يشرح هذا المستند كيفية تكوين تسجيل الدخول الموحد لـ ChatGPT ومنصة API

المتطلبات الأولية

من أجل إعداد تسجيل الدخول الموحد، يجب عليك:

أن تكون مشتركًا في خطة OpenAI مع وحدة تحكّم المسؤول العام
أن تكون مسؤولًا عامًا

قبل المتابعة، يرجى مراجعة صفحات مستندات "نظرة عامة على تسجيل الدخول الموحد" و"إدارة المستخدمين" للتأكد من معرفتك ببنية تسجيل الدخول الموحد لدينا.

إذا قمت مسبقًا بتكوين تسجيل الدخول الموحد في منظمة منصة واجهة API أو مساحة عمل ChatGPT، فمن المفترض أن تكون إعدادات تسجيل الدخول الموحد متوفرة بالفعل للتكوين في صفحة هوية OpenAI. وإذا لم تكن مساحة العمل أو المنظمة التي ترغب في تمكين تسجيل الدخول الموحد لها ظاهرة في وحدة تحكّم المسؤول العام، يُرجى التواصل مع support@openai.com.

⚠️ سيتم حظر دخول المستخدمين إذا لم يتم تفعيل تسجيل الدخول الموحد بطريقة صحيحة!

قد يؤدي الإعداد غير الصحيح إلى حظر دخول المستخدمين إلى المنظمات ومساحات العمل التي تتطلب تسجيل الدخول الموحد. لذلك، نوصيك، بصفتك المسؤول العام، بالمحافظة على أن يكون تسجيل الدخول الموحد اختياريًا في بوابة المسؤول.

أثناء الإعداد، أبقِ بنافذتين منفصلتين مفتوحتين لتسجيل الدخول:

يُنصح بأن تكون إحدى النوافذ مسجّلة الدخول من خلال نافذة التصفح الخفي
يُنصح بأن تكون إحدى النوافذ مسجّلة الدخول من خلال المتصفح العادي

يتيح لك ذلك اختبار عملية تسجيل الدخول وإعداد تسجيل الدخول الموحد/التحقق من النطاق في نافذة واحدة، واستخدام النافذة الثانية للتراجع عن أي تغييرات عند الحاجة.

اختبار تسجيل الدخول الموحّد (SSO)

إذا رغبت في اختبار عملية الإعداد دون المخاطرة بالتأثير على المستخدمين، يمكنك استخدام تطبيق الاختبار المتوفر عبر هذا الرابط.

لا ينعكس أي اتصال ناجح داخل هذا التطبيق على بيئة الإنتاج، ولا يؤدي إلى حفظ الإعدادات (ما يسمح بإعادة استخدام المعلمات نفسها لاحقًا عند الانتقال إلى بيئة العمل الفعلية). وبذلك، يُعد هذا التطبيق مساحة آمنة للتجربة أو ساحة اختبار، تساعدك على فهم المتطلبات واستكمال أي شروط ناقصة.

تفعيل تسجيل الدخول الموحّد (SSO)

لبدء الاستخدام، انتقل إلى صفحة هوية OpenAI من وحدة تحكّم المسؤول العام. يمكنك أيضًا الوصول إلى تلك الصفحة من الرابط الموجود في صفحة "الهوية وتوفير الخدمات" تحت إعدادات "إدارة مساحة العمل" في ChatGPT أو من علامة التبويب الهوية في إعدادات منظمة منصة API الخاصة بك.

تستعرض الأمثلة التالية آلية الإعداد عبر منصة Okta، إلا أن المبدأ نفسه قابل للتطبيق على مختلف موفري الهوية الذين يعتمدون بروتوكول SAML.

التحقق من النطاق

من أجل تفعيل تسجيل الدخول الموحد، نطلب منك أولًا التحقق من نطاق واحد على الأقل.

ملاحظة مهمة: تذكّر مراجعة التأثيرات المحتملة للتحقق من النطاق على المستخدمين الذين يستخدمون هذا النطاق.

