Mga kinakailangan
Upang makapag-set up ng SSO, kailangan mong:
Magkaroon ng OpenAI plan na may Global Admin Console
Maging Global Admin
Bago magpatuloy, pakibasa ang aming mga pahina ng dokumentasyon na SSO Overview at User Management upang matiyak na pamilyar ka sa aming arkitektura ng SSO.
Kung dati ka nang nag-configure ng SSO para sa isang API Platform organization o ChatGPT workspace, dapat available na ang iyong mga setting ng SSO para i-configure sa pahinang OpenAI Identity. Kung ang workspace o org na gusto mong pag-enable-an ng SSO ay hindi ipinapakita sa iyong Global Admin Console, mangyaring makipag-ugnayan sa support@openai.com.
⚠️ Malaa-lock out ang iyong mga user kung hindi tama ang pagka-set up ng SSO!
Ang maling setup ay maaaring magresulta sa pagka-lock out ng iyong mga user sa mga org at workspace kung saan nakatakda ang SSO bilang required. Inirerekomenda namin na ikaw, bilang global admin, ay panatilihing Optional ang SSO sa Admin Portal.
Sa panahon ng setup, panatilihing bukas ang dalawang magkaibang naka-login na window:
Isang naka-login sa pamamagitan ng incognito window
Isang naka-login sa pamamagitan ng iyong karaniwang browser
Nagbibigay-daan ito sa iyong i-test ang proseso ng pag-login at ang setup ng iyong SSO/Domain Verification sa isang window, at ibalik ang mga pagbabago kung kinakailangan gamit ang ikalawang window.
Pagsubok sa SSO
Kung gusto mong subukan ang proseso ng setup nang hindi nanganganib na makaapekto sa iyong mga user, magagawa mo ito sa pamamagitan ng application na narito.
Ang pagkumpleto ng matagumpay na connection sa test application na ito ay hindi iuugnay sa iyong production org, at hindi rin ise-save ang connection (kaya maaari mong muling gamitin ang parehong mga parameter sa iyong production instance kapag handa ka na). Ibig sabihin nito, ligtas itong gamitin bilang sandbox o playground habang pinapamilyar mo ang iyong sarili sa mga kinakailangan at inaayos ang anumang kulang na prerequisite.
Pag-enable ng SSO
Para makapagsimula, pumunta sa pahinang OpenAI Identity mula sa Global Admin Console. Maaari mo ring puntahan ang pahinang iyon mula sa link sa pahinang "Identity & Provisioning" sa ilalim ng iyong mga setting na "Manage Workspace" sa ChatGPT o sa tab na Identity sa mga setting ng iyong API Platform organization.
Ang ilan sa mga halimbawa sa ibaba ay magpapakita ng setup sa Okta, ngunit ang parehong lohika ay dapat mailapat sa lahat ng SAML IdP.
Pag-verify ng Domain
Upang ma-enable ang SSO, kinakailangan muna naming ma-verify mo ang hindi bababa sa isang domain.
Mahalaga: Tandaang suriin ang downstream impact na maaaring idulot ng domain verification sa mga user na may domain na iyon.
I-click ang button na "+ Add Domain" at ilagay ang iyong DNS para makapagsimula:

Kapag naisumite na, magbibigay kami ng key para ma-verify mo ang pagmamay-ari ng iyong domain. Pumunta sa iyong DNS provider, at magdagdag ng TXT record gamit ang ibinigay na value:

Dapat maabot ang iyong TXT record sa pamamagitan ng DNS lookup upang magtagumpay ang verification check.
Pagkatapos makumpleto ito sa iyong DNS provider, bumalik sa setup page at i-click ang button na "Check". Kung matagumpay na napatunayan ang pagmamay-ari ng iyong domain, makikita mong maa-update ang status sa "Verified."

