Forudsætninger
For at opsætte SSO skal du:
Have et OpenAI-abonnement med en Global Admin Console
Være Global Admin
Før du fortsætter, skal du gennemgå vores dokumentationssider om SSO Overview og User Management for at sikre, at du er fortrolig med vores SSO-arkitektur.
Hvis du tidligere har konfigureret SSO for en API Platform-organisation eller et ChatGPT-arbejdsområde, bør dine SSO-indstillinger allerede være tilgængelige til konfiguration på siden OpenAI Identity. Hvis det arbejdsområde eller den organisation, du vil aktivere SSO for, ikke vises i din Global Admin Console, bedes du kontakte support@openai.com.
⚠️ Dine brugere bliver låst ude, hvis SSO ikke er konfigureret korrekt!
En forkert opsætning kan medføre, at dine brugere bliver låst ude af organisationer og arbejdsområder, hvor SSO er angivet som påkrævet. Vi anbefaler, at du som global admin bevarer SSO som Optional i Admin Portal.
Under opsætningen skal du holde to separate vinduer åbne med login:
Ét logget ind via et inkognitovindue
Ét logget ind via din standardbrowser
Det giver dig mulighed for at teste loginprocessen og din opsætning af SSO/domæneverifikation i det ene vindue og om nødvendigt rulle ændringerne tilbage via det andet vindue.
Test af SSO
Hvis du gerne vil teste opsætningsprocessen uden at risikere at påvirke dine brugere, kan du gøre det via applikationen her.
Hvis du gennemfører en vellykket forbindelse i denne testapplikation, bliver den ikke knyttet til din produktionsorganisation, og forbindelsen bliver heller ikke gemt (så du kan genbruge de samme parametre i din produktionsinstans, når du er klar). Det betyder, at den er sikker at bruge som sandbox eller testmiljø, mens du sætter dig ind i kravene og får afklaret eventuelle manglende forudsætninger.
Aktivering af SSO
For at komme i gang skal du gå til siden OpenAI Identity fra Global Admin Console. Du kan også nå siden via linket på siden "Identity & Provisioning" under dine indstillinger for "Manage Workspace" i ChatGPT eller fanen Identity i organisationsindstillingerne for din API Platform.
Nogle af eksemplerne nedenfor viser opsætningen i Okta, men den samme logik bør kunne anvendes på alle SAML-IdP'er.
Domæneverifikation
For at aktivere SSO kræver vi, at du først verificerer mindst ét domæne.
Vigtigt: Husk at gennemgå den efterfølgende påvirkning, som domæneverifikation kan have på brugere med dette domæne.
Klik på knappen "+ Add Domain", og indtast dit DNS-domæne for at komme i gang:

Når det er indsendt, giver vi dig en nøgle, så du kan bekræfte ejerskabet af dit domæne. Gå til din DNS-udbyder, og tilføj en TXT-post med den angivne værdi:

Din TXT-post skal kunne findes via et DNS-opslag, for at verificeringskontrollen kan gennemføres.
Når du har gjort dette hos din DNS-udbyder, skal du vende tilbage til opsætningssiden og klikke på knappen "Check". Hvis ejerskabet af dit domæne blev valideret korrekt, vil du se status opdateret til "Verified."

Du kan tilføje op til 99 verificerede domæner pr. Admin Portal, og vi giver dig en periode på 7 dage til at fuldføre verificeringskontrollen, før et domæne markeres som udløbet. Domæner kan kun verificeres i én enkelt Admin Portal. Hvis du har brug for at verificere det samme domæne i en organisation eller et arbejdsområde, som ikke findes i din Admin Portal, bedes du kontakte Support.
Konfiguration af din applikation
Når dit domæne er verificeret, kan du fortsætte med SSO-opsætningen ved at konfigurere din IdP-applikation.
Klik på knappen "Set up SSO" for at komme i gang:

Valg af din identity provider
Du har mulighed for at vælge fra en liste over de mest populære IdP'er, som understøtter SAML-integrationer direkte. Hvis du ikke kan se din IdP på listen, eller hvis du gerne vil bruge en OIDC-forbindelse, kan du vælge den relevante Custom connection-knap nederst:

Oprettelse/tilknytning af applikationen
Du kan nu følge den trinvise konfigurationsguide for at hjælpe med at oprette og forbinde din IdP-applikation med os. Afhængigt af den IdP, du bruger, kan instruktionerne variere en smule, men den generelle opsætning er den samme:

Bemærk, at de URL'er, der gives i oprettelsestrinnet, vil være unikke for din organisation:

Vigtigt: Hvis du vælger at nulstille en velfungerende SSO-forbindelse, vil disse URL-værdier ændre sig. Når du opsætter SSO igen, skal du sørge for også at opdatere dem i din applikation.
Når du har fuldført URL-opsætningen, kan du fortsætte med at definere attributmappingen for brugere, der godkendes via din applikation.
Attributmapping
Den attributmapping, du definerer i din SSO-applikation, afgør i sidste ende, hvilke OpenAI-konti der godkendes, og hvordan dine brugere vises i OpenAI-produkter. Vores nuværende brugermodel understøtter tre egenskaber:
E-mailadresse (påkrævet i SAML-svaret, afgør hvilken konto der tilgås)
Fornavn (valgfrit, men anbefalet)
Efternavn (valgfrit, men anbefalet)
Bemærk: Vi understøtter ikke dekryptering af SAML-svar. Sørg for, at du ikke krypterer dit svar eller din assertion, så vi kan identificere attributterne korrekt.
Afhængigt af din IdP vil den præcise attributmapping variere. Vi anbefaler, at du følger den nøjagtige mapping, der vises for din IdP i opsætningsguiden, f.eks. vil det for Okta være:

Hvis du ser nye brugere komme ind med deres e-mailadresser angivet som deres visningsnavn, skal du gennemgå din attributmapping og bekræfte, at du ikke krypterer dine svar.
Alternativt, hvis nye brugere bliver bedt om at indtaste deres navn og fødselsdag, indikerer det sandsynligvis, at vi ikke identificerer en korrekt navneværdi fra dit attributsvar.
Ændringer af e-mailadresse
Af og til kan en brugers e-mailadresse blive opdateret i din IdP, f.eks.
Et juridisk navneskifte efter ægteskab
Deres virksomhed blev opkøbt, og de har et nyt domæne
osv.
Hvis dette ændrer værdien af emailaddress-kravet i SSO SAMLResponse, vil en anden OpenAI-bruger, der er knyttet til den nye e-mailadresse, blive åbnet (og oprettet, hvis den ikke fandtes i forvejen) ved vellykket SSO. Denne bruger skal inviteres til organisationen eller arbejdsområdet separat fra den oprindelige bruger.
Primære e-mailadresser
I nogle tilfælde kan du have brugere med flere forskellige e-mailadresser. Dette er et almindeligt scenarie i større virksomheder med distribuerede mailsystemer eller for uddannelseskunder med forskellige skoler, f.eks.
I denne situation anbefaler vi, at du sikrer, at dit SAML-svar kun indeholder én enkelt e-mailadresse i sine attributter, da medtagelse af flere e-mailadresser kan skabe forvirring, når vi forsøger at knytte det til en ny eller eksisterende bruger.
Hvis brugerne desuden har en statisk e-mailadresse (f.eks. en UPN), anbefaler vi at bruge denne i din attributmapping for at sikre, at de har en stabil OpenAI-brugerkonto, som ikke påvirkes, når deres andre e-mailadresser ændres.
Tildel adgang til IdP-applikationen
Når du har oprettet din attributmapping, vil guiden føre dig gennem trinnene til at tildele adgang til de relevante brugere via de ønskede grupper.
Se vores anbefalinger om User Management for best practices.
Angivelse af IdP-metadata
På dette tidspunkt i opsætningen har du to separate muligheder for at definere metadataene for din IdP: Dynamic Configuration og Manual Configuration.
Dynamic Configuration
Dette er den anbefalede og mest ligetil mulighed. Med Dynamic Configuration skal du blot angive den Metadata URL (nu udfyldt af den SSO URL og Entity ID, du konfigurerede tidligere), der er knyttet til din applikation. Opsætningsguiden vil vise dig, hvor du kan finde dette i din IdP:

Manual Configuration
Som navnet antyder, kræver Manual Configuration lidt mere arbejde. Afhængigt af din IdP skal du angive den tilsvarende SSO URL og IdP issuer sammen med et x.509-certifikat:

IdP-initieret login
Hvis du gerne vil gøre det muligt for dine brugere at klikke på en tile på deres dashboard og automatisk blive godkendt, kan du konfigurere IdP-initieret godkendelse til din applikation som en del af opsætningsprocessen. Selvom den præcise proces varierer afhængigt af din IdP, vil den generelle proces bruge en angivet URL i formen:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Som eksempel vil Okta guide dig gennem oprettelsen af en ny Bookmark Application med denne URL:

Hvorimod Entra ID giver dig mulighed for at indtaste den angivne "Sign on URL" i den relevante formular:

Vigtigt: Hvis du vælger at nulstille en velfungerende SSO-forbindelse, vil disse URL-værdier ændre sig.
Det betyder, at når du konfigurerer den nye forbindelse, skal du også opdatere din Sign on URL tilsvarende, ellers vil brugerne ikke kunne godkende sig via deres tiles.
Fuldførelse af opsætning
Når du har konfigureret metadataene for din IdP, kan du klikke på "Continue" for at fortsætte med at opsætte eventuelle valgfrie bogmærkeapps. Det sidste obligatoriske konfigurationstrin vil være på siden "Test Single Sign-On":

Når du klikker på "Continue to sign-in," vil guiden forsøge at teste din nye forbindelse. Hvis alt lykkes, har du reelt aktiveret SSO. Du bør nu kunne se dette afspejlet på din konfigurationsside:


Brugere i din IdP-gruppe med tilsvarende konti eller invitationer bør nu kunne logge ind med SSO:
De kan gå til chatgpt.com eller platform.openai.com, indtaste deres e-mail og derefter godkende sig, efter at vi videresender dem til deres IdP
De kan bruge den Bookmark Tile URL, som du (valgfrit) konfigurerede under opsætningen
Hvis du oplever, at dine brugere ikke kan godkende sig korrekt, og du får problemer med at rulle ændringerne tilbage, bedes du kontakte Support med det samme.
Husk, at aktivering af SSO på API Platform anvender domæneverifikation på tværs af alle brugere med dette domæne. Det betyder, at selv hvis brugerne ikke tilhører din Enterprise-organisation, skal de stadig være en del af din IdP-gruppe for at få adgang til deres personlige organisationer.
Fejlfinding ved login
Hvis du oplever problemer med at logge ind, efter at du har aktiveret SSO, kan du se vores side med FAQ og fejlfinding for hjælp til at identificere almindelige fejl. Hvis du ikke finder et tilstrækkeligt svar der, er du altid velkommen til at kontakte Support.