انقر على زر "+ إضافة نطاق "وأدخل إعدادات نظام أسماء النطاقات (DNS) للبدء:

Verify a new domain dialog with example.com entered and Submit available

بعد الإرسال، نوفر لك مفتاحًا للتحقق من ملكية النطاق. انتقل إلى مزوّد خدمة DNS لديك، وأضف سجل TXT بالقيمة المقدمة:

يجب أن يكون سجل TXT لديك قابلًا للوصول عبر بحث DNS حتى تنجح عملية التحقق.

بعد إتمام هذه الخطوات في مزوّد خدمة DNS لديك، ارجع إلى صفحة الإعداد وانقر على زر "التحقق". وإذا تم التحقق من ملكية النطاق بنجاح، ستظهر حالة النطاق محدثة إلى "تم التحقق".

Domain management page with company.abc listed as Verified

يمكنك إضافة ما يصل إلى 99 مجالًا تم التحقق منها لكل بوابة مسؤول، ونوفر لك فترة قدرها 7 أيام لإكمال التحقق قبل أن يُصنّف المجال على أنه منتهي الصلاحية. ولا يمكن التحقق من المجالات إلا في بوابة مسؤول واحدة. وإذا كنت بحاجة إلى التحقق من نفس المجال في منظمة أو مساحة عمل غير موجودة في بوابة المسؤول الخاصة بك، يُرجى الاتصال بالدعم.

إعداد تطبيقك

بعد التحقق من نطاقك بنجاح، يمكنك متابعة عملية إعداد تسجيل الدخول الموحد عن طريق تكوين تطبيق موفّر الهوية (IdP).

للبدء، انقر على زر "إعداد تسجيل الدخول الموحد":

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

اختيار موفّر الهوية

يمكنك الاختيار من قائمة أشهر موفّري الهوية (IdP) الذين يدعمون تكامل SAML بشكل أصلي. وإذا لم تجد موفّر الهوية في القائمة، أو إذا رغبت في استخدام اتصال OIDC، يمكنك اختيار زر الاتصال المخصص المناسب الموجود أسفل الصفحة:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

إنشاء أو ربط التطبيق

يمكنك الآن متابعة معالج الإعداد خطوة بخطوة لإنشاء تطبيق موفّر الهوية (IdP) وربطه مع نظامنا. وقد تختلف بعض التعليمات بناءً على موفّر الهوية المستخدم، لكن الإعداد الأساسي يظل ثابتًا:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

يرجى ملاحظة أن عناوين URL المقدَّمة في خطوة الإنشاء ستكون فريدة لمؤسستك:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

ملاحظة مهمة: إذا اخترت إعادة ضبط اتصال تسجيل الدخول الموحد السليم، فسوف تتغير قيم URL المرتبطة به. عند إعادة إعداد تسجيل الدخول الموحد، ستحتاج إلى التأكد من تحديثها في تطبيقك بما يتوافق مع التغييرات.

بعد إتمام إعداد عناوين URL، يمكنك المتابعة إلى تحديد تخطيط السمات للمستخدمين الذين يتم التحقق من هويتهم عبر تطبيقك.

تخطيط السمات

يحدد تخطيط السمات الذي تضبطه في تطبيق تسجيل الدخول الموحد لديك في النهاية أي حسابات OpenAI تمت مصادقتها وكيف يظهر المستخدمون التابعون لك في منتجات OpenAI. ويدعم نموذج المستخدم الحالي لدينا ثلاث خصائص:

عنوان البريد الإلكتروني (مطلوب في استجابة SAML، ويحدد الحساب الذي يتم الوصول إليه)
الاسم الأول (اختياري، ولكن يُنصح بتوفيره)
اسم العائلة (اختياري، ولكن يُنصح بتوفيره)

ملاحظة: لا نقدم دعمًا لفك تشفير استجابات SAML. يرجى التأكد من عدم تشفير الاستجابة أو التأكيد لضمان قدرتنا على التعرف على السمات بصورة صحيحة.

