Tässä asiakirjassa käydään läpi kertakirjautumisen määrittäminen ChatGPT:lle ja API Platformille

Edellytykset

Jotta voit määrittää kertakirjautumisen, sinun on:

Oltava OpenAI-paketissa, jossa on globaali ylläpitokonsoli
Oltava globaali ylläpitäjä

Ennen kuin jatkat, tutustu SSO:n yleiskatsaukseen ja käyttäjähallinnan ohjesivuihin varmistaaksesi, että tunnet SSO-arkkitehtuurimme.

Jos olet aiemmin määrittänyt kertakirjautumisen API Platform -organisaatiolle tai ChatGPT-työtilalle, kertakirjautumisasetustesi pitäisi jo olla määritettävissä OpenAI Identity -sivulla. Jos työtilaa tai organisaatiota, jossa haluat ottaa kertakirjautumisen käyttöön, ei näy globaalissa ylläpitokonsolissasi, ota yhteyttä osoitteeseen support@openai.com.

⚠️ Käyttäjäsi lukittuvat ulos, jos kertakirjautumista ei määritetä oikein!

Virheellinen määritys voi johtaa siihen, että käyttäjäsi lukittuvat ulos organisaatioista ja työtiloista, joissa kertakirjautuminen on asetettu pakolliseksi. Suosittelemme, että sinä globaalina ylläpitäjänä pidät kertakirjautumisen valinnaisena ylläpitoportaalissa.

Pidä määrityksen aikana kaksi erillistä kirjautunutta ikkunaa auki:

Yksi kirjautuneena incognito-ikkunassa
Yksi kirjautuneena tavallisessa selaimessasi

Näin voit testata kirjautumisprosessia ja kertakirjautumis-/verkkotunnuksen vahvistusmääritystä yhdessä ikkunassa ja tarvittaessa peruuttaa muutokset toisen ikkunan kautta.

Kertakirjautumisen testaaminen

Jos haluat testata määritysprosessia ilman riskiä vaikutuksista käyttäjiisi, voit tehdä sen täällä olevan sovelluksen kautta.

Onnistuneen yhteyden muodostaminen tässä testisovelluksessa ei linkity tuotanto-organisaatioosi eikä tallenna yhteyttä (joten voit käyttää samoja parametreja tuotantoympäristössäsi, kun olet valmis). Tämä tarkoittaa, että sitä on turvallista käyttää hiekkalaatikkona tai testialueena samalla kun tutustut vaatimuksiin ja selvität mahdolliset puuttuvat edellytykset.

Kertakirjautumisen käyttöönotto

Aloita siirtymällä OpenAI Identity -sivulle globaalista ylläpitokonsolista. Pääset kyseiselle sivulle myös ChatGPT:n "Identity & Provisioning" -sivun linkistä "Manage Workspace" -asetusten alta tai API Platform -organisaatiosi asetusten Identity-välilehdeltä.

Jotkin alla olevista esimerkeistä esittelevät määrityksen Oktassa, mutta saman logiikan pitäisi päteä kaikkiin SAML-IdP:ihin.

Verkkotunnuksen vahvistus

Jotta kertakirjautuminen voidaan ottaa käyttöön, sinun on ensin vahvistettava vähintään yksi verkkotunnus.

Tärkeää: Muista tutustua jatkovaikutuksiin, joita verkkotunnuksen vahvistamisella voi olla kyseisen verkkotunnuksen käyttäjiin.

Aloita napsauttamalla "+ Add Domain" -painiketta ja syöttämällä DNS-tietosi:

Verify a new domain dialog with example.com entered and Submit available

Kun tiedot on lähetetty, annamme sinulle avaimen verkkotunnuksesi omistajuuden vahvistamista varten. Siirry DNS-palveluntarjoajasi palveluun ja lisää TXT-tietue annetulla arvolla:

TXT-tietueesi on oltava saavutettavissa DNS-haulla, jotta vahvistustarkistus onnistuu.

Kun olet tehnyt tämän DNS-palveluntarjoajasi palvelussa, palaa määrityssivulle ja napsauta "Check" -painiketta. Jos verkkotunnuksesi omistajuus vahvistettiin onnistuneesti, tilaksi päivittyy "Verified".

Domain management page with company.abc listed as Verified

Voit lisätä enintään 99 vahvistettua verkkotunnusta ylläpitoportaalia kohden, ja annamme 7 päivää aikaa suorittaa vahvistustarkistuksen ennen kuin merkitsemme verkkotunnuksen vanhentuneeksi. Verkkotunnus voidaan vahvistaa vain yhdessä ylläpitoportaalissa. Jos sinun täytyy vahvistaa sama verkkotunnus organisaatiossa tai työtilassa, joka ei ole ylläpitoportaalissasi, ota yhteyttä tukeen.

