OpenAI
Ova je stranica strojno prevedena. Pogledajte izvorni članak na engleskom jeziku.

Konfiguriranje jedinstvene prijave

Ovaj dokument vodi vas kroz konfiguriranje jedinstvene prijave za ChatGPT i API Platformu

Ažurirano: 23 hours ago

Preduvjeti

Da biste postavili jedinstvenu prijavu, morate:

  1. Imati OpenAI plan s globalnom administratorskom konzolom

  2. Biti globalni administrator

Prije nego što nastavite, pregledajte naše stranice dokumentacije Pregled jedinstvene prijave i Upravljanje korisnicima kako biste se upoznali s arhitekturom naše jedinstvene prijave.

Ako ste prethodno konfigurirali jedinstvenu prijavu za organizaciju API Platforme ili ChatGPT radni prostor, vaše bi postavke jedinstvene prijave već trebale biti dostupne za konfiguraciju na stranici OpenAI Identity. Ako radni prostor ili org za koji želite omogućiti jedinstvenu prijavu nije prikazan u vašoj globalnoj administratorskoj konzoli, obratite se na support@openai.com.

⚠️ Vaši korisnici mogu izgubiti pristup ako jedinstvena prijava nije ispravno postavljena!

Neispravno postavljanje može dovesti do toga da vaši korisnici izgube pristup organizacijama i radnim prostorima gdje je jedinstvena prijava postavljena kao obavezna. Preporučujemo da vi, kao globalni administrator, u administratorskom portalu zadržite jedinstvenu prijavu kao neobaveznu.

Tijekom postavljanja držite otvorena dva odvojena prijavljena prozora:

  1. Jedan prijavljen putem anonimnog prozora

  2. Jedan prijavljen putem standardnog preglednika

To vam omogućuje da u jednom prozoru testirate postupak prijave i postavljanje jedinstvene prijave/potvrde domene, a po potrebi vratite promjene putem drugog prozora.

Testiranje jedinstvene prijave

Ako želite testirati postupak postavljanja bez rizika od utjecaja na korisnike, to možete učiniti putem aplikacije ovdje.

Uspješno dovršavanje veze u ovoj testnoj aplikaciji neće biti povezano s vašom produkcijskom organizacijom niti će spremiti vezu (pa iste parametre možete ponovno upotrijebiti u produkcijskoj instanci kada budete spremni). To znači da je sigurna za upotrebu kao sandbox ili prostor za isprobavanje dok se upoznajete sa zahtjevima i rješavate sve preostale preduvjete.

Omogućavanje jedinstvene prijave

Za početak otvorite stranicu OpenAI Identity iz globalne administratorske konzole. Do te stranice možete doći i putem poveznice na stranici "Identity & Provisioning" u odjeljku postavki "Manage Workspace" u ChatGPT-u ili na kartici Identity u postavkama vaše organizacije na API Platformi.

Neki od primjera u nastavku prikazat će postavljanje u Okta okruženju, ali ista bi logika trebala vrijediti za sve SAML IdP-ove.

Potvrda domene

Da biste omogućili jedinstvenu prijavu, najprije morate potvrditi barem jednu domenu.

Važno: svakako pregledajte naknadni učinak koji potvrda domene može imati na korisnike s tom domenom.

Kliknite gumb "+ Add Domain" i unesite svoj DNS za početak:

Verify a new domain dialog with example.com entered and Submit available

Nakon slanja dat ćemo vam ključ za potvrdu vlasništva nad domenom. Otvorite svojeg DNS pružatelja usluge i dodajte TXT zapis s navedenom vrijednošću:

Image

Vaš TXT zapis mora biti dostupan putem DNS pretraživanja kako bi provjera bila uspješna.

Nakon što to dovršite kod svojeg DNS pružatelja usluge, vratite se na stranicu za postavljanje i kliknite gumb "Check". Ako je vlasništvo nad domenom uspješno potvrđeno, status će se ažurirati na "Verified."

Domain management page with company.abc listed as Verified

Po administratorskom portalu možete dodati do 99 potvrđenih domena, a za dovršetak provjere imate rok od 7 dana prije nego što domenu označimo kao istekla. Domene se mogu potvrditi samo na jednom administratorskom portalu. Ako trebate potvrditi istu domenu za organizaciju ili radni prostor koji nije u vašem administratorskom portalu, obratite se podršci.

