OpenAI

SSO को कॉन्फ़िगर करना

यह डॉक्यूमेंट ChatGPT और API प्लेटफ़ॉर्म के लिए SSO कॉन्फ़िगर करने की प्रक्रिया को समझाता है

अपडेट किया गया: 15 days ago

पूर्व आवश्यकताएँ

SSO सेट अप करने के लिए, तुम्हें निम्नलिखित करना होगा:

  1. OpenAI प्लान में एक ग्लोबल एडमिन कंसोलशामिल करें

  2. ग्लोबल एडमिन बनें

आगे बढ़ने से पहले, कृपया हमारे SSO Overview और User Management दस्तावेज़ पेज का रिव्यु करें ताकि आप हमारे SSO आर्किटेक्चर से परिचित हो सकें.

यदि आपने पहले किसी API प्लेटफ़ॉर्म संगठन या ChatGPT वर्कस्पेस के लिए SSO कॉन्फ़िगर किया है, तो आपकी SSO सेटिंग्स पहले से ही OpenAI Identity पेज पर कॉन्फ़िगर करने के लिए उपलब्ध होनी चाहिए. अगर वह वर्कस्पेस या संगठन, जिसके लिए आप SSO इनेबल करना चाहते हैं, आपके ग्लोबल एडमिन कंसोल में नहीं दिखाया गया है, तो कृपया support@openai.com पर संपर्क करें.

⚠️ अगर SSO सही तरीके से सेटअप नहीं किया गया, तो तुम्हारे यूज़र लॉक हो जाएंगे!

गलत सेटअप के कारण आपके उपयोगकर्ता उन संगठनों और वर्कस्पेस से लॉक हो सकते हैं, जहाँ SSO को अनिवार्य पर सेट किया गया है. हम सलाह देते हैं कि आप, एक ग्लोबल एडमिन के रूप में, एडमिन पोर्टल में SSO को वैकल्पिक बनाए रखें.

सेटअप के दौरान, दो अलग-अलग लॉग इन विंडो खुली रखें:

  1. एक इन्कॉग्निटो विंडो के माध्यम से लॉग-इन

  2. एक अपने सामान्य ब्राउज़र के माध्यम से लॉग-इन

यह तुम्हे एक विंडो पर लॉगिन प्रक्रिया और तुम्हारे SSO/डोमेन वेरिफ़िकेशन सेटअप का परीक्षण करने की अनुमति देता है, और यदि आवश्यक हो तो दूसरी विंडो के माध्यम से परिवर्तनों को उलट दें।

SSO का परीक्षण करना

यदि आप अपने यूज़र्स पर प्रभाव डाले बिना सेटअप प्रक्रिया का परीक्षण करना चाहते हैं, तो आप ऐसा यहाँ ऐप्लिकेशन के माध्यम से कर सकते हैं.

इस टेस्ट एप्लिकेशन पर एक सफल कनेक्शन पूरा करने से तुम्हारे प्रोडक्शन संगठन से कोई संबंध नहीं बनेगा, और न ही यह कनेक्शन सेव होगा (ताकि जब तुम तैयार हो, तो तुम अपने प्रोडक्शन इंस्टेंस में उन्हीं पैरामीटर का दोबारा इस्तेमाल कर सको). इसका मतलब है कि आवश्यकताओं से परिचित होते समय और किसी भी गायब पूर्वापेक्षाओं को हल करते समय इसे सैंडबॉक्स या Playground के रूप में उपयोग करना सुरक्षित है.

SSO इनेबल करना

शुरू करने के लिए, Global Admin Console से OpenAI Identity पेज पर जाएं. आप उस पेज तक ChatGPT में आपकी "Manage वर्कस्पेस" सेटिंग्स के अंतर्गत "Identity & Provisioning" पेज के लिंक से भी पहुँच सकते हैं या अपने API Platform संगठन सेटिंग्स में Identity टैब से भी पहुँच सकते हैं.

नीचे दिए गए कुछ उदाहरण Okta में सेटअप को प्रदर्शित करेंगे, लेकिन वही लॉजिक सभी SAML IdP's पर लागू होता है.

डोमेन वेरिफ़िकेशन

SSO इनेबल करने के लिए, हमें पहले यह सुनिश्चित करना होगा कि तुमने कम से कम एक डोमेन वेरिफ़ाई किया है।

महत्वपूर्ण: यह याद रखें कि डोमेन वेरिफ़िकेशन का डाउनस्ट्रीम प्रभाव उस डोमेन के यूज़र पर पड़ सकता है.

