OpenAI
આ પેજનો અનુવાદ મશીન દ્વારા કરવામાં આવ્યો હતો. મૂળ અંગ્રેજી લેખ જુઓ.

SSO કન્ફિગર કરવું

આ દસ્તાવેજ ChatGPT અને API Platform માટે SSO કન્ફિગર કરવાની પ્રક્રિયા સમજાવે છે.

અપડેટ કર્યા તારીખ: 2 days ago

પૂર્વશરતો

SSO સેટ અપ કરવા માટે, તમારે:

  1. Global Admin Console ધરાવતી OpenAI યોજના હોવી જોઈએ

  2. Global Admin હોવા જોઈએ

આગળ વધતા પહેલાં, અમારી SSO Overview અને User Management દસ્તાવેજીકરણ પૃષ્ઠોની સમીક્ષા કરો જેથી તમે અમારી SSO રચના સાથે પરિચિત હોવાની ખાતરી કરી શકો.

જો તમે અગાઉ API Platform સંસ્થા અથવા ChatGPT વર્કસ્પેસ માટે SSO કન્ફિગર કર્યું હોય, તો તમારી SSO સેટિંગ્સ OpenAI Identity પેજ પર કન્ફિગર કરવા માટે પહેલેથી ઉપલબ્ધ હોવી જોઈએ. જો જે વર્કસ્પેસ અથવા સંસ્થા માટે તમે SSO સક્રિય કરવા માંગો છો તે તમારી Global Admin Console માં નથી દેખાતી, તો કૃપા કરીને support@openai.com નો સંપર્ક કરો.

⚠️ જો SSO યોગ્ય રીતે સેટ અપ ન હોય તો તમારા વપરાશકર્તાઓ લૉક આઉટ થઈ જશે.

ખોટા સેટઅપને કારણે તમારા વપરાશકર્તાઓ તે orgs અને વર્કસ્પેસમાંથી લૉક આઉટ થઈ શકે છે જ્યાં SSO required પર સેટ છે. અમે ભલામણ કરીએ છીએ કે તમે, global admin તરીકે, Admin Portal માં SSO ને Optional તરીકે જ રાખો.

સેટઅપ દરમિયાન, બે અલગથી લૉગિન કરેલી વિન્ડોઝ ખુલ્લી રાખો:

  1. એક incognito વિન્ડો દ્વારા લૉગિન કરેલી

  2. એક તમારા સામાન્ય બ્રાઉઝર દ્વારા લૉગિન કરેલી

આથી તમે એક વિન્ડો પર લોગિન પ્રક્રિયા અને તમારા SSO/Domain Verification સેટઅપનું પરીક્ષણ કરી શકો છો, અને જરૂર પડે તો બીજી વિન્ડો દ્વારા ફેરફારો પાછા ફેરવી શકો છો.

SSOનું પરીક્ષણ

જો તમે તમારા વપરાશકર્તાઓ પર અસરના જોખમ વિના સેટઅપ પ્રક્રિયાનું પરીક્ષણ કરવા માંગતા હો, તો તમે અહીંની એપ્લિકેશન દ્વારા તે કરી શકો છો here.

આ ટેસ્ટ એપ્લિકેશન પર સફળ કનેક્શન પૂર્ણ કરવાથી તે તમારી production org સાથે જોડાશે નહીં, અને કનેક્શન સેવ પણ નહીં થાય (તેથી તમે તૈયાર થાઓ ત્યારે તમારી production instance માં એ જ પરિમાણો ફરી વાપરી શકો). એટલે કે જ્યારે તમે આવશ્યકતાઓ સમજી રહ્યા હો અને બાકી રહેલી પૂર્વશરતો ઉકેલી રહ્યા હો ત્યારે તેને sandbox અથવા playground તરીકે વાપરવું સુરક્ષિત છે.

SSO સક્રિય કરવું

શરૂ કરવા માટે, Global Admin Console માંથી OpenAI Identity પેજ પર જાઓ. તમે ChatGPT માં તમારી "Manage Workspace" સેટિંગ્સ હેઠળના "Identity & Provisioning" પેજ પરની લિંક અથવા તમારી API Platform સંસ્થા સેટિંગ્સમાંના Identity ટેબ પરથી પણ તે પેજ સુધી પહોંચી શકો છો.