اعتمادًا على موفّر الهوية (IdP) لديك، قد يختلف تخطيط السمات الفعلي. نوصي بالالتزام بالتخطيط المحدد لموفّر الهوية لديك في معالج الإعداد، على سبيل المثال، بالنسبة لـ Okta يكون كما يلي:

في حال ظهور مستخدمين جدد مع عناوين بريدهم الإلكتروني مضبوطة على اسم العرض الخاص بهم، يُرجى التحقق من تخطيط السمات والتأكد من عدم تشفير الاستجابات.

بدلاً من ذلك، إذا طُلب من المستخدمين الجدد إدخال أسمائهم وتاريخ ميلادهم، فهذا يشير على الأرجح إلى أننا لا نستخرج قيمة الاسم بشكل صحيح من استجابة السمات لديك.

تغييرات البريد الإلكتروني

في بعض الأحيان، قد يُحدّث أحد المستخدمين عنوان بريده الإلكتروني لدى موفّر الهوية (IdP) التابع له، على سبيل المثال:

تغيير الاسم القانوني بعد الزواج
تغيير النطاق بعد استحواذ الشركة
وأمثلة أخرى مشابهة

إذا تغيّرت قيمة مطالبة عنوان البريد الإلكتروني في استجابة SAML لتسجيل الدخول الموحد، فسيتم الوصول إلى مستخدم OpenAI مختلف مرتبط بعنوان البريد الإلكتروني الجديد (وسيتم إنشاؤه إذا لم يكن موجودًا مسبقًا) عند نجاح تسجيل الدخول الموحد. ويتعين حينئذٍ توجيه دعوة إلى هذا المستخدم للانضمام إلى المنظمة أو مساحة العمل بشكل منفصل عن المستخدم الأصلي.

عناوين البريد الإلكتروني الأساسية

في بعض الحالات، قد يمتلك المستخدمون عدة عناوين بريد إلكتروني مختلفة. وهذا أمر شائع في الشركات الكبيرة التي تمتلك أنظمة بريد موزعة، أو لعملاء القطاع التعليمي الذين لديهم مدارس مختلفة، على سبيل المثال:

في مثل هذه الحالات، نوصي بالتأكد من أن استجابة SAML تتضمن عنوان بريد إلكتروني واحد فقط ضمن السمات، إذ إن تضمين عدة عناوين قد يسبب ارتباكًا عند محاولة ربطها بمستخدم جديد أو موجود.

بالإضافة إلى ذلك، إذا كان لدى المستخدمين عنوان بريد ثابت (مثل UPN)، نوصي باستخدامه في تخطيط السمات لضمان إنشاء حساب مستخدم مستقر في OpenAI لا يتأثر عند تغيير عناوين بريدهم الأخرى.

توفير الوصول إلى تطبيق موفّر الهوية

بمجرد الانتهاء من إنشاء تخطيط السمات بنجاح، سيرشدك المعالج خلال خطوات توفير الوصول للمستخدمين المناسبين عبر المجموعات المطلوبة.

يرجى مراجعة توصياتنا حول إدارة المستخدمين للاطلاع على أفضل الممارسات.

تعيين بيانات تعريف موفّر الهوية

في هذه الخطوة من عملية الإعداد، يمكنك اختيار أحد الخيارين لتعريف بيانات موفّر الهوية: الإعداد الديناميكي أو الإعداد اليدوي.

الإعداد الديناميكي

يُعتبر هذا الخيار الأكثر توصية والأسهل استخدامًا. وباستخدام الإعداد الديناميكي، يكفي إدخال رابط بيانات التعريف (Metadata URL) المرتبط بتطبيقك، والذي أنشئ تلقائيًا اعتمادًا على رابط تسجيل الدخول الموحد ومعرّف الكيان الذي أعددته مسبقًا. وسيرشدك معالج الإعداد إلى المكان الذي يمكنك من خلاله العثور على هذه البيانات في موفّر الهوية.

