OpenAI
Ang page na ito ay isinalin ng AI. Tingnan ang orihinal na artikulo sa English.

Pag-configure ng SSO

Ipinapaliwanag ng dokumentong ito kung paano i-configure ang SSO para sa ChatGPT at API Platform

Na-update: 15 days ago

Mga kinakailangan

Upang makapag-set up ng SSO, kailangan mong:

  1. Magkaroon ng OpenAI plan na may Global Admin Console

  2. Maging Global Admin

Bago magpatuloy, pakibasa ang aming mga pahina ng dokumentasyon na SSO Overview at User Management upang matiyak na pamilyar ka sa aming arkitektura ng SSO.

Kung dati ka nang nag-configure ng SSO para sa isang API Platform organization o ChatGPT workspace, dapat available na ang iyong mga setting ng SSO para i-configure sa pahinang OpenAI Identity. Kung ang workspace o org na gusto mong pag-enable-an ng SSO ay hindi ipinapakita sa iyong Global Admin Console, mangyaring makipag-ugnayan sa support@openai.com.

⚠️ Malaa-lock out ang iyong mga user kung hindi tama ang pagka-set up ng SSO!

Ang maling setup ay maaaring magresulta sa pagka-lock out ng iyong mga user sa mga org at workspace kung saan nakatakda ang SSO bilang required. Inirerekomenda namin na ikaw, bilang global admin, ay panatilihing Optional ang SSO sa Admin Portal.

Sa panahon ng setup, panatilihing bukas ang dalawang magkaibang naka-login na window:

  1. Isang naka-login sa pamamagitan ng incognito window

  2. Isang naka-login sa pamamagitan ng iyong karaniwang browser

Nagbibigay-daan ito sa iyong i-test ang proseso ng pag-login at ang setup ng iyong SSO/Domain Verification sa isang window, at ibalik ang mga pagbabago kung kinakailangan gamit ang ikalawang window.

Pagsubok sa SSO

Kung gusto mong subukan ang proseso ng setup nang hindi nanganganib na makaapekto sa iyong mga user, magagawa mo ito sa pamamagitan ng application na narito.

Ang pagkumpleto ng matagumpay na connection sa test application na ito ay hindi iuugnay sa iyong production org, at hindi rin ise-save ang connection (kaya maaari mong muling gamitin ang parehong mga parameter sa iyong production instance kapag handa ka na). Ibig sabihin nito, ligtas itong gamitin bilang sandbox o playground habang pinapamilyar mo ang iyong sarili sa mga kinakailangan at inaayos ang anumang kulang na prerequisite.

Pag-enable ng SSO

Para makapagsimula, pumunta sa pahinang OpenAI Identity mula sa Global Admin Console. Maaari mo ring puntahan ang pahinang iyon mula sa link sa pahinang "Identity & Provisioning" sa ilalim ng iyong mga setting na "Manage Workspace" sa ChatGPT o sa tab na Identity sa mga setting ng iyong API Platform organization.

Ang ilan sa mga halimbawa sa ibaba ay magpapakita ng setup sa Okta, ngunit ang parehong lohika ay dapat mailapat sa lahat ng SAML IdP.

Pag-verify ng Domain

Upang ma-enable ang SSO, kinakailangan muna naming ma-verify mo ang hindi bababa sa isang domain.

Mahalaga: Tandaang suriin ang downstream impact na maaaring idulot ng domain verification sa mga user na may domain na iyon.

I-click ang button na "+ Add Domain" at ilagay ang iyong DNS para makapagsimula:

Verify a new domain dialog with example.com entered and Submit available

Kapag naisumite na, magbibigay kami ng key para ma-verify mo ang pagmamay-ari ng iyong domain. Pumunta sa iyong DNS provider, at magdagdag ng TXT record gamit ang ibinigay na value:

Image

Dapat maabot ang iyong TXT record sa pamamagitan ng DNS lookup upang magtagumpay ang verification check.

Pagkatapos makumpleto ito sa iyong DNS provider, bumalik sa setup page at i-click ang button na "Check". Kung matagumpay na napatunayan ang pagmamay-ari ng iyong domain, makikita mong maa-update ang status sa "Verified."

Domain management page with company.abc listed as Verified

Maaari kang magdagdag ng hanggang 99 na verified domain bawat Admin Portal, at nagbibigay kami ng 7 araw para makumpleto mo ang verification check bago markahan ang domain bilang expired. Maaari lang ma-verify ang mga domain sa iisang Admin Portal. Kung kailangan mong i-verify ang parehong domain sa isang organization o workspace na wala sa iyong Admin Portal, mangyaring makipag-ugnayan sa Support.

