Požadavky
Abyste mohli nastavit SSO, musíte:
Mít tarif OpenAI s globální administrační konzolí
Být globálním administrátorem
Než budete pokračovat, projděte si prosím naši dokumentaci Přehled SSO a Správa uživatelů, abyste se seznámili s naší architekturou SSO.
Pokud jste dříve nakonfigurovali SSO pro organizaci API Platform nebo pracovní prostor ChatGPT, vaše nastavení SSO by už mělo být k dispozici ke konfiguraci na stránce OpenAI Identity. Pokud se pracovní prostor nebo organizace, pro které chcete SSO povolit, v globální administrační konzoli nezobrazují, kontaktujte prosím support@openai.com.
⚠️ Pokud SSO nenastavíte správně, vaši uživatelé ztratí přístup!
Nesprávné nastavení může způsobit, že vaši uživatelé ztratí přístup k organizacím a pracovním prostorům, kde je SSO nastavené jako povinné. Doporučujeme, abyste vy jako globální administrátor ponechali v administrátorském portálu SSO jako volitelné.
Během nastavení mějte otevřená dvě samostatná přihlášená okna:
Jedno přihlášené v anonymním okně
Jedno přihlášené ve vašem standardním prohlížeči
Díky tomu můžete v jednom okně otestovat proces přihlášení a nastavení SSO/ověření domény a přes druhé okno případně vrátit změny zpět.
Testování SSO
Pokud si chcete proces nastavení vyzkoušet bez rizika dopadu na své uživatele, můžete tak učinit prostřednictvím aplikace zde.
Úspěšné dokončení připojení v této testovací aplikaci se nepropojí s vaší produkční organizací ani připojení neuloží (takže stejné parametry můžete znovu použít ve své produkční instanci, až budete připraveni). To znamená, že ji můžete bezpečně používat jako sandbox nebo testovací prostředí, zatímco se seznamujete s požadavky a řešíte případné chybějící předpoklady.
Povolení SSO
Začněte tím, že z globální administrační konzole přejdete na stránku OpenAI Identity. Na tuto stránku se dostanete také přes odkaz na stránce „Identity & Provisioning“ v nastavení „Správa pracovního prostoru“ v ChatGPT nebo na kartě Identity v nastavení organizace API Platform.
Některé z níže uvedených příkladů ukazují nastavení v Okta, ale stejná logika by měla platit pro všechny SAML IdP.
Ověření domény
Aby bylo možné povolit SSO, musíte nejprve ověřit alespoň jednu doménu.
Důležité: Nezapomeňte si projít následný dopad, který může mít ověření domény na uživatele s touto doménou.
Klikněte na tlačítko „+ Add Domain“ a začněte zadáním své DNS domény:
Po odeslání vám poskytneme klíč k ověření vlastnictví domény. Přejděte ke svému poskytovateli DNS a přidejte TXT záznam s poskytnutou hodnotou:
Aby kontrola ověření uspěla, musí být váš TXT záznam dostupný přes DNS lookup.
Po dokončení u svého poskytovatele DNS se vraťte na stránku nastavení a klikněte na tlačítko „Check“. Pokud bylo vlastnictví vaší domény úspěšně ověřeno, uvidíte stav aktualizovaný na „Verified“.
V jednom administrátorském portálu můžete přidat až 99 ověřených domén a na dokončení ověření máte 7 dní, než doménu označíme jako expirovanou. Domény lze ověřit pouze v jednom administrátorském portálu. Pokud potřebujete ověřit stejnou doménu v organizaci nebo pracovním prostoru, který není ve vašem administrátorském portálu, kontaktujte podporu.
Konfigurace vaší aplikace
Po úspěšném ověření domény můžete pokračovat v nastavení SSO konfigurací aplikace vašeho IdP.
Pro začátek klikněte na tlačítko „Set up SSO“:
Výběr poskytovatele identity
Můžete si vybrat ze seznamu nejoblíbenějších IdP, které nativně podporují integrace SAML. Pokud svůj IdP v seznamu nevidíte nebo chcete použít připojení OIDC, můžete zvolit příslušné tlačítko pro vlastní připojení zobrazené dole:
Vytvoření/připojení aplikace
Nyní můžete postupovat podle průvodce konfigurací krok za krokem, který vám pomůže vytvořit a propojit aplikaci vašeho IdP s námi. V závislosti na používaném IdP se mohou pokyny mírně lišit, ale obecné nastavení zůstává stejné:
Upozorňujeme, že adresy URL poskytnuté v kroku vytvoření budou jedinečné pro vaši organizaci:
Důležité: Pokud se rozhodnete resetovat funkční připojení SSO, tyto hodnoty URL se změní. Při opětovném nastavování SSO budete muset zajistit jejich odpovídající aktualizaci ve své aplikaci.
Jakmile dokončíte nastavení URL, můžete pokračovat definováním mapování atributů pro uživatele ověřované prostřednictvím vaší aplikace.
Mapování atributů
Mapování atributů, které definujete ve své aplikaci SSO, nakonec určuje, které účty OpenAI budou ověřovány a jak se vaši uživatelé zobrazí v produktech OpenAI. Náš současný model uživatelů podporuje tři vlastnosti:
E-mailová adresa (povinná v odpovědi SAML, určuje, ke kterému účtu se přistupuje)
Jméno (volitelné, ale doporučené)
Příjmení (volitelné, ale doporučené)
Poznámka: Dešifrování odpovědí SAML nepodporujeme. Ujistěte se prosím, že svou odpověď ani assertion nešifrujete, aby bylo možné atributy správně identifikovat.