"+ Add Domain" बटन पर क्लिक करें और शुरू करने के लिए अपना DNS दर्ज करें:

Verify a new domain dialog with example.com entered and Submit available

एक बार सबमिट करने के बाद, हम तुम्हें तुम्हारे डोमेन की मालिकाना हक वेरिफ़ाई करने के लिए एक कुंजी प्रदान करते हैं। अपने DNS प्रदाता पर जाओ, और दिए गए मान के साथ एक TXT रिकॉर्ड जोड़ो:

Image

आपका TXT रिकॉर्ड DNS लुकअप के माध्यम से पहुँच योग्य होना चाहिए ताकि वेरिफ़िकेशन चेक सफल हो सके.

अपने DNS प्रदाता में यह पूरा करने के बाद, सेटअप पेज पर वापस जाओ और "Check" बटन पर क्लिक करो. यदि तुम्हारे डोमेन स्वामित्व को सफलतापूर्वक वेरिफाई किया गया है, तो तुम स्थिति को "वेरिफाई" में अपडेट होते हुए देखोगे.

Domain management page with company.abc listed as Verified

तुम प्रति एडमिन पोर्टल 99 वेरिफ़ाई किए गए डोमेन जोड़ सकते हो, और हम तुम्हें डोमेन को समाप्त के रूप में चिह्नित करने से पहले वेरिफ़िकेशन चेक पूरा करने के लिए 7 दिन की अवधि प्रदान करते हैं। डोमेन केवल एक ही एडमिन पोर्टल पर वेरिफ़ाई किया जा सकता है। यदि तुम्हें अपने एडमिन पोर्टल में नहीं होने वाले संगठन या कार्यस्थल पर उसी डोमेन को वेरिफ़ाई करने की आवश्यकता है, तो सपोर्ट से संपर्क करो।

अपने ऐप्लिकेशन को कॉन्फ़िगर करना

सफलतापूर्वक अपने डोमेन को वेरिफ़ाई करने के बाद, तुम अपने IdP ऐप्लिकेशन को कॉन्फ़िगर करके SSO सेटअप जारी रख सकते हो।

शुरू करने के लिए, "Set up SSO" बटन पर क्लिक करो:

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

अपने आइडेंटिटी प्रोवाइडर को सिलेक्ट करना

तुम्हारे पास सबसे लोकप्रिय IdP's की सूची में से चुनने का विकल्प है जो मूल रूप से SAML इंटीग्रेशन को सपोर्ट करते हैं। यदि तुम्हें सूची में अपना IdP नहीं दिखता है, या यदि तुम OIDC कनेक्शन का उपयोग करना चाहते हो, तो तुम नीचे दिखाए गए उपयुक्त कस्टम कनेक्शन बटन का चयन कर सकते हो:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

ऐप्लिकेशन बनाना/कनेक्ट करना

अब तुम चरण-दर-चरण कॉन्फ़िगरेशन विज़ार्ड का अनुसरण करके हमारे साथ अपने IdP ऐप्लिकेशन को बना और कनेक्ट कर सकते हो। तुम जिस IdP का उपयोग कर रहे हो, उसके आधार पर तुम्हारे निर्देश थोड़े भिन्न हो सकते हैं, लेकिन सामान्य सेटअप वही रहता है:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

ध्यान दें कि निर्माण चरण में दिए गए URL तुम्हारी संस्था के लिए विशेष होंगे:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

महत्वपूर्ण: अगर तुम एक सही SSO कनेक्शन को रीसेट करने का निर्णय लेते हो, तो ये URL मान बदल जाएंगे। SSO को फिर से सेट करते समय, तुम्हें यह सुनिश्चित करना होगा कि तुम उन्हें अपने ऐप्लिकेशन में सही ढंग से अपडेट करो।

एक बार जब तुम URL सेटअप पूरा कर लो, तो तुम अपने ऐप्लिकेशन के माध्यम से प्रमाणित यूज़र्स के लिए एट्रिब्यूट मैपिंग को परिभाषित करना शुरू कर सकते हो।

एट्रिब्यूट मैपिंग

तुम्हारे SSO ऐप्लिकेशन में परिभाषित एट्रिब्यूट मैपिंग यह तय करती है कि कौन से OpenAI अकॉउंट प्रमाणित होते हैं और तुम्हारे यूज़र OpenAI उत्पादों में कैसे दिखाई देते हैं। हमारा वर्तमान यूज़र मॉडल तीन गुणों का सपोर्ट करता है:

  1. ईमेल एड्रेस (SAML रिस्पांस में आवश्यक, यह निर्धारित करता है कि किस अकाउंट को एक्सेस किया जाएगा)

  2. पहला नाम (वैकल्पिक, लेकिन अनुशंसित)

  3. अंतिम नाम (वैकल्पिक, लेकिन अनुशंसित)

नोट: हम SAML रिस्पॉन्स को डिक्रिप्ट करने का सपोर्ट नहीं करते हैं। कृपया सुनिश्चित करें कि तुम अपनी प्रतिक्रिया या दावे को एन्क्रिप्ट नहीं कर रहे हो ताकि हम विशेषताओं की सही पहचान कर सकें।

