيقونة في لوحة التحكم وتسجيل الدخول تلقائيًا، يمكنك تفعيل المصادقة المباشرة من موفّر الهوية (IdP-initiated auth) لتطبيقك كجزء من عملية الإعداد. ورغم أن الخطوات قد تختلف حسب موفّر الهوية، فإن العملية العامة تعتمد على رابط URL مُحدد على الشكل التالي:

https://platform.openai.com/enterprise/conn_01ABC02DEF/login

على سبيل المثال، ستوضح لك Okta كيفية إنشاء تطبيق Bookmark جديد باستخدام هذا الرابط:

Okta Create Bookmark App step with Application label set to Platform and URL set to the OpenAI login link

من جهة أخرى، يسمح لك Entra ID بإدخال رابط تسجيل الدخول المقدم في النموذج المناسب:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields populated for an enterprise app

ملاحظة مهمة: إذا اخترت إعادة ضبط اتصال تسجيل الدخول الموحد السليم، فسوف تتغير قيم URL المرتبطة به.

يشير هذا إلى أنه عند تكوين الاتصال الجديد، ستحتاج أيضًا إلى تحديث رابط تسجيل الدخول (Sign on URL) وفقًا لذلك، وإلا فلن يتمكن المستخدمون من المصادقة عبر أيقوناتهم.

إكمال الإعداد

بعد تكوين بيانات تعريف موفّر الهوية، يمكنك النقر على "متابعة" للانتقال إلى إعداد أي تطبيقات bookmark اختيارية. وستكون خطوة التكوين الإلزامية النهائية في صفحة "اختبار تسجيل الدخول الموحد":

OpenAI Configure Single Sign-On step 8 with Continue to sign-in button to test Okta SSO

بعد الضغط على "متابعة تسجيل الدخول"، سيحاول المعالج اختبار اتصالك الجديد. إذا سارت الأمور بنجاح، فستكون قد فعّلت تسجيل الدخول الموحد (SSO) لمنظمة منصة واجهة API. يمكنك الآن رؤية هذا التحديث على صفحة التكوين لديك:

SSO connection activated for Okta on the Platform app with valid metadata and an authorized test session

يجب أن يكون المستخدمون الموجودون في مجموعة موفّر الهوية (IdP)، والذين لديهم حسابات أو دعوات مقابلة في مساحة العمل Enterprise، قادرين الآن على تسجيل الدخول باستخدام تسجيل الدخول الموحد (SSO):

  • يمكنهم الانتقال إلى platform.openai.com، وإدخال بريدهم الإلكتروني، ثم المصادقة بعد إعادة توجيههم إلى موفّر الهوية

  • يمكنهم أيضًا استخدام رابط أيقونة الإشارة المرجعية الذي أعددته (اختياريًا) خلال عملية الإعداد

إذا تبين أن المستخدمين لا يستطيعون المصادقة بنجاح، أو واجهت صعوبة في التراجع عن التغييرات، يُرجى التواصل مع الدعم الفني للحصول على المساعدة الفورية.

تذكر أن تفعيل خاصية تسجيل الدخول الموحد على منصة واجهة API يؤدي إلى تطبيق التحقق من المجال على جميع المستخدمين التابعين لهذا المجال. وهذا يعني أنه حتى لو لم يكن هؤلاء المستخدمون ينتمون إلى منظمة Enterprise الخاصة بك، فسيظلون مطالبين بأن يكونوا جزءًا من مجموعة موفّر الهوية الخاصة بك لكي يتمكنوا من الوصول إلى منظماتهم الشخصية.

استكشاف أخطاء تسجيل الدخول وإصلاحها

إذا واجهت صعوبات في تسجيل الدخول بعد تفعيل تسجيل الدخول الموحد، يمكنك مراجعة صفحة الأسئلة الشائعة واستكشاف الأخطاء وإصلاحها للحصول على المساعدة لتحديد الأخطاء الشائعة. إذا لم تحصل على إجابة مناسبة، فلا تتردد في التواصل مع فريق الدعم.

هل كانت هذه المقالة مفيدة؟