OpenAI
Denne side er maskinoversat. Se den originale engelske artikel.

Konfiguration af SSO

Dette dokument gennemgår konfiguration af SSO for ChatGPT og API Platform

Opdateret: 15 days ago

Forudsætninger

For at opsætte SSO skal du:

  1. Have et OpenAI-abonnement med en Global Admin Console

  2. Være Global Admin

Før du fortsætter, skal du gennemgå vores dokumentationssider om SSO Overview og User Management for at sikre, at du er fortrolig med vores SSO-arkitektur.

Hvis du tidligere har konfigureret SSO for en API Platform-organisation eller et ChatGPT-arbejdsområde, bør dine SSO-indstillinger allerede være tilgængelige til konfiguration på siden OpenAI Identity. Hvis det arbejdsområde eller den organisation, du vil aktivere SSO for, ikke vises i din Global Admin Console, bedes du kontakte support@openai.com.

⚠️ Dine brugere bliver låst ude, hvis SSO ikke er konfigureret korrekt!

En forkert opsætning kan medføre, at dine brugere bliver låst ude af organisationer og arbejdsområder, hvor SSO er angivet som påkrævet. Vi anbefaler, at du som global admin bevarer SSO som Optional i Admin Portal.

Under opsætningen skal du holde to separate vinduer åbne med login:

  1. Ét logget ind via et inkognitovindue

  2. Ét logget ind via din standardbrowser

Det giver dig mulighed for at teste loginprocessen og din opsætning af SSO/domæneverifikation i det ene vindue og om nødvendigt rulle ændringerne tilbage via det andet vindue.

Test af SSO

Hvis du gerne vil teste opsætningsprocessen uden at risikere at påvirke dine brugere, kan du gøre det via applikationen her.

Hvis du gennemfører en vellykket forbindelse i denne testapplikation, bliver den ikke knyttet til din produktionsorganisation, og forbindelsen bliver heller ikke gemt (så du kan genbruge de samme parametre i din produktionsinstans, når du er klar). Det betyder, at den er sikker at bruge som sandbox eller testmiljø, mens du sætter dig ind i kravene og får afklaret eventuelle manglende forudsætninger.

Aktivering af SSO

For at komme i gang skal du gå til siden OpenAI Identity fra Global Admin Console. Du kan også nå siden via linket på siden "Identity & Provisioning" under dine indstillinger for "Manage Workspace" i ChatGPT eller fanen Identity i organisationsindstillingerne for din API Platform.

Nogle af eksemplerne nedenfor viser opsætningen i Okta, men den samme logik bør kunne anvendes på alle SAML-IdP'er.

Domæneverifikation

For at aktivere SSO kræver vi, at du først verificerer mindst ét domæne.

Vigtigt: Husk at gennemgå den efterfølgende påvirkning, som domæneverifikation kan have på brugere med dette domæne.

Klik på knappen "+ Add Domain", og indtast dit DNS-domæne for at komme i gang:

Verify a new domain dialog with example.com entered and Submit available

Når det er indsendt, giver vi dig en nøgle, så du kan bekræfte ejerskabet af dit domæne. Gå til din DNS-udbyder, og tilføj en TXT-post med den angivne værdi:

Image

Din TXT-post skal kunne findes via et DNS-opslag, for at verificeringskontrollen kan gennemføres.

Når du har gjort dette hos din DNS-udbyder, skal du vende tilbage til opsætningssiden og klikke på knappen "Check". Hvis ejerskabet af dit domæne blev valideret korrekt, vil du se status opdateret til "Verified."

Domain management page with company.abc listed as Verified

Du kan tilføje op til 99 verificerede domæner pr. Admin Portal, og vi giver dig en periode på 7 dage til at fuldføre verificeringskontrollen, før et domæne markeres som udløbet. Domæner kan kun verificeres i én enkelt Admin Portal. Hvis du har brug for at verificere det samme domæne i en organisation eller et arbejdsområde, som ikke findes i din Admin Portal, bedes du kontakte Support.

Konfiguration af din applikation

Når dit domæne er verificeret, kan du fortsætte med SSO-opsætningen ved at konfigurere din IdP-applikation.

Klik på knappen "Set up SSO" for at komme i gang:

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Valg af din identity provider

Du har mulighed for at vælge fra en liste over de mest populære IdP'er, som understøtter SAML-integrationer direkte. Hvis du ikke kan se din IdP på listen, eller hvis du gerne vil bruge en OIDC-forbindelse, kan du vælge den relevante Custom connection-knap nederst:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Oprettelse/tilknytning af applikationen

Du kan nu følge den trinvise konfigurationsguide for at hjælpe med at oprette og forbinde din IdP-applikation med os. Afhængigt af den IdP, du bruger, kan instruktionerne variere en smule, men den generelle opsætning er den samme:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Bemærk, at de URL'er, der gives i oprettelsestrinnet, vil være unikke for din organisation:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Vigtigt: Hvis du vælger at nulstille en velfungerende SSO-forbindelse, vil disse URL-værdier ændre sig. Når du opsætter SSO igen, skal du sørge for også at opdatere dem i din applikation.

Når du har fuldført URL-opsætningen, kan du fortsætte med at definere attributmappingen for brugere, der godkendes via din applikation.

Attributmapping

Den attributmapping, du definerer i din SSO-applikation, afgør i sidste ende, hvilke OpenAI-konti der godkendes, og hvordan dine brugere vises i OpenAI-produkter. Vores nuværende brugermodel understøtter tre egenskaber:

  1. E-mailadresse (påkrævet i SAML-svaret, afgør hvilken konto der tilgås)

  2. Fornavn (valgfrit, men anbefalet)

  3. Efternavn (valgfrit, men anbefalet)

Bemærk: Vi understøtter ikke dekryptering af SAML-svar. Sørg for, at du ikke krypterer dit svar eller din assertion, så vi kan identificere attributterne korrekt.