Konfiguriranje vaše aplikacije

Nakon uspješne potvrde domene možete nastaviti s postavljanjem jedinstvene prijave konfiguriranjem svoje IdP aplikacije.

Za početak kliknite gumb "Set up SSO":

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Odabir pružatelja identiteta

Možete odabrati s popisa najpopularnijih IdP-ova koji izvorno podržavaju SAML integracije. Ako vaš IdP nije na popisu ili ako želite upotrijebiti OIDC vezu, možete odabrati odgovarajući gumb za prilagođenu vezu prikazan na dnu:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Izrada/povezivanje aplikacije

Sada možete pratiti čarobnjaka za konfiguraciju korak po korak koji će vam pomoći izraditi i povezati vašu IdP aplikaciju s nama. Ovisno o IdP-u koji upotrebljavate, upute se mogu malo razlikovati, ali opće postavljanje ostaje isto:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Imajte na umu da će URL-ovi navedeni u koraku izrade biti jedinstveni za vašu organizaciju:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Važno: Ako odlučite resetirati ispravnu vezu jedinstvene prijave, ove će se URL vrijednosti promijeniti. Kada ponovno budete postavljali jedinstvenu prijavu, morat ćete ih odgovarajuće ažurirati i u svojoj aplikaciji.

Nakon što dovršite postavljanje URL-ova, možete nastaviti s definiranjem mapiranja atributa za korisnike autentificirane putem vaše aplikacije.

Mapiranje atributa

Mapiranje atributa koje definirate u svojoj aplikaciji za jedinstvenu prijavu u konačnici određuje koji se OpenAI računi autentificiraju i kako se vaši korisnici prikazuju u OpenAI proizvodima. Naš trenutačni korisnički model podržava tri svojstva:

  1. Adresa e-pošte (obavezna u SAML odgovoru, određuje kojem se računu pristupa)

  2. Ime (neobavezno, ali preporučeno)

  3. Prezime (neobavezno, ali preporučeno)

Napomena: ne podržavamo dešifriranje SAML odgovora. Provjerite da ne šifrirate svoj odgovor ili tvrdnju kako bismo mogli ispravno prepoznati atribute.

Ovisno o vašem IdP-u, točno mapiranje atributa razlikovat će se. Preporučujemo da se pridržavate točnog mapiranja prikazanog za vaš IdP u čarobnjaku za postavljanje; npr. za Oktu bi to bilo:

Image

Ako vidite da novi korisnici dolaze s adresama e-pošte postavljenima kao njihovo prikazano ime, pregledajte mapiranje atributa i potvrdite da ne šifrirate svoje odgovore.

Alternativno, ako se od novih korisnika traži da unesu svoje ime i datum rođenja, to vjerojatno znači da ne prepoznajemo ispravnu vrijednost imena iz vašeg odgovora atributa.

Promjene e-pošte

Povremeno se korisnikova adresa e-pošte može ažurirati u vašem IdP-u, npr.

  • Pravna promjena imena nakon vjenčanja

  • Njihovu je tvrtku preuzeo drugi vlasnik pa imaju novu domenu

  • itd.

Ako to promijeni vrijednost tvrdnje emailaddress u SSO SAMLResponseu, nakon uspješne jedinstvene prijave pristupit će se drugom OpenAI korisniku povezanom s novom adresom e-pošte (i bit će stvoren ako prethodno nije postojao). Tog će korisnika trebati zasebno pozvati u org ili radni prostor, odvojeno od izvornog korisnika.

Primarne adrese e-pošte

U nekim slučajevima možete imati korisnike s više različitih adresa e-pošte. To je čest scenarij u većim tvrtkama koje imaju distribuirane sustave e-pošte ili za Edu korisnike s različitim školama, npr.

U toj situaciji preporučujemo da vaš SAML odgovor sadrži samo jednu adresu e-pošte u svojim atributima jer uključivanje više adresa može izazvati zabunu kada ga pokušamo povezati s novim ili postojećim korisnikom.

Dodatno, ako korisnici imaju statičnu adresu e-pošte (npr. UPN), preporučujemo da je upotrijebite u mapiranju atributa kako biste osigurali da imaju stabilan OpenAI korisnički račun na koji neće utjecati promjene drugih adresa e-pošte.

