Предварителни условия
За да настроите SSO, трябва:
Да имате план на OpenAI с Global Admin Console
Да сте глобален администратор
Преди да продължите, моля, прегледайте страниците с документация Общ преглед на SSO и Управление на потребители, за да сте сигурни, че сте запознати с нашата SSO архитектура.
Ако преди това сте конфигурирали SSO за организация в API Platform или работно пространство в ChatGPT, настройките ви за SSO вече би трябвало да са налични за конфигуриране на страницата OpenAI Identity. Ако работното пространство или организацията, за които искате да активирате SSO, не се показват във вашата Global Admin Console, моля, свържете се с support@openai.com.
⚠️ Потребителите ви ще загубят достъп, ако SSO не е настроено правилно!
Неправилната настройка може да доведе до това потребителите ви да загубят достъп до организации и работни пространства, където SSO е зададено като задължително. Препоръчваме вие, като глобален администратор, да поддържате SSO като Optional в Admin Portal.
По време на настройката дръжте отворени два отделни влезли прозореца:
Един, влязъл през прозорец в инкогнито режим
Един, влязъл през стандартния ви браузър
Това ви позволява да тествате процеса на влизане и настройката на SSO/верификация на домейн в единия прозорец и при нужда да върнете промените чрез втория прозорец.
Тестване на SSO
Ако искате да тествате процеса на настройка, без да рискувате въздействие върху потребителите си, можете да го направите чрез приложението тук.
Успешното завършване на връзка в това тестово приложение няма да бъде обвързано с вашата производствена организация, нито ще запази връзката (така че можете да използвате повторно същите параметри в производствената си инстанция, когато сте готови). Това означава, че е безопасно да го използвате като sandbox или среда за експерименти, докато се запознавате с изискванията и изяснявате липсващите предварителни условия.
Активиране на SSO
За да започнете, отидете на страницата OpenAI Identity от Global Admin Console. Можете също да стигнете до тази страница от връзката на страницата „Identity & Provisioning“ под настройките ви „Manage Workspace“ в ChatGPT или от раздела Identity в настройките на организацията ви в API Platform.
Някои от примерите по-долу ще показват настройката в Okta, но същата логика би трябвало да е приложима за всички SAML IdP.
Верификация на домейн
За да активирате SSO, изискваме първо да верифицирате поне един домейн.
Важно: Не забравяйте да прегледате последващото въздействие, което верификацията на домейн може да има върху потребителите с този домейн.
Щракнете върху бутона „+ Add Domain“ и въведете вашия DNS, за да започнете:
След като изпратите данните, ще ви предоставим ключ, с който да потвърдите собствеността върху домейна си. Отидете при вашия DNS доставчик и добавете TXT запис с предоставената стойност:
Вашият TXT запис трябва да е достъпен чрез DNS заявка, за да бъде проверката за верификация успешна.
След като завършите това при вашия DNS доставчик, върнете се на страницата за настройка и щракнете върху бутона „Check“. Ако собствеността върху домейна ви е валидирана успешно, ще видите, че статусът е обновен на „Verified.“
Можете да добавите до 99 верифицирани домейна за всеки Admin Portal, а ние предоставяме 7-дневен срок, в който да завършите проверката за верификация, преди домейнът да бъде маркиран като изтекъл. Домейните могат да бъдат верифицирани само в един Admin Portal. Ако трябва да верифицирате същия домейн за организация или работно пространство, които не са във вашия Admin Portal, моля, свържете се с поддръжката.
Конфигуриране на вашето приложение
След като успешно верифицирате домейна си, можете да продължите с настройването на SSO, като конфигурирате приложението на вашия IdP.
За да започнете, щракнете върху бутона „Set up SSO“:
Избор на вашия доставчик на идентичност
Имате възможност да изберете от списък с най-популярните IdP, които по подразбиране поддържат SAML интеграции. Ако не виждате вашия IdP в списъка или ако искате да използвате OIDC връзка, можете да изберете съответния бутон за персонализирана връзка, показан отдолу:
Създаване/свързване на приложението
Сега можете да следвате помощника за конфигуриране стъпка по стъпка, който ще ви помогне да създадете и свържете приложението на вашия IdP с нас. В зависимост от IdP, който използвате, инструкциите ви може леко да се различават, но общата настройка остава същата:
Имайте предвид, че URL адресите, предоставени в стъпката за създаване, ще бъдат уникални за вашата организация:
Важно: Ако решите да нулирате работеща SSO връзка, тези URL стойности ще се променят. Когато настройвате SSO отново, ще трябва да се уверите, че ги актуализирате съответно във вашето приложение.
След като завършите настройката на URL адресите, можете да продължите с дефинирането на съпоставянето на атрибути за потребителите, удостоверени чрез вашето приложение.
Съпоставяне на атрибути
Съпоставянето на атрибути, което дефинирате в приложението си за SSO, в крайна сметка определя кои акаунти в OpenAI се удостоверяват и как вашите потребители се показват в продуктите на OpenAI. Настоящият ни потребителски модел поддържа три свойства:
Имейл адрес (задължителен в SAML отговора, определя до кой акаунт се осъществява достъп)
Собствено име (незадължително, но препоръчително)
Фамилно име (незадължително, но препоръчително)
Забележка: Ние не поддържаме декриптиране на SAML отговори. Моля, уверете се, че не криптирате своя отговор или assertion, за да гарантирате, че можем правилно да идентифицираме атрибутите.