Sovelluksen määrittäminen

Kun verkkotunnuksesi on vahvistettu onnistuneesti, voit jatkaa kertakirjautumisen määritystä määrittämällä IdP-sovelluksesi.

Aloita napsauttamalla "Set up SSO" -painiketta:

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Identiteetin tarjoajan valitseminen

Voit valita luettelosta suosituimpia IdP-palveluja, jotka tukevat SAML-integraatioita natiivisti. Jos et näe IdP:täsi luettelossa tai haluat käyttää OIDC-yhteyttä, voit valita sopivan mukautetun yhteyden painikkeen, joka näkyy alareunassa:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Sovelluksen luominen/yhdistäminen

Voit nyt seurata vaiheittaista ohjattua määritystä, joka auttaa luomaan IdP-sovelluksesi ja yhdistämään sen meihin. Käyttämästäsi IdP:stä riippuen ohjeet voivat vaihdella hieman, mutta yleinen määritys pysyy samana:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Huomaa, että luontivaiheessa annetut URL-osoitteet ovat yksilöllisiä organisaatiollesi:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Tärkeää: Jos päätät nollata toimivan kertakirjautumisyhteyden, nämä URL-arvot muuttuvat. Kun määrität kertakirjautumisen uudelleen, varmista, että päivität ne sovellukseesi vastaavasti.

Kun olet saanut URL-määrityksen valmiiksi, voit jatkaa sovelluksesi kautta tunnistautuvien käyttäjien attribuuttikartoituksen määrittämiseen.

Attribuuttikartoitus

SSO-sovelluksessasi määrittämäsi attribuuttikartoitus määrittää lopulta, mitkä OpenAI-tilit tunnistetaan ja miten käyttäjäsi näkyvät OpenAI-tuotteissa. Nykyinen käyttäjämallimme tukee kolmea ominaisuutta:

Sähköpostiosoite (pakollinen SAML-vastauksessa, määrittää mitä tiliä käytetään)
Etunimi (valinnainen, mutta suositeltu)
Sukunimi (valinnainen, mutta suositeltu)

Huomautus: Emme tue SAML-vastausten salauksen purkamista. Varmista, ettet salaa vastaustasi tai vahvistustasi, jotta pystymme tunnistamaan attribuutit oikein.

IdP:stäsi riippuen tarkka attribuuttikartoitus vaihtelee. Suosittelemme noudattamaan täsmälleen sitä kartoitusta, joka on kuvattu IdP:llesi ohjatussa määrityksessä, esimerkiksi Okta olisi:

Jos näet uusien käyttäjien tulevan läpi siten, että heidän sähköpostiosoitteensa on asetettu näyttönimeksi, tarkista attribuuttikartoituksesi ja varmista, ettet salaa vastauksiasi.

Vaihtoehtoisesti, jos uusia käyttäjiä pyydetään syöttämään nimensä ja syntymäaikansa, tämä viittaa todennäköisesti siihen, ettemme tunnista oikeaa nimiarvoa attribuuttivastauksestasi.

Sähköpostimuutokset

Joskus käyttäjän sähköpostiosoite voi päivittyä IdP:ssäsi, esimerkiksi:

laillinen nimenmuutos avioliiton jälkeen
yritys on ostettu ja sillä on uusi verkkotunnus
jne.

Jos tämä muuttaa SSO:n SAMLResponse-vastauksen emailaddress-vaatimuksen arvoa, onnistuneen kertakirjautumisen jälkeen käytetään eri OpenAI-käyttäjää, joka on sidottu uuteen sähköpostiosoitteeseen (ja luodaan, jos sitä ei ole aiemmin ollut). Tämä käyttäjä on kutsuttava organisaatioon tai työtilaan erikseen alkuperäisestä käyttäjästä.

Ensisijaiset sähköpostiosoitteet

Joissakin tapauksissa käyttäjilläsi voi olla useita eri sähköpostiosoitteita. Tämä on yleinen tilanne suurissa yrityksissä, joilla on hajautetut postitusjärjestelmät, tai Edu-asiakkailla, joilla on eri kouluja, esimerkiksi:

Tässä tilanteessa suosittelemme varmistamaan, että SAML-vastauksesi sisältää attribuuteissaan vain yhden sähköpostiosoitteen, sillä useiden sähköpostiosoitteiden sisällyttäminen voi aiheuttaa sekaannusta, kun yritämme liittää sen uuteen tai olemassa olevaan käyttäjään.

Lisäksi, jos käyttäjillä on pysyvä sähköpostiosoite (esim. UPN), suosittelemme käyttämään sitä attribuuttikartoituksessa varmistaaksesi, että heillä on vakaa OpenAI-käyttäjätili, johon muiden sähköpostiosoitteiden muutokset eivät vaikuta.