V závislosti na vašem IdP se přesné mapování atributů bude lišit. Doporučujeme držet se přesného mapování zobrazeného pro váš IdP v průvodci nastavením, např. pro Okta by to bylo:
Pokud vidíte, že se noví uživatelé vytvářejí s e-mailovými adresami nastavenými na zobrazované jméno, zkontrolujte mapování atributů a ověřte, že své odpovědi nešifrujete.
Případně pokud jsou noví uživatelé vyzváni k zadání jména a data narození, pravděpodobně to znamená, že z odpovědi atributů nezískáváme správnou hodnotu jména.
Změny e-mailu
Občas může být e-mailová adresa uživatele ve vašem IdP aktualizována, např.
Právní změna jména po sňatku
Jejich společnost byla koupena a mají novou doménu
atd.
Pokud to změní hodnotu claimu emailaddress v SSO SAMLResponse, po úspěšném SSO bude použit jiný uživatel OpenAI navázaný na novou e-mailovou adresu (a pokud dříve neexistoval, bude vytvořen). Tohoto uživatele bude nutné do organizace nebo pracovního prostoru pozvat zvlášť od původního uživatele.
Primární e-mailové adresy
V některých případech můžete mít uživatele s více různými e-mailovými adresami. To je běžný scénář ve větších firmách s distribuovanými poštovními systémy nebo u zákazníků Edu s různými školami, např.
V takové situaci doporučujeme zajistit, aby vaše odpověď SAML obsahovala ve svých atributech pouze jednu e-mailovou adresu, protože uvedení více e-mailů může způsobit nejasnosti, když ji budeme přiřazovat k novému nebo existujícímu uživateli.
Pokud navíc mají uživatelé statickou e-mailovou adresu (např. UPN), doporučujeme ji použít v mapování atributů, aby měli stabilní uživatelský účet OpenAI, který nebude ovlivněn změnami jejich ostatních e-mailových adres.
Zřízení přístupu k aplikaci IdP
Jakmile úspěšně vytvoříte mapování atributů, průvodce vás provede kroky potřebnými k poskytnutí přístupu příslušným uživatelům prostřednictvím požadovaných skupin.
Seznamte se prosím s našimi doporučeními ke správě uživatelů, kde najdete osvědčené postupy.
Nastavení metadat IdP
V této fázi nastavení máte dvě samostatné možnosti, jak definovat metadata svého IdP: dynamickou konfiguraci a ruční konfiguraci.
Dynamická konfigurace
Toto je doporučená a nejjednodušší možnost. U dynamické konfigurace stačí zadat URL metadat (nyní vyplněnou URL SSO a ID entity, které jste nakonfigurovali dříve) přidruženou k vaší aplikaci. Průvodce nastavením vám ukáže, kde ji ve svém IdP najdete:
Ruční konfigurace
Jak název napovídá, ruční konfigurace vyžaduje o něco více práce. V závislosti na vašem IdP budete muset zadat příslušnou URL SSO a issuer IdP spolu s certifikátem x.509:
Přihlášení iniciované IdP
Pokud chcete, aby uživatelé mohli kliknout na dlaždici na svém řídicím panelu a byli automaticky ověřeni, můžete v rámci procesu nastavení nakonfigurovat ověřování iniciované IdP do vaší aplikace. Přesný postup se bude lišit podle vašeho IdP, ale obecně se použije poskytnutá adresa URL ve tvaru:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Například Okta vás provede vytvořením nové aplikace Bookmark s touto adresou URL:
Zatímco Entra ID vám umožní zadat poskytnutou „Sign on URL“ do příslušného formuláře:
Důležité: Pokud se rozhodnete resetovat funkční připojení SSO, tyto hodnoty URL se změní.
To znamená, že při konfiguraci nového připojení budete muset odpovídajícím způsobem aktualizovat i svou přihlašovací URL, jinak se uživatelé nebudou moci ověřit přes své dlaždice.
Dokončení nastavení
Jakmile nakonfigurujete metadata svého IdP, můžete kliknout na „Continue“ a pokračovat v nastavení volitelných aplikací se záložkami. Poslední povinný krok konfigurace bude na stránce „Test Single Sign-On“:
Po kliknutí na „Continue to sign-in“ se průvodce pokusí otestovat vaše nové připojení. Pokud vše proběhne úspěšně, budete mít SSO efektivně povolené. To by se nyní mělo projevit i na stránce konfigurace:
Uživatelé ve vaší skupině IdP s odpovídajícími účty nebo pozvánkami by nyní měli mít možnost přihlásit se přes SSO:
Mohou přejít na chatgpt.com nebo platform.openai.com, zadat svůj e-mail a poté se ověřit poté, co je přesměrujeme na jejich IdP
Mohou použít URL dlaždice záložky, kterou jste během nastavení (volitelně) nakonfigurovali
Pokud zjistíte, že se vaši uživatelé nemohou úspěšně ověřit a máte potíže s vrácením změn, obraťte se prosím ihned na podporu.
Pamatujte, že povolení SSO na API Platform použije ověření domény na všechny uživatele s touto doménou. To znamená, že i když uživatelé nepatří do vaší organizace Enterprise, budou muset být součástí vaší skupiny IdP, aby měli přístup ke svým osobním organizacím.
Řešení problémů s přihlášením
Pokud po povolení SSO narazíte na problémy s přihlášením, můžete si projít naši stránku FAQ a řešení problémů, kde najdete pomoc s identifikací běžných chyb. Pokud tam nenajdete dostačující odpověď, neváhejte kontaktovat podporu.