В зависимост от вашия IdP, точното съпоставяне на атрибутите ще варира. Препоръчваме да се придържате към точното съпоставяне, показано за вашия IdP в помощника за настройка, напр. за Okta то би било:
Ако виждате нови потребители да се появяват с имейл адреси, зададени като тяхното показвано име, моля, прегледайте съпоставянето на атрибутите си и потвърдете, че не криптирате отговорите си.
Алтернативно, ако новите потребители биват подканени да въведат името и рождената си дата, това най-вероятно показва, че не разпознаваме правилна стойност за име от отговора с атрибути.
Промени в имейла
Понякога имейл адресът на потребител може да бъде актуализиран във вашия IdP, напр.
Промяна на законното име след сключване на брак
Компанията им е придобита и имат нов домейн
и т.н.
Ако това промени стойността на претенцията emailaddress в SSO SAMLResponse, при успешно SSO ще бъде достъпен друг потребител на OpenAI, свързан с новия имейл адрес (и ще бъде създаден, ако преди това не е съществувал). Този потребител ще трябва да бъде поканен в организацията или работното пространство отделно от първоначалния потребител.
Основни имейл адреси
В някои случаи е възможно да имате потребители с няколко различни имейл адреса. Това е често срещан сценарий в по-големи компании с разпределени пощенски системи или за клиенти в образованието с различни училища, напр.
В тази ситуация препоръчваме да се уверите, че вашият SAML отговор включва само един имейл адрес в атрибутите си, тъй като включването на няколко имейла може да доведе до объркване, когато се опитваме да го свържем с нов или съществуващ потребител.
Освен това, ако потребителите имат статичен имейл адрес (напр. UPN), препоръчваме да използвате него във вашето съпоставяне на атрибути, за да гарантирате, че ще имат стабилен потребителски акаунт в OpenAI, който няма да бъде засегнат, когато другите им имейл адреси се променят.
Осигуряване на достъп до приложението на IdP
След като успешно създадете съпоставянето на атрибутите си, помощникът ще ви преведе през стъпките за осигуряване на достъп на подходящите потребители чрез желаните групи.
Моля, прегледайте нашите препоръки за Управление на потребители за добри практики.
Задаване на метаданни на IdP
На този етап от настройката имате две отделни опции за определяне на метаданните на вашия IdP: Dynamic Configuration и Manual Configuration.
Dynamic Configuration
Това е препоръчителната и най-лесна опция. С Dynamic Configuration просто трябва да предоставите URL адреса на метаданните (който вече е попълнен от SSO URL и Entity ID, които конфигурирахте по-рано), свързан с вашето приложение. Помощникът за настройка ще ви покаже къде можете да намерите това във вашия IdP:
Manual Configuration
Както подсказва името, Manual Configuration изисква малко повече работа. В зависимост от вашия IdP ще трябва да въведете съответния SSO URL и издател на IdP, заедно с x.509 сертификат:
Влизане, инициирано от IdP
Ако искате потребителите ви да могат да щракнат върху плочка в таблото си и да бъдат автоматично удостоверени, можете да конфигурирате удостоверяване, инициирано от IdP, към вашето приложение като част от процеса по настройка. Макар че точният процес ще варира според вашия IdP, общият процес ще използва предоставен URL адрес във формат:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Например Okta ще ви преведе през създаването на ново Bookmark Application с този URL адрес:
Докато Entra ID ще ви позволи да въведете предоставения „Sign on URL“ в съответния формуляр:
Важно: Ако решите да нулирате работеща SSO връзка, тези URL стойности ще се променят.
Това означава, че когато конфигурирате новата връзка, ще трябва също да актуализирате съответно своя Sign on URL, в противен случай потребителите няма да могат да се удостоверяват чрез своите плочки.
Завършване на настройката
След като конфигурирате метаданните на вашия IdP, можете да щракнете върху „Continue“, за да продължите с настройването на евентуални незадължителни приложения за отметки. Последната задължителна стъпка от конфигурацията ще бъде на страницата „Test Single Sign-On“:
След като натиснете „Continue to sign-in“, помощникът ще се опита да тества новата ви връзка. Ако всичко е успешно, на практика ще сте активирали SSO. Вече би трябвало да виждате това отразено на страницата си за конфигурация:
Потребителите във вашата IdP група със съответстващи акаунти или покани вече трябва да могат да влизат чрез SSO:
Могат да отидат на chatgpt.com или platform.openai.com, да въведат имейла си и след това да се удостоверят, след като ги пренасочим към техния IdP
Могат да използват URL адреса на Bookmark Tile, който сте конфигурирали (по избор) по време на настройката
Ако установите, че потребителите ви не могат да се удостоверят успешно и срещнете затруднения при връщането на промените, моля, свържете се незабавно с поддръжката за помощ.
Имайте предвид, че активирането на SSO в API Platform прилага верификацията на домейна за всички потребители с този домейн. Това означава, че дори потребителите да не принадлежат към вашата Enterprise организация, те пак ще трябва да са част от вашата IdP група, за да имат достъп до личните си организации.
Отстраняване на проблеми при влизане
Ако след активиране на SSO срещате проблеми с влизането, можете да прегледате нашата страница ЧЗВ и отстраняване на проблеми за помощ при идентифициране на често срещани грешки. Ако не намерите достатъчен отговор там, не се колебайте да се свържете с поддръжката.