OpenAI
Αυτή η σελίδα μεταφράστηκε αυτόματα. Δείτε το πρωτότυπο άρθρο στα αγγλικά.

Ρύθμιση SSO

Αυτό το έγγραφο περιγράφει τη ρύθμιση SSO για το ChatGPT και το API Platform

Τελευταία ενημέρωση: 16 days ago

Προαπαιτούμενα

Για να ρυθμίσετε το SSO, πρέπει:

  1. Να έχετε πρόγραμμα OpenAI με Global Admin Console

  2. Να είστε Global Admin

Πριν προχωρήσετε, ανατρέξτε στις σελίδες τεκμηρίωσης Επισκόπηση SSO και Διαχείριση χρηστών για να βεβαιωθείτε ότι γνωρίζετε την αρχιτεκτονική του SSO μας.

Αν είχατε ρυθμίσει προηγουμένως SSO για οργανισμό API Platform ή χώρο εργασίας ChatGPT, οι ρυθμίσεις SSO θα πρέπει να είναι ήδη διαθέσιμες για διαμόρφωση στη σελίδα OpenAI Identity. Αν ο χώρος εργασίας ή ο οργανισμός για τον οποίο θέλετε να ενεργοποιήσετε SSO δεν εμφανίζεται στο Global Admin Console, επικοινωνήστε με το support@openai.com.

⚠️ Οι χρήστες σας θα αποκλειστούν αν το SSO δεν ρυθμιστεί σωστά!

Μια εσφαλμένη ρύθμιση μπορεί να έχει ως αποτέλεσμα τον αποκλεισμό των χρηστών σας από οργανισμούς και χώρους εργασίας όπου το SSO έχει οριστεί ως υποχρεωτικό. Συνιστούμε εσείς, ως global admin, να διατηρήσετε το SSO ως Προαιρετικό στο Admin Portal.

Κατά τη ρύθμιση, κρατήστε ανοιχτά δύο ξεχωριστά συνδεδεμένα παράθυρα:

  1. Ένα συνδεδεμένο μέσω παραθύρου ανώνυμης περιήγησης

  2. Ένα συνδεδεμένο μέσω του κανονικού σας browser

Αυτό σας επιτρέπει να δοκιμάσετε τη διαδικασία σύνδεσης και τη ρύθμιση SSO/Επαλήθευσης Domain στο ένα παράθυρο και να επαναφέρετε τις αλλαγές αν χρειαστεί μέσω του δεύτερου παραθύρου.

Δοκιμή SSO

Αν θέλετε να δοκιμάσετε τη διαδικασία ρύθμισης χωρίς να διακινδυνεύσετε αντίκτυπο στους χρήστες σας, μπορείτε να το κάνετε μέσω της εφαρμογής εδώ.

Η ολοκλήρωση μιας επιτυχημένης σύνδεσης σε αυτήν τη δοκιμαστική εφαρμογή δεν θα συνδεθεί με τον production οργανισμό σας ούτε θα αποθηκεύσει τη σύνδεση (οπότε μπορείτε να επαναχρησιμοποιήσετε τις ίδιες παραμέτρους στο production instance σας όταν θα είστε έτοιμοι). Αυτό σημαίνει ότι είναι ασφαλές να τη χρησιμοποιείτε ως sandbox ή playground ενώ εξοικειώνεστε με τις απαιτήσεις και τακτοποιείτε τυχόν προαπαιτούμενα που λείπουν.

Ενεργοποίηση SSO

Για να ξεκινήσετε, μεταβείτε στη σελίδα OpenAI Identity από το Global Admin Console. Μπορείτε επίσης να φτάσετε σε αυτήν τη σελίδα από τον σύνδεσμο στη σελίδα "Identity & Provisioning" κάτω από τις ρυθμίσεις "Manage Workspace" στο ChatGPT ή από την καρτέλα Identity στις ρυθμίσεις οργανισμού του API Platform.

Ορισμένα από τα παραδείγματα παρακάτω θα παρουσιάζουν τη ρύθμιση στο Okta, αλλά η ίδια λογική θα πρέπει να ισχύει για όλους τους SAML IdP.

Επαλήθευση domain

Για να ενεργοποιήσετε το SSO, απαιτούμε πρώτα να επαληθεύσετε τουλάχιστον ένα domain.

Σημαντικό: Μην ξεχάσετε να εξετάσετε τον αντίκτυπο κατάντη που μπορεί να έχει η επαλήθευση domain στους χρήστες με αυτό το domain.