Afhængigt af din IdP vil den præcise attributmapping variere. Vi anbefaler, at du følger den nøjagtige mapping, der vises for din IdP i opsætningsguiden, f.eks. vil det for Okta være:

Image

Hvis du ser nye brugere komme ind med deres e-mailadresser angivet som deres visningsnavn, skal du gennemgå din attributmapping og bekræfte, at du ikke krypterer dine svar.

Alternativt, hvis nye brugere bliver bedt om at indtaste deres navn og fødselsdag, indikerer det sandsynligvis, at vi ikke identificerer en korrekt navneværdi fra dit attributsvar.

Ændringer af e-mailadresse

Af og til kan en brugers e-mailadresse blive opdateret i din IdP, f.eks.

  • Et juridisk navneskifte efter ægteskab

  • Deres virksomhed blev opkøbt, og de har et nyt domæne

  • osv.

Hvis dette ændrer værdien af emailaddress-kravet i SSO SAMLResponse, vil en anden OpenAI-bruger, der er knyttet til den nye e-mailadresse, blive åbnet (og oprettet, hvis den ikke fandtes i forvejen) ved vellykket SSO. Denne bruger skal inviteres til organisationen eller arbejdsområdet separat fra den oprindelige bruger.

Primære e-mailadresser

I nogle tilfælde kan du have brugere med flere forskellige e-mailadresser. Dette er et almindeligt scenarie i større virksomheder med distribuerede mailsystemer eller for uddannelseskunder med forskellige skoler, f.eks.

I denne situation anbefaler vi, at du sikrer, at dit SAML-svar kun indeholder én enkelt e-mailadresse i sine attributter, da medtagelse af flere e-mailadresser kan skabe forvirring, når vi forsøger at knytte det til en ny eller eksisterende bruger.

Hvis brugerne desuden har en statisk e-mailadresse (f.eks. en UPN), anbefaler vi at bruge denne i din attributmapping for at sikre, at de har en stabil OpenAI-brugerkonto, som ikke påvirkes, når deres andre e-mailadresser ændres.

Tildel adgang til IdP-applikationen

Når du har oprettet din attributmapping, vil guiden føre dig gennem trinnene til at tildele adgang til de relevante brugere via de ønskede grupper.

Se vores anbefalinger om User Management for best practices.

Angivelse af IdP-metadata

På dette tidspunkt i opsætningen har du to separate muligheder for at definere metadataene for din IdP: Dynamic Configuration og Manual Configuration.

Dynamic Configuration

Dette er den anbefalede og mest ligetil mulighed. Med Dynamic Configuration skal du blot angive den Metadata URL (nu udfyldt af den SSO URL og Entity ID, du konfigurerede tidligere), der er knyttet til din applikation. Opsætningsguiden vil vise dig, hvor du kan finde dette i din IdP:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Manual Configuration

Som navnet antyder, kræver Manual Configuration lidt mere arbejde. Afhængigt af din IdP skal du angive den tilsvarende SSO URL og IdP issuer sammen med et x.509-certifikat:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

IdP-initieret login

Hvis du gerne vil gøre det muligt for dine brugere at klikke på en tile på deres dashboard og automatisk blive godkendt, kan du konfigurere IdP-initieret godkendelse til din applikation som en del af opsætningsprocessen. Selvom den præcise proces varierer afhængigt af din IdP, vil den generelle proces bruge en angivet URL i formen:

Som eksempel vil Okta guide dig gennem oprettelsen af en ny Bookmark Application med denne URL:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Hvorimod Entra ID giver dig mulighed for at indtaste den angivne "Sign on URL" i den relevante formular:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Vigtigt: Hvis du vælger at nulstille en velfungerende SSO-forbindelse, vil disse URL-værdier ændre sig.

Det betyder, at når du konfigurerer den nye forbindelse, skal du også opdatere din Sign on URL tilsvarende, ellers vil brugerne ikke kunne godkende sig via deres tiles.

Fuldførelse af opsætning

Når du har konfigureret metadataene for din IdP, kan du klikke på "Continue" for at fortsætte med at opsætte eventuelle valgfrie bogmærkeapps. Det sidste obligatoriske konfigurationstrin vil være på siden "Test Single Sign-On":

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Når du klikker på "Continue to sign-in," vil guiden forsøge at teste din nye forbindelse. Hvis alt lykkes, har du reelt aktiveret SSO. Du bør nu kunne se dette afspejlet på din konfigurationsside:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Brugere i din IdP-gruppe med tilsvarende konti eller invitationer bør nu kunne logge ind med SSO:

  • De kan gå til chatgpt.com eller platform.openai.com, indtaste deres e-mail og derefter godkende sig, efter at vi videresender dem til deres IdP

  • De kan bruge den Bookmark Tile URL, som du (valgfrit) konfigurerede under opsætningen

Hvis du oplever, at dine brugere ikke kan godkende sig korrekt, og du får problemer med at rulle ændringerne tilbage, bedes du kontakte Support med det samme.

Husk, at aktivering af SSO på API Platform anvender domæneverifikation på tværs af alle brugere med dette domæne. Det betyder, at selv hvis brugerne ikke tilhører din Enterprise-organisation, skal de stadig være en del af din IdP-gruppe for at få adgang til deres personlige organisationer.

Fejlfinding ved login

Hvis du oplever problemer med at logge ind, efter at du har aktiveret SSO, kan du se vores side med FAQ og fejlfinding for hjælp til at identificere almindelige fejl. Hvis du ikke finder et tilstrækkeligt svar der, er du altid velkommen til at kontakte Support.

Var denne artikel nyttig?