નીચેના કેટલાક ઉદાહરણોમાં Okta માં સેટઅપ બતાવવામાં આવશે, પરંતુ એ જ તર્ક બધા SAML IdP પર લાગુ પડવો જોઈએ.

ડોમેન ચકાસણી

SSO સક્રિય કરવા માટે, અમે માંગીએ છીએ કે તમે પહેલાં ઓછામાં ઓછું એક ડોમેન ચકાસો.

મહત્વપૂર્ણ: ડોમેન ચકાસણીનો તે ડોમેન ધરાવતા વપરાશકર્તાઓ પર શું downstream impact પડી શકે તેની સમીક્ષા કરવાનું યાદ રાખો.

શરૂ કરવા માટે "+ Add Domain" બટન પર ક્લિક કરો અને તમારું DNS દાખલ કરો:

Verify a new domain dialog with example.com entered and Submit available

સબમિટ કર્યા પછી, અમે તમને તમારા ડોમેનની માલિકી ચકાસવા માટે એક કી આપીએ છીએ. તમારા DNS પ્રોવાઇડર પાસે જાઓ અને આપવામાં આવેલી કિંમત સાથે TXT રેકોર્ડ ઉમેરો:

Image

ચકાસણી સફળ થવા માટે તમારો TXT રેકોર્ડ DNS lookup દ્વારા પહોંચમાં હોવો જરૂરી છે.

તમારા DNS પ્રોવાઇડરમાં આ પૂર્ણ કર્યા પછી, સેટઅપ પેજ પર પાછા આવો અને "Check" બટન ક્લિક કરો. જો તમારા ડોમેનની માલિકી સફળતાપૂર્વક માન્ય થઈ હશે, તો સ્ટેટસ "Verified." તરીકે અપડેટ થયેલ દેખાશે.

Domain management page with company.abc listed as Verified

તમે દરેક Admin Portal દીઠ વધુમાં વધુ 99 ચકાસાયેલ ડોમેન ઉમેરી શકો છો, અને અમે ડોમેનને સમયસમાપ્ત તરીકે ચિહ્નિત કરતા પહેલાં ચકાસણી પૂર્ણ કરવા માટે 7 દિવસનો સમય આપીએ છીએ. ડોમેન માત્ર એક જ Admin Portal પર ચકાસી શકાય છે. જો તમારે તમારા Admin Portal બહારની કોઈ સંસ્થા અથવા વર્કસ્પેસ પર એ જ ડોમેન ચકાસવું હોય, તો કૃપા કરીને Support નો સંપર્ક કરો.

તમારી એપ્લિકેશન કન્ફિગર કરવી

તમારું ડોમેન સફળતાપૂર્વક ચકાસ્યા પછી, તમે તમારી IdP એપ્લિકેશન કન્ફિગર કરીને SSO સેટઅપ આગળ વધારી શકો છો.

શરૂ કરવા માટે, "Set up SSO" બટન પર ક્લિક કરો:

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

તમારા Identity Provider પસંદ કરવું

તમારી પાસે SAML ઇન્ટિગ્રેશન્સને નેટિવ રીતે સપોર્ટ કરતા સૌથી લોકપ્રિય IdP ની સૂચિમાંથી પસંદ કરવાનો વિકલ્પ છે. જો તમને સૂચીમાં તમારું IdP ન દેખાય, અથવા તમે OIDC કનેક્શન વાપરવા માંગતા હો, તો નીચે બતાવેલ યોગ્ય Custom connection બટન પસંદ કરી શકો છો:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

એપ્લિકેશન બનાવવી/જોડવી

હવે તમે અમારી સાથે તમારી IdP એપ્લિકેશન બનાવવા અને જોડવા માટે પગલું-દર-પગલું કન્ફિગરેશન વિઝાર્ડ અનુસરશો. તમે કયા IdP નો ઉપયોગ કરો છો તેના આધારે સૂચનાઓમાં થોડો ફેરફાર હોઈ શકે, પરંતુ સામાન્ય સેટઅપ સમાન રહે છે:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

ધ્યાન રાખો કે બનાવટના પગલામાં આપવામાં આવેલા URL તમારી સંસ્થા માટે અનન્ય હશે:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

મહત્વપૂર્ણ: જો તમે સારી રીતે કાર્યરત SSO કનેક્શનને રીસેટ કરવાનું પસંદ કરો, તો આ URL મૂલ્યો બદલાશે. SSO ફરી સેટ કરતી વખતે, તમને તમારી એપ્લિકેશનમાં તેને અનુરૂપ રીતે અપડેટ કરવાની ખાતરી કરવી પડશે.