Maaari kang magdagdag ng hanggang 99 na verified domain bawat Admin Portal, at nagbibigay kami ng 7 araw para makumpleto mo ang verification check bago markahan ang domain bilang expired. Maaari lang ma-verify ang mga domain sa iisang Admin Portal. Kung kailangan mong i-verify ang parehong domain sa isang organization o workspace na wala sa iyong Admin Portal, mangyaring makipag-ugnayan sa Support.
Pag-configure ng Iyong Application
Pagkatapos ma-verify nang matagumpay ang iyong domain, maaari ka nang magpatuloy sa setup ng SSO sa pamamagitan ng pag-configure ng iyong IdP application.
Para makapagsimula, i-click ang button na "Set up SSO":

Pagpili ng iyong Identity Provider
May opsyon kang pumili mula sa listahan ng mga pinakasikat na IdP na may native na suporta para sa mga integrasyong SAML. Kung hindi mo makita ang iyong IdP sa listahan, o kung gusto mong gumamit ng OIDC connection, maaari mong piliin ang naaangkop na button ng Custom connection na ipinapakita sa ibaba:

Paggawa/Pagkonekta ng Application
Maaari mo na ngayong sundan ang step-by-step na configuration wizard upang tumulong sa paggawa at pagkonekta ng iyong IdP application sa amin. Depende sa IdP na ginagamit mo, maaaring bahagyang magkaiba ang iyong mga tagubilin, ngunit nananatiling pareho ang pangkalahatang setup:

Tandaan na ang mga URL na ibinigay sa hakbang ng paggawa ay magiging natatangi sa iyong organization:

Mahalaga: Kung pipiliin mong i-reset ang isang maayos na SSO connection, magbabago ang mga URL value na ito. Kapag muling nagseset up ng SSO, kakailanganin mong tiyaking naa-update mo rin ang mga ito sa iyong application.
Kapag nakumpleto mo na ang setup ng URL, maaari ka nang magpatuloy sa pagtukoy ng attribute mapping para sa mga user na na-authenticate sa pamamagitan ng iyong application.
Attribute Mapping
Ang attribute mapping na itinatakda mo sa iyong SSO application ang siyang tumutukoy kung aling mga OpenAI account ang maa-authenticate at kung paano lalabas ang iyong mga user sa mga produkto ng OpenAI. Sinusuportahan ng aming kasalukuyang user model ang tatlong property:
Email Address (kinakailangan sa SAML response, tumutukoy kung aling account ang maa-access)
First Name (opsyonal, ngunit inirerekomenda)
Last Name (opsyonal, ngunit inirerekomenda)
Tandaan: hindi namin sinusuportahan ang pagde-decrypt ng mga SAML Response. Pakitiyak na hindi mo ini-encrypt ang iyong response o assertion upang magarantiya na matutukoy namin nang tama ang mga attribute.
Depende sa iyong IdP, mag-iiba ang eksaktong attribute mapping. Inirerekomenda naming sundin ang eksaktong mapping na ipinapakita para sa iyong IdP sa setup wizard, hal. ang Okta ay magiging:

Kung nakakakita ka ng mga bagong user na pumapasok na ang kanilang mga email address ay nakatakda sa kanilang display name, pakisuri ang iyong attribute mapping at tiyaking hindi mo ini-encrypt ang iyong mga response.
Bilang alternatibo, kung ang mga bagong user ay hinihilingang ilagay ang kanilang pangalan at kaarawan, malamang na nagpapahiwatig ito na hindi namin natutukoy ang wastong value ng pangalan mula sa iyong attribute response.
Mga Pagbabago sa Email
Paminsan-minsan, maaaring ma-update ang email address ng isang user sa iyong IdP, hal.
Pagpapalit ng legal na pangalan pagkatapos ng kasal
Nabili ang kanilang kumpanya at may bago na silang domain
atbp.
Kung babaguhin nito ang value ng claim na emailaddress sa SSO SAMLResponse, ibang OpenAI user na naka-ugnay sa bagong email address ang maa-access (at gagawin kung hindi pa dati umiiral) kapag matagumpay ang SSO. Kakailanganing imbitahan ang user na ito sa Org o Workspace nang hiwalay sa orihinal na user.
Pangunahing mga Email Address
Sa ilang kaso, maaaring mayroon kang mga user na may maraming magkaibang email address. Karaniwang sitwasyon ito sa malalaking kumpanya na may distributed mailing systems o para sa mga customer ng Edu na may iba’t ibang paaralan, hal.
Sa sitwasyong ito, inirerekomenda naming tiyaking iisang email address lang ang kasama sa attributes ng iyong SAML response, dahil ang pagsama ng maraming email ay maaaring magdulot ng kalituhan kapag sinusubukan naming iugnay ito sa bago o umiiral nang user.
Bukod dito, kung ang mga user ay may static na email address (hal. UPN), inirerekomenda naming gamitin ito sa iyong attribute mapping upang matiyak na magkakaroon sila ng stable na OpenAI user account na hindi maaapektuhan kapag nabago ang iba nilang email address.
Magbigay ng Access sa IdP Application
Kapag matagumpay mo nang nagawa ang iyong attribute mapping, gagabayan ka ng wizard sa mga hakbang para magbigay ng access sa mga tamang user sa pamamagitan ng mga nais na group.
Pakisuri ang aming mga rekomendasyon sa User Management para sa pinakamahuhusay na kasanayan.
Pagtatakda ng IdP Metadata
Sa puntong ito ng setup, mayroon kang dalawang magkaibang opsyon para tukuyin ang metadata ng iyong IdP: Dynamic Configuration at Manual Configuration.
Dynamic Configuration
Ito ang inirerekomenda at pinakasimpleng opsyon. Sa Dynamic Configuration, kailangan mo lang ibigay ang Metadata URL (na ngayon ay pinupunan ng SSO URL at Entity ID na na-configure mo kanina) na nauugnay sa iyong application. Ipapakita sa iyo ng setup wizard kung saan mo ito mahahanap sa iyong IdP:

Manual Configuration
Gaya ng ipinahihiwatig ng pangalan, ang Manual Configuration ay nangangailangan ng kaunti pang trabaho. Depende sa iyong IdP, kakailanganin mong ilagay ang katumbas na SSO URL at IdP issuer, kasama ang isang x.509 certificate:

Login na Sinimulan ng IdP
Kung gusto mong makapag-click ang iyong mga user ng tile sa kanilang dashboard at awtomatikong ma-authenticate, maaari mong i-configure ang auth na sinimulan ng IdP sa iyong application bilang bahagi ng proseso ng setup. Bagama't mag-iiba ang eksaktong proseso depende sa iyong IdP, karaniwang gagamit ang proseso ng ibinigay na URL sa anyong:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Bilang halimbawa, gagabayan ka ng Okta sa paggawa ng bagong Bookmark Application gamit ang URL na ito:

Samantalang pahihintulutan ka ng Entra ID na ilagay ang ibinigay na "Sign on URL" sa naaangkop na form:

Mahalaga: Kung pipiliin mong i-reset ang isang maayos na SSO connection, ang mga URL value na ito ay magbabago.
Ibig sabihin nito, kapag na-configure mo ang bagong connection, kakailanganin mo ring i-update ang iyong Sign on URL nang naaayon, kung hindi ay hindi makakapag-authenticate ang mga user sa pamamagitan ng kanilang mga tile.
Pagkumpleto ng Setup
Kapag na-configure mo na ang metadata ng iyong IdP, maaari mong i-click ang "Continue" para magpatuloy sa pag-set up ng anumang optional na bookmark app. Ang huling kinakailangang hakbang sa configuration ay nasa pahinang "Test Single Sign-On":

Pagkatapos pindutin ang "Continue to sign-in," susubukan ng wizard na i-test ang bago mong connection. Kung matagumpay ang lahat, epektibo mo nang na-enable ang SSO. Dapat mo na ngayong makita ito sa iyong configuration page:


Ang mga user sa iyong IdP group na may katumbas na mga account o invitation ay dapat maaari nang mag-login gamit ang SSO:
Maaari silang pumunta sa chatgpt.com o platform.openai.com, ilagay ang kanilang email, at pagkatapos ay mag-authenticate matapos namin silang i-forward sa kanilang IdP
Maaari nilang gamitin ang Bookmark Tile URL na iyong (opsyonal na) na-configure habang nagsesetup
Kung mapansin mong hindi matagumpay na makapag-authenticate ang iyong mga user, at nahihirapan kang ibalik ang mga pagbabago, mangyaring makipag-ugnayan agad sa Support para sa agarang tulong.
Tandaan na ang pag-enable ng SSO sa API Platform ay inilalapat ang domain verification sa lahat ng user na may domain na iyon. Ibig sabihin nito, kahit hindi kabilang ang mga user sa iyong Enterprise organization, kakailanganin pa rin silang maging bahagi ng iyong IdP group upang ma-access ang kanilang mga personal na organization.
Pag-troubleshoot ng mga Login
Kung pagkatapos i-enable ang SSO ay nakakaranas ka ng mga isyu sa pag-log in, maaari mong tingnan ang aming pahinang FAQ and Troubleshooting para sa tulong sa pagtukoy ng mga karaniwang error. Kung wala kang makitang sapat na sagot doon, huwag mag-atubiling makipag-ugnayan sa Support.