तुम्हारे IdP के अनुसार, सटीक एट्रिब्यूट मैपिंग अलग-अलग हो सकती है। हम सुझाव देते हैं कि अपने IdP के लिए सेटअप विजार्ड में दिखाई गई सटीक मैपिंग का पालन करो, जैसे Okta होगा:

Image

यदि तुम देख रहे हो कि नए यूज़र अपनी ईमेल एड्रेस को अपने डिस्प्ले नाम के रूप में सेट कर रहे हैं, तो कृपया अपने एट्रिब्यूट मैपिंग का रिव्यु करो और सुनिश्चित करो कि तुम अपने रिस्पांस को एन्क्रिप्ट नहीं कर रहे हो।

वैकल्पिक रूप से, यदि नए यूज़र से उनका नाम और जन्मदिन दर्ज करने के लिए कहा जा रहा है, तो यह संभवतः इंगित करता है कि हम तुम्हारे एट्रिब्यूट रिस्पांस से सही नाम मान नहीं पहचान पा रहे हैं।

ईमेल परिवर्तन

कभी-कभी, तुम्हारे IdP में किसी यूज़र का ईमेल एड्रेस अपडेट हो सकता है, जैसे कि

  • विवाह के बाद कानूनी नाम बदलना

  • उनकी कंपनी का अधिग्रहण कर लिया गया और उनके पास एक नया डोमेन आदि

  • है।

यदि यह SSO SAMLResponse में emailaddress दावे के मूल्य को बदलता है, तो सफल SSO के बाद नए ईमेल एड्रेस से जुड़ा एक अलग OpenAI यूज़र एक्सेस किया जाएगा (और यदि पहले से मौजूद नहीं है तो बनाया जाएगा)। इस यूज़र को मूल यूज़र से अलग संगठन या कार्यस्थल में आमंत्रित करना होगा।

प्राथमिक ईमेल एड्रेस

कुछ मामलों में, तुम्हारे पास कई अलग-अलग ईमेल एड्रेस वाले यूज़र हो सकते हैं। यह एक आम परिदृश्य है बड़ी कंपनियों में जिनके पास वितरित मेलिंग सिस्टम होते हैं या Edu ग्राहकों के लिए जिनके पास विभिन्न स्कूल होते हैं, जैसे

इस स्थिति में, हम अनुशंसा करते हैं कि तुम्हारे SAML रिस्पांस में केवल एक ही ईमेल एड्रेस शामिल हो, क्योंकि कई ईमेल एड्रेस शामिल करने से नए या मौजूदा यूज़र से इसे जोड़ने में भ्रम हो सकता है।

इसके अतिरिक्त, यदि यूज़रों के पास एक स्थिर ईमेल एड्रेस (जैसे कि एक UPN) है, तो हम अनुशंसा करते हैं कि इसे तुम्हारे एट्रिब्यूट मैपिंग में उपयोग करें ताकि यह सुनिश्चित हो सके कि उनके पास एक स्थिर OpenAI यूज़र अकाउंट होगा, जो उनके अन्य ईमेल एड्रेस के बदलने पर प्रभावित नहीं होगा।

IdP ऐप्लिकेशन एक्सेस प्रदान करें

एक बार जब तुम सफलतापूर्वक अपना एट्रिब्यूट मैपिंग बना लो, तो विज़ार्ड तुम्हें वांछित ग्रुप्स के माध्यम से उपयुक्त यूज़र्स को एक्सेस प्रदान करने के चरणों में मार्गदर्शन करेगा।

कृपया यूज़र मैनेजमेंट पर हमारी सिफारिशों का रिव्यु करो सर्वोत्तम प्रथाओं के लिए.

IdP मेटाडेटा सेट करना

इस सेटअप के इस बिंदु पर, तुम्हारे पास अपने IdP के मेटाडेटा को परिभाषित करने के लिए दो अलग-अलग विकल्प हैं: डायनामिक कॉन्फ़िगरेशन और मैनुअल कॉन्फ़िगरेशन।

डायनामिक कॉन्फ़िगरेशन

यह अनुशंसित और सबसे सीधा विकल्प है। डायनामिक कॉन्फ़िगरेशन के साथ, तुम्हें केवल अपने ऐप्लिकेशन से संबंधित मेटाडेटा URL (जो अब तुम्हारे द्वारा पहले कॉन्फ़िगर किए गए SSO URL और एंटिटी ID द्वारा भरा गया है) प्रदान करने की ज़रूरत है। सेटअप विज़ार्ड तुम्हें दिखाएगा कि तुम इसे अपने IdP में कहाँ ढूंढ सकते हो:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