Κάντε κλικ στο κουμπί "+ Add Domain" και εισαγάγετε το DNS σας για να ξεκινήσετε:

Verify a new domain dialog with example.com entered and Submit available

Μόλις υποβληθεί, σας παρέχουμε ένα κλειδί για να επαληθεύσετε την ιδιοκτησία του domain σας. Μεταβείτε στον πάροχο DNS σας και προσθέστε μια εγγραφή TXT με την παρεχόμενη τιμή:

Image

Η εγγραφή TXT σας πρέπει να είναι προσβάσιμη μέσω αναζήτησης DNS ώστε να πετύχει ο έλεγχος επαλήθευσης.

Αφού το ολοκληρώσετε στον πάροχο DNS σας, επιστρέψτε στη σελίδα ρύθμισης και κάντε κλικ στο κουμπί "Check". Αν η ιδιοκτησία του domain σας επικυρώθηκε επιτυχώς, θα δείτε την κατάσταση να ενημερώνεται σε "Verified."

Domain management page with company.abc listed as Verified

Μπορείτε να προσθέσετε έως 99 επαληθευμένα domains ανά Admin Portal και παρέχουμε περίοδο 7 ημερών για να ολοκληρώσετε τον έλεγχο επαλήθευσης προτού ένα domain επισημανθεί ως ληγμένο. Τα domains μπορούν να επαληθευτούν μόνο σε ένα μόνο Admin Portal. Αν χρειάζεται να επαληθεύσετε το ίδιο domain σε οργανισμό ή χώρο εργασίας που δεν βρίσκεται στο Admin Portal σας, επικοινωνήστε με την Υποστήριξη.

Ρύθμιση της εφαρμογής σας

Αφού επαληθεύσετε επιτυχώς το domain σας, μπορείτε να προχωρήσετε στη ρύθμιση SSO διαμορφώνοντας την εφαρμογή IdP.

Για να ξεκινήσετε, κάντε κλικ στο κουμπί "Set up SSO":

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Επιλογή του παρόχου ταυτότητάς σας

Έχετε τη δυνατότητα να επιλέξετε από μια λίστα με τους πιο δημοφιλείς IdP που υποστηρίζουν εγγενώς ενσωματώσεις SAML. Αν δεν βλέπετε τον IdP σας στη λίστα ή αν θέλετε να χρησιμοποιήσετε σύνδεση OIDC, μπορείτε να επιλέξετε το κατάλληλο κουμπί προσαρμοσμένης σύνδεσης που εμφανίζεται στο κάτω μέρος:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Δημιουργία/σύνδεση της εφαρμογής

Τώρα μπορείτε να ακολουθήσετε τον οδηγό ρύθμισης βήμα προς βήμα για να δημιουργήσετε και να συνδέσετε την εφαρμογή IdP σας με εμάς. Ανάλογα με τον IdP που χρησιμοποιείτε, οι οδηγίες σας μπορεί να διαφέρουν ελαφρώς, αλλά η γενική ρύθμιση παραμένει η ίδια:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Σημειώστε ότι τα URL που παρέχονται στο βήμα δημιουργίας θα είναι μοναδικά για τον οργανισμό σας:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Σημαντικό: Αν επιλέξετε να επαναφέρετε μια υγιή σύνδεση SSO, αυτές οι τιμές URL θα αλλάξουν. Όταν ρυθμίσετε ξανά το SSO, θα πρέπει να βεβαιωθείτε ότι θα τις ενημερώσετε αναλόγως στην εφαρμογή σας.

Μόλις ολοκληρώσετε τη ρύθμιση URL, μπορείτε να προχωρήσετε στον ορισμό της χαρτογράφησης attributes για τους χρήστες που πιστοποιούνται μέσω της εφαρμογής σας.

Χαρτογράφηση attributes

Η χαρτογράφηση attributes που ορίζετε στην εφαρμογή SSO καθορίζει τελικά ποιοι λογαριασμοί OpenAI πιστοποιούνται και πώς εμφανίζονται οι χρήστες σας στα προϊόντα OpenAI. Το τρέχον μοντέλο χρηστών μας υποστηρίζει τρεις ιδιότητες:

  1. Διεύθυνση email (απαιτείται στην απόκριση SAML, καθορίζει ποιος λογαριασμός προσπελαύνεται)

  2. Όνομα (προαιρετικό, αλλά συνιστάται)

  3. Επώνυμο (προαιρετικό, αλλά συνιστάται)

Σημείωση: Δεν υποστηρίζουμε αποκρυπτογράφηση SAML Responses. Βεβαιωθείτε ότι δεν κρυπτογραφείτε την απόκριση ή το assertion σας, ώστε να μπορούμε να αναγνωρίζουμε σωστά τα attributes.