Pag-configure ng Iyong Application

Pagkatapos ma-verify nang matagumpay ang iyong domain, maaari ka nang magpatuloy sa setup ng SSO sa pamamagitan ng pag-configure ng iyong IdP application.

Para makapagsimula, i-click ang button na "Set up SSO":

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Pagpili ng iyong Identity Provider

May opsyon kang pumili mula sa listahan ng mga pinakasikat na IdP na may native na suporta para sa mga integrasyong SAML. Kung hindi mo makita ang iyong IdP sa listahan, o kung gusto mong gumamit ng OIDC connection, maaari mong piliin ang naaangkop na button ng Custom connection na ipinapakita sa ibaba:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Paggawa/Pagkonekta ng Application

Maaari mo na ngayong sundan ang step-by-step na configuration wizard upang tumulong sa paggawa at pagkonekta ng iyong IdP application sa amin. Depende sa IdP na ginagamit mo, maaaring bahagyang magkaiba ang iyong mga tagubilin, ngunit nananatiling pareho ang pangkalahatang setup:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Tandaan na ang mga URL na ibinigay sa hakbang ng paggawa ay magiging natatangi sa iyong organization:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Mahalaga: Kung pipiliin mong i-reset ang isang maayos na SSO connection, magbabago ang mga URL value na ito. Kapag muling nagseset up ng SSO, kakailanganin mong tiyaking naa-update mo rin ang mga ito sa iyong application.

Kapag nakumpleto mo na ang setup ng URL, maaari ka nang magpatuloy sa pagtukoy ng attribute mapping para sa mga user na na-authenticate sa pamamagitan ng iyong application.

Attribute Mapping

Ang attribute mapping na itinatakda mo sa iyong SSO application ang siyang tumutukoy kung aling mga OpenAI account ang maa-authenticate at kung paano lalabas ang iyong mga user sa mga produkto ng OpenAI. Sinusuportahan ng aming kasalukuyang user model ang tatlong property:

  1. Email Address (kinakailangan sa SAML response, tumutukoy kung aling account ang maa-access)

  2. First Name (opsyonal, ngunit inirerekomenda)

  3. Last Name (opsyonal, ngunit inirerekomenda)

Tandaan: hindi namin sinusuportahan ang pagde-decrypt ng mga SAML Response. Pakitiyak na hindi mo ini-encrypt ang iyong response o assertion upang magarantiya na matutukoy namin nang tama ang mga attribute.

Depende sa iyong IdP, mag-iiba ang eksaktong attribute mapping. Inirerekomenda naming sundin ang eksaktong mapping na ipinapakita para sa iyong IdP sa setup wizard, hal. ang Okta ay magiging:

Image

Kung nakakakita ka ng mga bagong user na pumapasok na ang kanilang mga email address ay nakatakda sa kanilang display name, pakisuri ang iyong attribute mapping at tiyaking hindi mo ini-encrypt ang iyong mga response.

Bilang alternatibo, kung ang mga bagong user ay hinihilingang ilagay ang kanilang pangalan at kaarawan, malamang na nagpapahiwatig ito na hindi namin natutukoy ang wastong value ng pangalan mula sa iyong attribute response.

Mga Pagbabago sa Email

Paminsan-minsan, maaaring ma-update ang email address ng isang user sa iyong IdP, hal.

  • Pagpapalit ng legal na pangalan pagkatapos ng kasal

  • Nabili ang kanilang kumpanya at may bago na silang domain

  • atbp.

Kung babaguhin nito ang value ng claim na emailaddress sa SSO SAMLResponse, ibang OpenAI user na naka-ugnay sa bagong email address ang maa-access (at gagawin kung hindi pa dati umiiral) kapag matagumpay ang SSO. Kakailanganing imbitahan ang user na ito sa Org o Workspace nang hiwalay sa orihinal na user.

Pangunahing mga Email Address

Sa ilang kaso, maaaring mayroon kang mga user na may maraming magkaibang email address. Karaniwang sitwasyon ito sa malalaking kumpanya na may distributed mailing systems o para sa mga customer ng Edu na may iba’t ibang paaralan, hal.

Sa sitwasyong ito, inirerekomenda naming tiyaking iisang email address lang ang kasama sa attributes ng iyong SAML response, dahil ang pagsama ng maraming email ay maaaring magdulot ng kalituhan kapag sinusubukan naming iugnay ito sa bago o umiiral nang user.