IdP-sovelluksen käyttöoikeuden provisiointi

Kun olet luonut attribuuttikartoituksen onnistuneesti, ohjattu toiminto opastaa sinut vaiheissa, joilla provisioidaan käyttöoikeus oikeille käyttäjille haluttujen ryhmien kautta.

Tutustu käyttäjähallintaa koskeviin suosituksiimme parhaiden käytäntöjen osalta.

IdP-metatietojen määrittäminen

Tässä määrityksen vaiheessa sinulla on kaksi erillistä vaihtoehtoa IdP:si metatietojen määrittämiseen: dynaaminen määritys ja manuaalinen määritys.

Dynaaminen määritys

Tämä on suositeltu ja suoraviivaisin vaihtoehto. Dynaamisessa määrityksessä sinun tarvitsee vain antaa sovellukseesi liittyvä metatietojen URL-osoite (jonka SSO-URL ja aiemmin määrittämäsi Entity ID nyt täyttävät). Ohjattu määritystoiminto näyttää, mistä löydät tämän IdP:stäsi:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Manuaalinen määritys

Kuten nimi kertoo, manuaalinen määritys vaatii hieman enemmän työtä. IdP:stäsi riippuen sinun on syötettävä vastaava SSO-URL ja IdP-myöntäjä sekä x.509-varmenne:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

IdP-aloitteinen kirjautuminen

Jos haluat, että käyttäjäsi voivat napsauttaa laattaa hallintapaneelissaan ja tunnistautua automaattisesti, voit määrittää IdP-aloitteisen todennuksen sovellukseesi osana määritysprosessia. Vaikka tarkka prosessi vaihtelee IdP:stäsi riippuen, yleisessä prosessissa käytetään annettua URL-osoitetta muodossa:

ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login

Esimerkiksi Okta opastaa sinut luomaan uuden kirjanmerkkisovelluksen tällä URL-osoitteella:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Entra ID puolestaan antaa sinun syöttää annetun "Sign on URL" -osoitteen sopivaan lomakkeeseen:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Tärkeää: Jos päätät nollata toimivan kertakirjautumisyhteyden, nämä URL-arvot muuttuvat.

Tämä tarkoittaa, että kun määrität uuden yhteyden, sinun on myös päivitettävä Sign on URL vastaavasti, muuten käyttäjät eivät voi tunnistautua laattojensa kautta.

Määrityksen viimeistely

Kun olet määrittänyt IdP:si metatiedot, voit jatkaa valinnaisten kirjanmerkkisovellusten määritykseen napsauttamalla "Continue". Viimeinen pakollinen määritysvaihe on "Test Single Sign-On" -sivulla:

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Kun napsautat "Continue to sign-in", ohjattu toiminto yrittää testata uutta yhteyttäsi. Jos kaikki onnistuu, kertakirjautuminen on otettu käyttöön. Tämän pitäisi nyt näkyä määrityssivullasi:

OpenAI Single Sign-On test succeeded confirmation page

Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Käyttäjien IdP-ryhmässä, joilla on vastaavat tilit tai kutsut, pitäisi nyt voida kirjautua sisään kertakirjautumisella:

He voivat siirtyä osoitteeseen chatgpt.com tai platform.openai.com, syöttää sähköpostiosoitteensa ja tunnistautua sitten, kun ohjaamme heidät IdP:lleen
He voivat käyttää kirjanmerkkilaatan URL-osoitetta, jonka määritit (valinnaisesti) käyttöönoton aikana

Jos huomaat, etteivät käyttäjäsi pysty tunnistautumaan onnistuneesti ja sinulla on ongelmia muutosten peruuttamisessa, ota välittömästi yhteyttä tukeen saadaksesi apua.

Muista, että kertakirjautumisen ottaminen käyttöön API Platformilla soveltaa verkkotunnuksen vahvistuksen kaikkiin kyseisen verkkotunnuksen käyttäjiin. Tämä tarkoittaa, että vaikka käyttäjät eivät kuuluisi Enterprise-organisaatioosi, heidän on silti kuuluttava IdP-ryhmääsi, jotta he pääsevät omiin henkilökohtaisiin organisaatioihinsa.

Kirjautumisongelmien vianmääritys

Jos kohtaat kertakirjautumisen käyttöönoton jälkeen ongelmia kirjautumisessa, voit tutustua UKK- ja vianmäärityssivuumme saadaksesi apua yleisten virheiden tunnistamiseen. Jos et löydä sieltä riittävää vastausta, ota rohkeasti yhteyttä tukeen.

Kertakirjautumisen määrittäminen