પૂર્વશરતો
SSO સેટ અપ કરવા માટે, તમારે:
Global Admin Console ધરાવતી OpenAI યોજના હોવી જોઈએ
Global Admin હોવા જોઈએ
આગળ વધતા પહેલાં, અમારી SSO Overview અને User Management દસ્તાવેજીકરણ પૃષ્ઠોની સમીક્ષા કરો જેથી તમે અમારી SSO રચના સાથે પરિચિત હોવાની ખાતરી કરી શકો.
જો તમે અગાઉ API Platform સંસ્થા અથવા ChatGPT વર્કસ્પેસ માટે SSO કન્ફિગર કર્યું હોય, તો તમારી SSO સેટિંગ્સ OpenAI Identity પેજ પર કન્ફિગર કરવા માટે પહેલેથી ઉપલબ્ધ હોવી જોઈએ. જો જે વર્કસ્પેસ અથવા સંસ્થા માટે તમે SSO સક્રિય કરવા માંગો છો તે તમારી Global Admin Console માં નથી દેખાતી, તો કૃપા કરીને support@openai.com નો સંપર્ક કરો.
⚠️ જો SSO યોગ્ય રીતે સેટ અપ ન હોય તો તમારા વપરાશકર્તાઓ લૉક આઉટ થઈ જશે.
ખોટા સેટઅપને કારણે તમારા વપરાશકર્તાઓ તે orgs અને વર્કસ્પેસમાંથી લૉક આઉટ થઈ શકે છે જ્યાં SSO required પર સેટ છે. અમે ભલામણ કરીએ છીએ કે તમે, global admin તરીકે, Admin Portal માં SSO ને Optional તરીકે જ રાખો.
સેટઅપ દરમિયાન, બે અલગથી લૉગિન કરેલી વિન્ડોઝ ખુલ્લી રાખો:
એક incognito વિન્ડો દ્વારા લૉગિન કરેલી
એક તમારા સામાન્ય બ્રાઉઝર દ્વારા લૉગિન કરેલી
આથી તમે એક વિન્ડો પર લોગિન પ્રક્રિયા અને તમારા SSO/Domain Verification સેટઅપનું પરીક્ષણ કરી શકો છો, અને જરૂર પડે તો બીજી વિન્ડો દ્વારા ફેરફારો પાછા ફેરવી શકો છો.
SSOનું પરીક્ષણ
જો તમે તમારા વપરાશકર્તાઓ પર અસરના જોખમ વિના સેટઅપ પ્રક્રિયાનું પરીક્ષણ કરવા માંગતા હો, તો તમે અહીંની એપ્લિકેશન દ્વારા તે કરી શકો છો here.
આ ટેસ્ટ એપ્લિકેશન પર સફળ કનેક્શન પૂર્ણ કરવાથી તે તમારી production org સાથે જોડાશે નહીં, અને કનેક્શન સેવ પણ નહીં થાય (તેથી તમે તૈયાર થાઓ ત્યારે તમારી production instance માં એ જ પરિમાણો ફરી વાપરી શકો). એટલે કે જ્યારે તમે આવશ્યકતાઓ સમજી રહ્યા હો અને બાકી રહેલી પૂર્વશરતો ઉકેલી રહ્યા હો ત્યારે તેને sandbox અથવા playground તરીકે વાપરવું સુરક્ષિત છે.
SSO સક્રિય કરવું
શરૂ કરવા માટે, Global Admin Console માંથી OpenAI Identity પેજ પર જાઓ. તમે ChatGPT માં તમારી "Manage Workspace" સેટિંગ્સ હેઠળના "Identity & Provisioning" પેજ પરની લિંક અથવા તમારી API Platform સંસ્થા સેટિંગ્સમાંના Identity ટેબ પરથી પણ તે પેજ સુધી પહોંચી શકો છો.
નીચેના કેટલાક ઉદાહરણોમાં Okta માં સેટઅપ બતાવવામાં આવશે, પરંતુ એ જ તર્ક બધા SAML IdP પર લાગુ પડવો જોઈએ.
ડોમેન ચકાસણી
SSO સક્રિય કરવા માટે, અમે માંગીએ છીએ કે તમે પહેલાં ઓછામાં ઓછું એક ડોમેન ચકાસો.
મહત્વપૂર્ણ: ડોમેન ચકાસણીનો તે ડોમેન ધરાવતા વપરાશકર્તાઓ પર શું downstream impact પડી શકે તેની સમીક્ષા કરવાનું યાદ રાખો.
શરૂ કરવા માટે "+ Add Domain" બટન પર ક્લિક કરો અને તમારું DNS દાખલ કરો:

સબમિટ કર્યા પછી, અમે તમને તમારા ડોમેનની માલિકી ચકાસવા માટે એક કી આપીએ છીએ. તમારા DNS પ્રોવાઇડર પાસે જાઓ અને આપવામાં આવેલી કિંમત સાથે TXT રેકોર્ડ ઉમેરો:

ચકાસણી સફળ થવા માટે તમારો TXT રેકોર્ડ DNS lookup દ્વારા પહોંચમાં હોવો જરૂરી છે.
તમારા DNS પ્રોવાઇડરમાં આ પૂર્ણ કર્યા પછી, સેટઅપ પેજ પર પાછા આવો અને "Check" બટન ક્લિક કરો. જો તમારા ડોમેનની માલિકી સફળતાપૂર્વક માન્ય થઈ હશે, તો સ્ટેટસ "Verified." તરીકે અપડેટ થયેલ દેખાશે.

તમે દરેક Admin Portal દીઠ વધુમાં વધુ 99 ચકાસાયેલ ડોમેન ઉમેરી શકો છો, અને અમે ડોમેનને સમયસમાપ્ત તરીકે ચિહ્નિત કરતા પહેલાં ચકાસણી પૂર્ણ કરવા માટે 7 દિવસનો સમય આપીએ છીએ. ડોમેન માત્ર એક જ Admin Portal પર ચકાસી શકાય છે. જો તમારે તમારા Admin Portal બહારની કોઈ સંસ્થા અથવા વર્કસ્પેસ પર એ જ ડોમેન ચકાસવું હોય, તો કૃપા કરીને Support નો સંપર્ક કરો.
તમારી એપ્લિકેશન કન્ફિગર કરવી
તમારું ડોમેન સફળતાપૂર્વક ચકાસ્યા પછી, તમે તમારી IdP એપ્લિકેશન કન્ફિગર કરીને SSO સેટઅપ આગળ વધારી શકો છો.
શરૂ કરવા માટે, "Set up SSO" બટન પર ક્લિક કરો:

તમારા Identity Provider પસંદ કરવું
તમારી પાસે SAML ઇન્ટિગ્રેશન્સને નેટિવ રીતે સપોર્ટ કરતા સૌથી લોકપ્રિય IdP ની સૂચિમાંથી પસંદ કરવાનો વિકલ્પ છે. જો તમને સૂચીમાં તમારું IdP ન દેખાય, અથવા તમે OIDC કનેક્શન વાપરવા માંગતા હો, તો નીચે બતાવેલ યોગ્ય Custom connection બટન પસંદ કરી શકો છો:

એપ્લિકેશન બનાવવી/જોડવી
હવે તમે અમારી સાથે તમારી IdP એપ્લિકેશન બનાવવા અને જોડવા માટે પગલું-દર-પગલું કન્ફિગરેશન વિઝાર્ડ અનુસરશો. તમે કયા IdP નો ઉપયોગ કરો છો તેના આધારે સૂચનાઓમાં થોડો ફેરફાર હોઈ શકે, પરંતુ સામાન્ય સેટઅપ સમાન રહે છે:

ધ્યાન રાખો કે બનાવટના પગલામાં આપવામાં આવેલા URL તમારી સંસ્થા માટે અનન્ય હશે:

મહત્વપૂર્ણ: જો તમે સારી રીતે કાર્યરત SSO કનેક્શનને રીસેટ કરવાનું પસંદ કરો, તો આ URL મૂલ્યો બદલાશે. SSO ફરી સેટ કરતી વખતે, તમને તમારી એપ્લિકેશનમાં તેને અનુરૂપ રીતે અપડેટ કરવાની ખાતરી કરવી પડશે.
એકવાર તમે URL સેટઅપ પૂર્ણ કરો, પછી તમે તમારી એપ્લિકેશન દ્વારા ઓથેન્ટિકેટ થયેલા વપરાશકર્તાઓ માટે attribute mapping નિર્ધારિત કરવા આગળ વધી શકો છો.
Attribute Mapping
તમારી SSO એપ્લિકેશનમાં તમે નિર્ધારિત કરેલું attribute mapping અંતે નક્કી કરે છે કે કયા OpenAI એકાઉન્ટ્સ ઓથેન્ટિકેટ થાય છે અને તમારા વપરાશકર્તાઓ OpenAI ઉત્પાદનોમાં કેવી રીતે દેખાય છે. અમારું વર્તમાન વપરાશકર્તા મોડલ ત્રણ ગુણધર્મોને સપોર્ટ કરે છે:
ઇમેઇલ સરનામું (SAML response માં જરૂરી, કયું એકાઉન્ટ ઍક્સેસ થાય તે નક્કી કરે છે)
પ્રથમ નામ (વૈકલ્પિક, પણ ભલામણ કરેલું)
અટક (વૈકલ્પિક, પણ ભલામણ કરેલું)
નોંધ: અમે SAML Responses નું ડિક્રિપ્શન સમર્થન કરતા નથી. કૃપા કરીને ખાતરી કરો કે તમે તમારા response અથવા assertion ને એન્ક્રિપ્ટ કરતા નથી, જેથી અમે attributes ને યોગ્ય રીતે ઓળખી શકીએ.
તમારા IdP પર આધાર રાખીને, ચોક્કસ attribute mapping બદલાશે. અમે ભલામણ કરીએ છીએ કે સેટઅપ વિઝાર્ડમાં તમારા IdP માટે દર્શાવેલ સચોટ mapping નું પાલન કરો, જેમ કે Okta માટે તે આ રીતે હશે:

જો તમે જોઈ રહ્યા છો કે નવા વપરાશકર્તાઓનું ઇમેઇલ સરનામું તેમના display name તરીકે સેટ થઈ રહ્યું છે, તો કૃપા કરીને તમારું attribute mapping તપાસો અને ખાતરી કરો કે તમે તમારા responses ને એન્ક્રિપ્ટ કરતા નથી.
વૈકલ્પિક રીતે, જો નવા વપરાશકર્તાઓને તેમનું નામ અને જન્મતારીખ દાખલ કરવા કહેવામાં આવે છે, તો શક્ય છે કે અમે તમારા attribute response માંથી યોગ્ય નામનું મૂલ્ય ઓળખી રહ્યા નથી.
ઇમેઇલ ફેરફારો
કેટલાક વખત, તમારા IdP માં વપરાશકર્તાનું ઇમેઇલ સરનામું અપડેટ થઈ શકે છે, જેમ કે.
લગ્ન પછી કાનૂની નામમાં ફેરફાર
તેમની કંપનીનું અધિગ્રહણ થયું હોય અને તેમને નવું ડોમેન મળ્યું હોય
વગેરે.
જો આ SSO SAMLResponse માં emailaddress claim નું મૂલ્ય બદલે છે, તો નવા ઇમેઇલ સરનામા સાથે જોડાયેલ અલગ OpenAI વપરાશકર્તા SSO સફળ થયા પછી ઍક્સેસ થશે (અને જો પહેલેથી અસ્તિત્વમાં ન હોય તો બનાવવામાં આવશે). આ વપરાશકર્તાને મૂળ વપરાશકર્તાથી અલગ રીતે Org અથવા વર્કસ્પેસમાં આમંત્રિત કરવો પડશે.
પ્રાથમિક ઇમેઇલ સરનામાં
કેટલાક કિસ્સાઓમાં, તમારા પાસે અલગ અલગ અનેક ઇમેઇલ સરનામાં ધરાવતા વપરાશકર્તાઓ હોઈ શકે છે. વિતરિત મેઇલિંગ સિસ્ટમ ધરાવતી મોટી કંપનીઓમાં અથવા જુદી જુદી સ્કૂલ ધરાવતા Edu ગ્રાહકો માટે આ સામાન્ય પરિસ્થિતિ છે, જેમ કે.
આ પરિસ્થિતિમાં, અમે ભલામણ કરીએ છીએ કે તમારા SAML response ના attributes માં ફક્ત એક જ ઇમેઇલ સરનામું સામેલ હોય, કારણ કે અનેક ઇમેઇલ્સ સામેલ કરવાથી જ્યારે અમે તેને નવા અથવા હાલના વપરાશકર્તા સાથે જોડવાનો પ્રયાસ કરીએ ત્યારે ગુંચવણ થઈ શકે છે.
આ ઉપરાંત, જો વપરાશકર્તાઓ પાસે સ્થિર ઇમેઇલ સરનામું હોય (જેમ કે UPN), તો અમે ભલામણ કરીએ છીએ કે તમારા attribute mapping માં તેનો ઉપયોગ કરો જેથી તેઓનું OpenAI વપરાશકર્તા એકાઉન્ટ સ્થિર રહે અને તેમના અન્ય ઇમેઇલ સરનામાં બદલાય ત્યારે તેનો પ્રભાવ ન પડે.
IdP એપ્લિકેશન ઍક્સેસ પ્રોવિઝન કરો
એકવાર તમે સફળતાપૂર્વક તમારું attribute mapping બનાવી લો, પછી વિઝાર્ડ ઇચ્છિત જૂથો દ્વારા યોગ્ય વપરાશકર્તાઓને ઍક્સેસ પ્રોવિઝન કરવા માટેના પગલાં બતાવશે.
શ્રેષ્ઠ પદ્ધતિઓ માટે કૃપા કરીને User Management અંગે અમારી ભલામણોની સમીક્ષા કરો.
IdP મેટાડેટા સેટ કરવું
સેટઅપના આ તબક્કે, તમારી IdP ની મેટાડેટા નિર્ધારિત કરવા માટે તમારી પાસે બે અલગ વિકલ્પો છે: Dynamic Configuration અને Manual Configuration.
Dynamic Configuration
આ ભલામણ કરાયેલ અને સૌથી સરળ વિકલ્પ છે. Dynamic Configuration સાથે, તમારે ફક્ત તમારા એપ્લિકેશન સાથે સંકળાયેલ Metadata URL આપવાની જરૂર છે (હવે તે પહેલાં કન્ફિગર કરેલા SSO URL અને Entity ID દ્વારા ભરાયેલ છે). સેટઅપ વિઝાર્ડ તમને બતાવશે કે તમે તમારા IdP માં આ ક્યાં શોધી શકો છો:

Manual Configuration
નામ સૂચવે છે તેમ, Manual Configuration માટે થોડું વધુ કામ જરૂરી છે. તમારા IdP પર આધાર રાખીને, તમારે અનુરૂપ SSO URL અને IdP issuer સાથે x.509 સર્ટિફિકેટ દાખલ કરવું પડશે:

IdP-Initiated Login
જો તમે ઇચ્છો કે તમારા વપરાશકર્તાઓ તેમના ડેશબોર્ડ પરની ટાઇલ ક્લિક કરીને આપમેળે ઓથેન્ટિકેટ થઈ શકે, તો સેટઅપ પ્રક્રિયાના ભાગરૂપે તમે તમારી એપ્લિકેશન માટે IdP-initiated auth કન્ફિગર કરી શકો છો. ચોક્કસ પ્રક્રિયા તમારા IdP પર આધારિત રીતે બદલાશે, પરંતુ સામાન્ય પ્રક્રિયામાં નીચેના સ્વરૂપમાં આપેલો URL વપરાશે:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
ઉદાહરણ તરીકે, Okta તમને આ URL સાથે નવી Bookmark Application બનાવવા માટે માર્ગદર્શન આપશે:

જ્યારે Entra ID તમને આપવામાં આવેલ "Sign on URL" યોગ્ય ફોર્મમાં દાખલ કરવાની મંજૂરી આપશે:

મહત્વપૂર્ણ: જો તમે સારી રીતે કાર્યરત SSO કનેક્શનને રીસેટ કરવાનું પસંદ કરો, તો આ URL મૂલ્યો બદલાશે.
એનો અર્થ એ છે કે જ્યારે તમે નવું કનેક્શન કન્ફિગર કરો, ત્યારે તમારે તમારી Sign on URL પણ અનુરૂપ રીતે અપડેટ કરવી પડશે, નહિતર વપરાશકર્તાઓ તેમની ટાઇલ્સ દ્વારા ઓથેન્ટિકેટ કરી શકશે નહીં.
સેટઅપ પૂર્ણ કરવું
એકવાર તમે તમારી IdP ની મેટાડેટા કન્ફિગર કરી લો, પછી તમે કોઈપણ વૈકલ્પિક બુકમાર્ક એપ્સ સેટ કરવા આગળ વધવા માટે "Continue" ક્લિક કરી શકો છો. અંતિમ ફરજિયાત કન્ફિગરેશન પગલું "Test Single Sign-On" પેજ પર હશે:

"Continue to sign-in" ક્લિક કર્યા પછી, વિઝાર્ડ તમારા નવા કનેક્શનનું પરીક્ષણ કરવાનો પ્રયાસ કરશે. જો બધું સફળ થાય, તો તમે અસરકારક રીતે SSO સક્રિય કરી દીધું હશે. હવે તમારી કન્ફિગરેશન પેજ પર આ પરિલક્ષિત થવું જોઈએ:


તમારા IdP ગ્રુપમાં સંબંધિત એકાઉન્ટ્સ અથવા આમંત્રણ ધરાવતા વપરાશકર્તાઓ હવે SSO સાથે લોગિન કરી શકવા જોઈએ:
તેઓ chatgpt.com અથવા platform.openai.com પર જઈ શકે છે, પોતાનું ઇમેઇલ દાખલ કરી શકે છે, અને પછી અમે તેમને તેમના IdP તરફ મોકલ્યા બાદ ઓથેન્ટિકેટ થઈ શકે છે
તેઓ સેટઅપ દરમિયાન તમે (વૈકલ્પિક રીતે) કન્ફિગર કરેલી Bookmark Tile URL નો ઉપયોગ કરી શકે છે
જો તમને લાગે કે તમારા વપરાશકર્તાઓ સફળતાપૂર્વક ઓથેન્ટિકેટ થઈ શકતા નથી અને ફેરફારો પાછા ખેંચવામાં મુશ્કેલી આવે છે, તો તરત મદદ માટે કૃપા કરીને Support નો સંપર્ક કરો.
યાદ રાખો કે API Platform પર SSO સક્રિય કરવાથી તે ડોમેન ધરાવતા બધા વપરાશકર્તાઓ પર ડોમેન ચકાસણી લાગુ પડે છે. એનો અર્થ એ છે કે, ભલે વપરાશકર્તાઓ તમારી Enterprise સંસ્થાનો ભાગ ન હોય, તેમ છતાં તેમની વ્યક્તિગત સંસ્થાઓમાં પ્રવેશ મેળવવા માટે તેઓને તમારા IdP ગ્રુપનો ભાગ હોવું જરૂરી રહેશે.
લોગિન સમસ્યાઓનું નિવારણ
જો SSO સક્રિય કર્યા પછી તમને લોગિન કરવામાં સમસ્યાઓ આવી રહી હોય, તો સામાન્ય ભૂલો ઓળખવામાં મદદ માટે તમે અમારી FAQ and Troubleshooting પેજની સમીક્ષા કરી શકો છો. જો તમને ત્યાં પૂરતો જવાબ ન મળે, તો નિઃસંકોચ Support નો સંપર્ક કરો.