એકવાર તમે URL સેટઅપ પૂર્ણ કરો, પછી તમે તમારી એપ્લિકેશન દ્વારા ઓથેન્ટિકેટ થયેલા વપરાશકર્તાઓ માટે attribute mapping નિર્ધારિત કરવા આગળ વધી શકો છો.

Attribute Mapping

તમારી SSO એપ્લિકેશનમાં તમે નિર્ધારિત કરેલું attribute mapping અંતે નક્કી કરે છે કે કયા OpenAI એકાઉન્ટ્સ ઓથેન્ટિકેટ થાય છે અને તમારા વપરાશકર્તાઓ OpenAI ઉત્પાદનોમાં કેવી રીતે દેખાય છે. અમારું વર્તમાન વપરાશકર્તા મોડલ ત્રણ ગુણધર્મોને સપોર્ટ કરે છે:

  1. ઇમેઇલ સરનામું (SAML response માં જરૂરી, કયું એકાઉન્ટ ઍક્સેસ થાય તે નક્કી કરે છે)

  2. પ્રથમ નામ (વૈકલ્પિક, પણ ભલામણ કરેલું)

  3. અટક (વૈકલ્પિક, પણ ભલામણ કરેલું)

નોંધ: અમે SAML Responses નું ડિક્રિપ્શન સમર્થન કરતા નથી. કૃપા કરીને ખાતરી કરો કે તમે તમારા response અથવા assertion ને એન્ક્રિપ્ટ કરતા નથી, જેથી અમે attributes ને યોગ્ય રીતે ઓળખી શકીએ.

તમારા IdP પર આધાર રાખીને, ચોક્કસ attribute mapping બદલાશે. અમે ભલામણ કરીએ છીએ કે સેટઅપ વિઝાર્ડમાં તમારા IdP માટે દર્શાવેલ સચોટ mapping નું પાલન કરો, જેમ કે Okta માટે તે આ રીતે હશે:

Image

જો તમે જોઈ રહ્યા છો કે નવા વપરાશકર્તાઓનું ઇમેઇલ સરનામું તેમના display name તરીકે સેટ થઈ રહ્યું છે, તો કૃપા કરીને તમારું attribute mapping તપાસો અને ખાતરી કરો કે તમે તમારા responses ને એન્ક્રિપ્ટ કરતા નથી.

વૈકલ્પિક રીતે, જો નવા વપરાશકર્તાઓને તેમનું નામ અને જન્મતારીખ દાખલ કરવા કહેવામાં આવે છે, તો શક્ય છે કે અમે તમારા attribute response માંથી યોગ્ય નામનું મૂલ્ય ઓળખી રહ્યા નથી.

ઇમેઇલ ફેરફારો

કેટલાક વખત, તમારા IdP માં વપરાશકર્તાનું ઇમેઇલ સરનામું અપડેટ થઈ શકે છે, જેમ કે.

  • લગ્ન પછી કાનૂની નામમાં ફેરફાર

  • તેમની કંપનીનું અધિગ્રહણ થયું હોય અને તેમને નવું ડોમેન મળ્યું હોય

  • વગેરે.

જો આ SSO SAMLResponse માં emailaddress claim નું મૂલ્ય બદલે છે, તો નવા ઇમેઇલ સરનામા સાથે જોડાયેલ અલગ OpenAI વપરાશકર્તા SSO સફળ થયા પછી ઍક્સેસ થશે (અને જો પહેલેથી અસ્તિત્વમાં ન હોય તો બનાવવામાં આવશે). આ વપરાશકર્તાને મૂળ વપરાશકર્તાથી અલગ રીતે Org અથવા વર્કસ્પેસમાં આમંત્રિત કરવો પડશે.