Dodjela pristupa IdP aplikaciji

Nakon što uspješno izradite mapiranje atributa, čarobnjak će vas provesti kroz korake za dodjelu pristupa odgovarajućim korisnicima putem željenih grupa.

Pogledajte naše preporuke za Upravljanje korisnicima radi najboljih praksi.

Postavljanje IdP metapodataka

U ovoj fazi postavljanja imate dvije zasebne mogućnosti za definiranje metapodataka svojeg IdP-a: dinamičku konfiguraciju i ručnu konfiguraciju.

Dinamička konfiguracija

Ovo je preporučena i najjednostavnija opcija. Kod dinamičke konfiguracije potrebno je samo navesti URL metapodataka (koji je sada popunjen URL-om jedinstvene prijave i ID-jem entiteta koje ste ranije konfigurirali) povezan s vašom aplikacijom. Čarobnjak za postavljanje pokazat će vam gdje to možete pronaći u svojem IdP-u:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Ručna konfiguracija

Kao što naziv sugerira, ručna konfiguracija zahtijeva nešto više rada. Ovisno o vašem IdP-u, morat ćete unijeti odgovarajući URL jedinstvene prijave i izdavatelja IdP-a, zajedno s x.509 certifikatom:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

Prijava koju pokreće IdP

Ako želite da vaši korisnici mogu kliknuti pločicu na svojoj nadzornoj ploči i automatski se autentificirati, možete konfigurirati autentifikaciju koju pokreće IdP prema svojoj aplikaciji kao dio postupka postavljanja. Iako će se točan postupak razlikovati ovisno o vašem IdP-u, opći postupak upotrebljavat će navedeni URL u obliku:

Primjerice, Okta će vas voditi kroz izradu nove aplikacije oznake s ovim URL-om:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Dok će vam Entra ID omogućiti unos navedenog "Sign on URL" u odgovarajući obrazac:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Važno: Ako odlučite resetirati ispravnu vezu jedinstvene prijave, ove će se URL vrijednosti promijeniti.

To znači da ćete pri konfiguriranju nove veze morati odgovarajuće ažurirati i svoj Sign on URL, inače se korisnici neće moći autentificirati putem svojih pločica.

Dovršavanje postavljanja

Nakon što konfigurirate metapodatke svojeg IdP-a, možete kliknuti "Continue" da biste nastavili s postavljanjem svih neobaveznih aplikacija oznaka. Završni obavezni korak konfiguracije bit će na stranici "Test Single Sign-On":

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Nakon klika na "Continue to sign-in," čarobnjak će pokušati testirati vašu novu vezu. Ako sve bude uspješno, učinkovito ćete omogućiti jedinstvenu prijavu. To bi sada trebalo biti vidljivo i na vašoj stranici konfiguracije:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Korisnici u vašoj IdP grupi s odgovarajućim računima ili pozivnicama sada bi se trebali moći prijaviti putem jedinstvene prijave:

  • Mogu otvoriti chatgpt.com ili platform.openai.com, unijeti svoju e-poštu, a zatim se autentificirati nakon što ih preusmjerimo na njihov IdP

  • Mogu upotrijebiti URL pločice oznake koji ste (po izboru) konfigurirali tijekom postavljanja

Ako ustanovite da se vaši korisnici ne mogu uspješno autentificirati i imate poteškoća s vraćanjem promjena, odmah se obratite podršci za pomoć.

Imajte na umu da omogućavanje jedinstvene prijave na API Platformi primjenjuje potvrdu domene na sve korisnike s tom domenom. To znači da će, čak i ako korisnici ne pripadaju vašoj Enterprise organizaciji, i dalje morati biti dio vaše IdP grupe kako bi mogli pristupiti svojim osobnim organizacijama.

Rješavanje problema s prijavom

Ako nakon omogućavanja jedinstvene prijave imate problema s prijavom, možete pregledati našu stranicu Česta pitanja i rješavanje problema kako biste prepoznali uobičajene pogreške. Ako tamo ne pronađete zadovoljavajući odgovor, slobodno se obratite podršci.

Je li vam ovaj članak bio koristan?