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

الإعداد اليدوي

كما يشير الاسم، يتطلب الإعداد اليدوي مزيدًا من الجهد. واعتمادًا على موفّر الهوية الذي تستخدمه، ستحتاج إلى إدخال رابط تسجيل الدخول الموحد (SSO) وجهة إصدار موفّر الهوية المقابل، بالإضافة إلى شهادة x.509:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

تسجيل الدخول المباشر من موفّر الهوية

إذا رغبت في تمكين المستخدمين من النقر على أيقونة في لوحة التحكم وتسجيل الدخول تلقائيًا، يمكنك تفعيل المصادقة المباشرة من موفّر الهوية (IdP-initiated auth) لتطبيقك كجزء من عملية الإعداد. ورغم أن الخطوات قد تختلف حسب موفّر الهوية، فإن العملية العامة تعتمد على رابط URL مُحدد على الشكل التالي:

ChatGPT‏: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
منصة API‏: https://platform.openai.com/enterprise/conn_01ABC02DEF/login

على سبيل المثال، ستوضح لك Okta كيفية إنشاء تطبيق Bookmark جديد باستخدام هذا الرابط:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

من جهة أخرى، يسمح لك Entra ID بإدخال رابط تسجيل الدخول المقدم في النموذج المناسب:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

ملاحظة مهمة: إذا اخترت إعادة ضبط اتصال تسجيل الدخول الموحد السليم، فسوف تتغير قيم URL المرتبطة به.

يشير هذا إلى أنه عند تكوين الاتصال الجديد، ستحتاج أيضًا إلى تحديث رابط تسجيل الدخول (Sign on URL) وفقًا لذلك، وإلا فلن يتمكن المستخدمون من المصادقة عبر أيقوناتهم.

إكمال الإعداد

بعد تكوين بيانات تعريف موفّر الهوية، يمكنك النقر على "متابعة" للانتقال إلى إعداد أي تطبيقات bookmark اختيارية. وستكون خطوة التكوين الإلزامية النهائية في صفحة "اختبار تسجيل الدخول الموحد":

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

بعد الضغط على "متابعة تسجيل الدخول"، سيحاول المعالج اختبار اتصالك الجديد. إذا سارت الأمور بنجاح، فستكون قد فعّلت تسجيل الدخول الموحد. يمكنك الآن رؤية هذا التحديث على صفحة التكوين لديك:

OpenAI Single Sign-On test succeeded confirmation page

Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

يجب أن يكون المستخدمون الموجودون في مجموعة موفّر الهوية، والذين لديهم حسابات أو دعوات مقابلة، قادرين الآن على تسجيل الدخول باستخدام تسجيل الدخول الموحد:

يمكنهم الانتقال إلى chatgpt.com أو platform.openai.com، وإدخال بريدهم الإلكتروني، ثم المصادقة بعد إعادة توجيههم إلى موفّر الهوية
يمكنهم أيضًا استخدام رابط أيقونة الإشارة المرجعية الذي أعددته (اختياريًا) خلال عملية الإعداد

إذا تبين أن المستخدمين لا يستطيعون المصادقة بنجاح، أو واجهت صعوبة في التراجع عن التغييرات، يُرجى التواصل مع الدعم الفني للحصول على المساعدة الفورية.

تذكر أن تفعيل خاصية تسجيل الدخول الموحد على منصة واجهة API يؤدي إلى تطبيق التحقق من المجال على جميع المستخدمين التابعين لهذا المجال. وهذا يعني أنه حتى لو لم يكن هؤلاء المستخدمون ينتمون إلى منظمة Enterprise الخاصة بك، فسيظلون مطالبين بأن يكونوا جزءًا من مجموعة موفّر الهوية الخاصة بك لكي يتمكنوا من الوصول إلى منظماتهم الشخصية.

استكشاف أخطاء تسجيل الدخول وإصلاحها

إذا واجهت صعوبات في تسجيل الدخول بعد تفعيل تسجيل الدخول الموحد، يمكنك مراجعة صفحة الأسئلة الشائعة واستكشاف الأخطاء وإصلاحها للحصول على المساعدة لتحديد الأخطاء الشائعة. إذا لم تحصل على إجابة مناسبة، فلا تتردد في التواصل مع فريق الدعم.

تكوين تسجيل الدخول الموحد