પ્રાથમિક ઇમેઇલ સરનામાં

કેટલાક કિસ્સાઓમાં, તમારા પાસે અલગ અલગ અનેક ઇમેઇલ સરનામાં ધરાવતા વપરાશકર્તાઓ હોઈ શકે છે. વિતરિત મેઇલિંગ સિસ્ટમ ધરાવતી મોટી કંપનીઓમાં અથવા જુદી જુદી સ્કૂલ ધરાવતા Edu ગ્રાહકો માટે આ સામાન્ય પરિસ્થિતિ છે, જેમ કે.

આ પરિસ્થિતિમાં, અમે ભલામણ કરીએ છીએ કે તમારા SAML response ના attributes માં ફક્ત એક જ ઇમેઇલ સરનામું સામેલ હોય, કારણ કે અનેક ઇમેઇલ્સ સામેલ કરવાથી જ્યારે અમે તેને નવા અથવા હાલના વપરાશકર્તા સાથે જોડવાનો પ્રયાસ કરીએ ત્યારે ગુંચવણ થઈ શકે છે.

આ ઉપરાંત, જો વપરાશકર્તાઓ પાસે સ્થિર ઇમેઇલ સરનામું હોય (જેમ કે UPN), તો અમે ભલામણ કરીએ છીએ કે તમારા attribute mapping માં તેનો ઉપયોગ કરો જેથી તેઓનું OpenAI વપરાશકર્તા એકાઉન્ટ સ્થિર રહે અને તેમના અન્ય ઇમેઇલ સરનામાં બદલાય ત્યારે તેનો પ્રભાવ ન પડે.

IdP એપ્લિકેશન ઍક્સેસ પ્રોવિઝન કરો

એકવાર તમે સફળતાપૂર્વક તમારું attribute mapping બનાવી લો, પછી વિઝાર્ડ ઇચ્છિત જૂથો દ્વારા યોગ્ય વપરાશકર્તાઓને ઍક્સેસ પ્રોવિઝન કરવા માટેના પગલાં બતાવશે.

શ્રેષ્ઠ પદ્ધતિઓ માટે કૃપા કરીને User Management અંગે અમારી ભલામણોની સમીક્ષા કરો.

IdP મેટાડેટા સેટ કરવું

સેટઅપના આ તબક્કે, તમારી IdP ની મેટાડેટા નિર્ધારિત કરવા માટે તમારી પાસે બે અલગ વિકલ્પો છે: Dynamic Configuration અને Manual Configuration.

Dynamic Configuration

આ ભલામણ કરાયેલ અને સૌથી સરળ વિકલ્પ છે. Dynamic Configuration સાથે, તમારે ફક્ત તમારા એપ્લિકેશન સાથે સંકળાયેલ Metadata URL આપવાની જરૂર છે (હવે તે પહેલાં કન્ફિગર કરેલા SSO URL અને Entity ID દ્વારા ભરાયેલ છે). સેટઅપ વિઝાર્ડ તમને બતાવશે કે તમે તમારા IdP માં આ ક્યાં શોધી શકો છો:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Manual Configuration

નામ સૂચવે છે તેમ, Manual Configuration માટે થોડું વધુ કામ જરૂરી છે. તમારા IdP પર આધાર રાખીને, તમારે અનુરૂપ SSO URL અને IdP issuer સાથે x.509 સર્ટિફિકેટ દાખલ કરવું પડશે:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

IdP-Initiated Login

જો તમે ઇચ્છો કે તમારા વપરાશકર્તાઓ તેમના ડેશબોર્ડ પરની ટાઇલ ક્લિક કરીને આપમેળે ઓથેન્ટિકેટ થઈ શકે, તો સેટઅપ પ્રક્રિયાના ભાગરૂપે તમે તમારી એપ્લિકેશન માટે IdP-initiated auth કન્ફિગર કરી શકો છો. ચોક્કસ પ્રક્રિયા તમારા IdP પર આધારિત રીતે બદલાશે, પરંતુ સામાન્ય પ્રક્રિયામાં નીચેના સ્વરૂપમાં આપેલો URL વપરાશે:

ઉદાહરણ તરીકે, Okta તમને આ URL સાથે નવી Bookmark Application બનાવવા માટે માર્ગદર્શન આપશે:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

જ્યારે Entra ID તમને આપવામાં આવેલ "Sign on URL" યોગ્ય ફોર્મમાં દાખલ કરવાની મંજૂરી આપશે:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

મહત્વપૂર્ણ: જો તમે સારી રીતે કાર્યરત SSO કનેક્શનને રીસેટ કરવાનું પસંદ કરો, તો આ URL મૂલ્યો બદલાશે.