मैनुअल कॉन्फ़िगरेशन

जैसा कि नाम से स्पष्ट है, मैनुअल कॉन्फ़िगरेशन में थोड़ी अधिक मेहनत करनी पड़ती है। तुम्हारे IdP के अनुसार, तुम्हें संबंधित SSO URL और IdP जारीकर्ता के साथ एक x.509 सर्टिफ़िकेट दर्ज करना होगा:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

IdP-प्रारंभित लॉगिन

अगर तुम चाहते हो कि तुम्हारे यूज़र अपने डैशबोर्ड पर एक टाइल पर क्लिक करके स्वचालित रूप से प्रमाणित हो जाएं, तो तुम सेटअप प्रक्रिया के हिस्से के रूप में अपने ऐप्लिकेशन के लिए IdP-initiated ऑथ को कॉन्फ़िगर कर सकते हो। हालांकि सटीक प्रक्रिया तुम्हारे IdP पर निर्भर करेगी, सामान्य प्रक्रिया एक प्रदान किए गए URL का उपयोग करेगी जो इस रूप में होगा:

उदाहरण के लिए, Okta तुम्हें इस URL के साथ एक नया बुकमार्क ऐप्लिकेशन बनाने की प्रक्रिया से परिचित कराएगा:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

जबकि Entra ID तुम्हें दिए गए "Sign on URL" को उपयुक्त फॉर्म में दर्ज करने की अनुमति देगा:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

महत्वपूर्ण: अगर तुम एक स्वस्थ SSO कनेक्शन को रीसेट करने का चुनाव करते हो, तो ये URL मान बदल जाएंगे।

इसका मतलब है कि जब तुम नए कनेक्शन को कॉन्फ़िगर करते हो, तो तुम्हें अपने साइन ऑन URL को भी उसी के अनुसार अपडेट करना होगा, नहीं तो यूज़र अपने टाइल्स के माध्यम से प्रमाणित नहीं कर सकेंगे।

सेटअप पूरा करना

एक बार जब तुमने अपने IdP के मेटाडेटा को कॉन्फ़िगर कर लिया है, तो तुम किसी भी वैकल्पिक बुकमार्क ऐप को सेटअप करने के लिए "आगे बढ़ें" पर क्लिक कर सकते हो। अंतिम अनिवार्य कॉन्फ़िगरेशन चरण "टेस्ट सिंगल साइन-ऑन" पेज पर होगा:

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

"साइन-इन करने के लिए आगे बढ़ें" पर क्लिक करने के बाद, विज़ार्ड तुम्हारे नए कनेक्शन को टेस्ट करने का प्रयास करेगा। अगर सब कुछ सफल रहा, तो तुमने प्रभावी रूप से SSO को इनेबल कर दिया होगा। अब तुम्हें यह अपने कॉन्फ़िगरेशन पृष्ठ पर दिखाई देना चाहिए:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

तुम्हारे IdP ग्रुप के यूज़र, जिनके पास संबंधित अकाउंट या निमंत्रण हैं, अब SSO के साथ लॉगिन करने में सक्षम होने चाहिए:

  • वे chatgpt.com या platform.openai.com पर जा सकते हैं। उनका ईमेल दर्ज करो, और फिर जब हम उन्हें उनके IdP पर फ़ॉरवर्ड करें तो प्रमाणित करो

  • वे उस बुकमार्क टाइल URL का उपयोग कर सकते हैं जिसे तुमने सेटअप के दौरान (वैकल्पिक रूप से) कॉन्फ़िगर किया था

यदि तुम्हें लगता है कि तुम्हारे यूज़र सफलतापूर्वक प्रमाणित नहीं हो पा रहे हैं, और तुम्हें परिवर्तन वापस लेने में परेशानी हो रही है, तो कृपया तुरंत सहायता के लिए हमारी सपोर्ट टीम से संपर्क करें।

याद रखें कि API प्लेटफ़ॉर्म पर SSO चालू करने से उस डोमेन वाले सभी यूज़र पर डोमेन वेरिफ़िकेशन लागू हो जाता है। इसका मतलब है कि, चाहें यूज़र अपने Enterprise संगठन का हिस्सा न हों, फिर भी उन्हें अपने व्यक्तिगत संगठन को एक्सेस करने के लिए आपके IdP ग्रुप का हिस्सा बनना होगा।

ट्रबलशूटिंग लॉगिन

यदि SSO सक्षम करने के बाद आपको लॉगिन में समस्याएँ आ रही हैं, तो सामान्य त्रुटियों की पहचान करने के लिए सहायता हेतु हमारे अक्सर पूछे जाने वाले सवाल और समस्या निवारण पृष्ठ का रिव्यु करें. अगर आपको वहां पर्याप्त उत्तर नहीं मिलता है, तो कृपया सपोर्ट से संपर्क करने में न हिचकिचाएं.

क्या यह लेख मददगार था?