Ανάλογα με τον IdP σας, η ακριβής χαρτογράφηση attributes θα διαφέρει. Συνιστούμε να ακολουθήσετε ακριβώς τη χαρτογράφηση που εμφανίζεται για τον IdP σας στον οδηγό ρύθμισης, π.χ. για το Okta θα ήταν:

Image

Αν βλέπετε νέους χρήστες να εμφανίζονται με τις διευθύνσεις email τους ορισμένες στο εμφανιζόμενο όνομά τους, ελέγξτε τη χαρτογράφηση attributes και επιβεβαιώστε ότι δεν κρυπτογραφείτε τις αποκρίσεις σας.

Εναλλακτικά, αν από νέους χρήστες ζητείται να εισαγάγουν το όνομά τους και την ημερομηνία γέννησής τους, αυτό πιθανότατα υποδεικνύει ότι δεν εντοπίζουμε σωστή τιμή ονόματος από την απόκριση attributes σας.

Αλλαγές email

Περιστασιακά, η διεύθυνση email ενός χρήστη μπορεί να ενημερωθεί στο IdP σας, π.χ.

  • Νόμιμη αλλαγή ονόματος μετά από γάμο

  • Η εταιρεία τους εξαγοράστηκε και έχουν νέο domain

  • κ.λπ.

Αν αυτό αλλάξει την τιμή του claim emailaddress στο SSO SAMLResponse, θα γίνει πρόσβαση σε διαφορετικό χρήστη OpenAI που συνδέεται με τη νέα διεύθυνση email (και θα δημιουργηθεί αν δεν υπήρχε προηγουμένως) μετά από επιτυχημένο SSO. Αυτός ο χρήστης θα πρέπει να προσκληθεί στον οργανισμό ή στον χώρο εργασίας ξεχωριστά από τον αρχικό χρήστη.

Κύριες διευθύνσεις email

Σε ορισμένες περιπτώσεις, μπορεί να έχετε χρήστες με πολλές διαφορετικές διευθύνσεις email. Αυτό είναι συνηθισμένο σενάριο σε μεγαλύτερες εταιρείες με κατανεμημένα συστήματα αλληλογραφίας ή για πελάτες Edu με διαφορετικές σχολές, π.χ.

Σε αυτήν την περίπτωση, συνιστούμε να διασφαλίσετε ότι η απόκριση SAML σας περιλαμβάνει μόνο μία διεύθυνση email στα attributes της, καθώς η συμπερίληψη πολλών email μπορεί να προκαλέσει σύγχυση όταν προσπαθούμε να τη συνδέσουμε με έναν νέο ή υπάρχοντα χρήστη.

Επιπλέον, αν οι χρήστες έχουν μια στατική διεύθυνση email (π.χ. UPN), συνιστούμε να τη χρησιμοποιήσετε στη χαρτογράφηση attributes ώστε να διασφαλίσετε ότι θα έχουν έναν σταθερό λογαριασμό χρήστη OpenAI που δεν θα επηρεάζεται όταν αλλάζουν οι άλλες διευθύνσεις email τους.

Παροχή πρόσβασης στην εφαρμογή IdP

Μόλις δημιουργήσετε επιτυχώς τη χαρτογράφηση attributes σας, ο οδηγός θα σας καθοδηγήσει στα βήματα για την παροχή πρόσβασης στους κατάλληλους χρήστες μέσω των επιθυμητών ομάδων.

Ανατρέξτε στις συστάσεις μας για τη Διαχείριση χρηστών για βέλτιστες πρακτικές.

Ορισμός μεταδεδομένων IdP

Σε αυτό το σημείο της ρύθμισης, έχετε δύο ξεχωριστές επιλογές για τον ορισμό των μεταδεδομένων του IdP σας: Δυναμική διαμόρφωση και Μη αυτόματη διαμόρφωση.