એનો અર્થ એ છે કે જ્યારે તમે નવું કનેક્શન કન્ફિગર કરો, ત્યારે તમારે તમારી Sign on URL પણ અનુરૂપ રીતે અપડેટ કરવી પડશે, નહિતર વપરાશકર્તાઓ તેમની ટાઇલ્સ દ્વારા ઓથેન્ટિકેટ કરી શકશે નહીં.

સેટઅપ પૂર્ણ કરવું

એકવાર તમે તમારી IdP ની મેટાડેટા કન્ફિગર કરી લો, પછી તમે કોઈપણ વૈકલ્પિક બુકમાર્ક એપ્સ સેટ કરવા આગળ વધવા માટે "Continue" ક્લિક કરી શકો છો. અંતિમ ફરજિયાત કન્ફિગરેશન પગલું "Test Single Sign-On" પેજ પર હશે:

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

"Continue to sign-in" ક્લિક કર્યા પછી, વિઝાર્ડ તમારા નવા કનેક્શનનું પરીક્ષણ કરવાનો પ્રયાસ કરશે. જો બધું સફળ થાય, તો તમે અસરકારક રીતે SSO સક્રિય કરી દીધું હશે. હવે તમારી કન્ફિગરેશન પેજ પર આ પરિલક્ષિત થવું જોઈએ:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

તમારા IdP ગ્રુપમાં સંબંધિત એકાઉન્ટ્સ અથવા આમંત્રણ ધરાવતા વપરાશકર્તાઓ હવે SSO સાથે લોગિન કરી શકવા જોઈએ:

  • તેઓ chatgpt.com અથવા platform.openai.com પર જઈ શકે છે, પોતાનું ઇમેઇલ દાખલ કરી શકે છે, અને પછી અમે તેમને તેમના IdP તરફ મોકલ્યા બાદ ઓથેન્ટિકેટ થઈ શકે છે

  • તેઓ સેટઅપ દરમિયાન તમે (વૈકલ્પિક રીતે) કન્ફિગર કરેલી Bookmark Tile URL નો ઉપયોગ કરી શકે છે

જો તમને લાગે કે તમારા વપરાશકર્તાઓ સફળતાપૂર્વક ઓથેન્ટિકેટ થઈ શકતા નથી અને ફેરફારો પાછા ખેંચવામાં મુશ્કેલી આવે છે, તો તરત મદદ માટે કૃપા કરીને Support નો સંપર્ક કરો.

યાદ રાખો કે API Platform પર SSO સક્રિય કરવાથી તે ડોમેન ધરાવતા બધા વપરાશકર્તાઓ પર ડોમેન ચકાસણી લાગુ પડે છે. એનો અર્થ એ છે કે, ભલે વપરાશકર્તાઓ તમારી Enterprise સંસ્થાનો ભાગ ન હોય, તેમ છતાં તેમની વ્યક્તિગત સંસ્થાઓમાં પ્રવેશ મેળવવા માટે તેઓને તમારા IdP ગ્રુપનો ભાગ હોવું જરૂરી રહેશે.

લોગિન સમસ્યાઓનું નિવારણ

જો SSO સક્રિય કર્યા પછી તમને લોગિન કરવામાં સમસ્યાઓ આવી રહી હોય, તો સામાન્ય ભૂલો ઓળખવામાં મદદ માટે તમે અમારી FAQ and Troubleshooting પેજની સમીક્ષા કરી શકો છો. જો તમને ત્યાં પૂરતો જવાબ ન મળે, તો નિઃસંકોચ Support નો સંપર્ક કરો.

શું આ લેખ મદદરૂપ હતો?