Bukod dito, kung ang mga user ay may static na email address (hal. UPN), inirerekomenda naming gamitin ito sa iyong attribute mapping upang matiyak na magkakaroon sila ng stable na OpenAI user account na hindi maaapektuhan kapag nabago ang iba nilang email address.

Magbigay ng Access sa IdP Application

Kapag matagumpay mo nang nagawa ang iyong attribute mapping, gagabayan ka ng wizard sa mga hakbang para magbigay ng access sa mga tamang user sa pamamagitan ng mga nais na group.

Pakisuri ang aming mga rekomendasyon sa User Management para sa pinakamahuhusay na kasanayan.

Pagtatakda ng IdP Metadata

Sa puntong ito ng setup, mayroon kang dalawang magkaibang opsyon para tukuyin ang metadata ng iyong IdP: Dynamic Configuration at Manual Configuration.

Dynamic Configuration

Ito ang inirerekomenda at pinakasimpleng opsyon. Sa Dynamic Configuration, kailangan mo lang ibigay ang Metadata URL (na ngayon ay pinupunan ng SSO URL at Entity ID na na-configure mo kanina) na nauugnay sa iyong application. Ipapakita sa iyo ng setup wizard kung saan mo ito mahahanap sa iyong IdP:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Manual Configuration

Gaya ng ipinahihiwatig ng pangalan, ang Manual Configuration ay nangangailangan ng kaunti pang trabaho. Depende sa iyong IdP, kakailanganin mong ilagay ang katumbas na SSO URL at IdP issuer, kasama ang isang x.509 certificate:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

Login na Sinimulan ng IdP

Kung gusto mong makapag-click ang iyong mga user ng tile sa kanilang dashboard at awtomatikong ma-authenticate, maaari mong i-configure ang auth na sinimulan ng IdP sa iyong application bilang bahagi ng proseso ng setup. Bagama't mag-iiba ang eksaktong proseso depende sa iyong IdP, karaniwang gagamit ang proseso ng ibinigay na URL sa anyong:

Bilang halimbawa, gagabayan ka ng Okta sa paggawa ng bagong Bookmark Application gamit ang URL na ito:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Samantalang pahihintulutan ka ng Entra ID na ilagay ang ibinigay na "Sign on URL" sa naaangkop na form:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Mahalaga: Kung pipiliin mong i-reset ang isang maayos na SSO connection, ang mga URL value na ito ay magbabago.

Ibig sabihin nito, kapag na-configure mo ang bagong connection, kakailanganin mo ring i-update ang iyong Sign on URL nang naaayon, kung hindi ay hindi makakapag-authenticate ang mga user sa pamamagitan ng kanilang mga tile.

Pagkumpleto ng Setup

Kapag na-configure mo na ang metadata ng iyong IdP, maaari mong i-click ang "Continue" para magpatuloy sa pag-set up ng anumang optional na bookmark app. Ang huling kinakailangang hakbang sa configuration ay nasa pahinang "Test Single Sign-On":

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Pagkatapos pindutin ang "Continue to sign-in," susubukan ng wizard na i-test ang bago mong connection. Kung matagumpay ang lahat, epektibo mo nang na-enable ang SSO. Dapat mo na ngayong makita ito sa iyong configuration page:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Ang mga user sa iyong IdP group na may katumbas na mga account o invitation ay dapat maaari nang mag-login gamit ang SSO:

  • Maaari silang pumunta sa chatgpt.com o platform.openai.com, ilagay ang kanilang email, at pagkatapos ay mag-authenticate matapos namin silang i-forward sa kanilang IdP

  • Maaari nilang gamitin ang Bookmark Tile URL na iyong (opsyonal na) na-configure habang nagsesetup

Kung mapansin mong hindi matagumpay na makapag-authenticate ang iyong mga user, at nahihirapan kang ibalik ang mga pagbabago, mangyaring makipag-ugnayan agad sa Support para sa agarang tulong.

Tandaan na ang pag-enable ng SSO sa API Platform ay inilalapat ang domain verification sa lahat ng user na may domain na iyon. Ibig sabihin nito, kahit hindi kabilang ang mga user sa iyong Enterprise organization, kakailanganin pa rin silang maging bahagi ng iyong IdP group upang ma-access ang kanilang mga personal na organization.

Pag-troubleshoot ng mga Login

Kung pagkatapos i-enable ang SSO ay nakakaranas ka ng mga isyu sa pag-log in, maaari mong tingnan ang aming pahinang FAQ and Troubleshooting para sa tulong sa pagtukoy ng mga karaniwang error. Kung wala kang makitang sapat na sagot doon, huwag mag-atubiling makipag-ugnayan sa Support.

Nakatulong ba ang artikulong ito?