Δυναμική διαμόρφωση

Αυτή είναι η συνιστώμενη και πιο απλή επιλογή. Με τη Δυναμική διαμόρφωση, χρειάζεται απλώς να παρέχετε το Metadata URL (που πλέον συμπληρώνεται από το SSO URL και το Entity ID που ρυθμίσατε νωρίτερα) που σχετίζεται με την εφαρμογή σας. Ο οδηγός ρύθμισης θα σας δείξει πού μπορείτε να το βρείτε αυτό στο IdP σας:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Μη αυτόματη διαμόρφωση

Όπως υποδηλώνει το όνομα, η Μη αυτόματη διαμόρφωση απαιτεί λίγη περισσότερη δουλειά. Ανάλογα με τον IdP σας, θα χρειαστεί να εισαγάγετε το αντίστοιχο SSO URL και τον εκδότη IdP, μαζί με ένα πιστοποιητικό x.509:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

Σύνδεση με έναρξη από IdP

Αν θέλετε οι χρήστες σας να μπορούν να κάνουν κλικ σε ένα tile στον πίνακα ελέγχου τους και να πιστοποιούνται αυτόματα, μπορείτε να ρυθμίσετε έλεγχο ταυτότητας με έναρξη από IdP προς την εφαρμογή σας ως μέρος της διαδικασίας ρύθμισης. Αν και η ακριβής διαδικασία διαφέρει ανάλογα με τον IdP σας, η γενική διαδικασία θα χρησιμοποιεί ένα παρεχόμενο URL με τη μορφή:

Για παράδειγμα, το Okta θα σας καθοδηγήσει στη δημιουργία μιας νέας εφαρμογής Bookmark με αυτό το URL:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Ενώ το Entra ID θα σας επιτρέψει να εισαγάγετε το παρεχόμενο "Sign on URL" στην κατάλληλη φόρμα:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Σημαντικό: Αν επιλέξετε να επαναφέρετε μια υγιή σύνδεση SSO, αυτές οι τιμές URL θα αλλάξουν.

Αυτό σημαίνει ότι, όταν ρυθμίσετε τη νέα σύνδεση, θα πρέπει επίσης να ενημερώσετε αναλόγως το Sign on URL σας, διαφορετικά οι χρήστες δεν θα μπορούν να πιστοποιούνται μέσω των tiles τους.

Ολοκλήρωση ρύθμισης

Μόλις διαμορφώσετε τα μεταδεδομένα του IdP σας, μπορείτε να κάνετε κλικ στο "Continue" για να προχωρήσετε στη ρύθμιση τυχόν προαιρετικών εφαρμογών σελιδοδείκτη. Το τελικό υποχρεωτικό βήμα ρύθμισης θα είναι στη σελίδα "Test Single Sign-On":

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Αφού πατήσετε "Continue to sign-in," ο οδηγός θα επιχειρήσει να δοκιμάσει τη νέα σας σύνδεση. Αν όλα είναι επιτυχή, θα έχετε ουσιαστικά ενεργοποιήσει το SSO. Πλέον θα πρέπει να το δείτε να αποτυπώνεται στη σελίδα διαμόρφωσής σας:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Οι χρήστες στην ομάδα IdP σας με αντίστοιχους λογαριασμούς ή προσκλήσεις θα πρέπει πλέον να μπορούν να συνδέονται με SSO:

  • Μπορούν να μεταβούν στο chatgpt.com ή στο platform.openai.com, να εισαγάγουν το email τους και έπειτα να πιστοποιηθούν αφού τους προωθήσουμε στο IdP τους

  • Μπορούν να χρησιμοποιήσουν το URL του Bookmark Tile που ρυθμίσατε (προαιρετικά) κατά τη ρύθμιση

Αν διαπιστώσετε ότι οι χρήστες σας δεν μπορούν να πιστοποιηθούν επιτυχώς και δυσκολεύεστε να επαναφέρετε τις αλλαγές, επικοινωνήστε άμεσα με την Υποστήριξη.

Θυμηθείτε ότι η ενεργοποίηση του SSO στο API Platform εφαρμόζει την επαλήθευση domain σε όλους τους χρήστες με αυτό το domain. Αυτό σημαίνει ότι, ακόμη κι αν οι χρήστες δεν ανήκουν στον οργανισμό Enterprise σας, θα πρέπει και πάλι να είναι μέρος της ομάδας IdP σας για να αποκτήσουν πρόσβαση στους προσωπικούς τους οργανισμούς.

Αντιμετώπιση προβλημάτων σύνδεσης

Αν, μετά την ενεργοποίηση του SSO, αντιμετωπίζετε προβλήματα κατά τη σύνδεση, μπορείτε να ανατρέξετε στη σελίδα Συχνές ερωτήσεις και αντιμετώπιση προβλημάτων για βοήθεια στον εντοπισμό συνηθισμένων σφαλμάτων. Αν δεν βρείτε εκεί επαρκή απάντηση, μη διστάσετε να επικοινωνήσετε με την Υποστήριξη.

Σας βοήθησε αυτό το άρθρο;