OpenAI
Ez az oldal gépi fordítással készült. Tekintsd meg az eredeti angol nyelvű cikket.

SSO beállítása

Ez a dokumentum bemutatja az SSO beállítását a ChatGPT és az API Platform számára

Frissítve: 13 days ago

Előfeltételek

Az SSO beállításához a következők szükségesek:

  1. Rendelkezzen OpenAI-csomaggal globális adminisztrátori konzollal

  2. Legyen globális adminisztrátor

Mielőtt továbblépne, kérjük, tekintse át az SSO áttekintése és a Felhasználókezelés dokumentációs oldalainkat, hogy megismerje az SSO-architektúránkat.

Ha korábban már beállította az SSO-t egy API Platform-szervezethez vagy ChatGPT munkaterülethez, akkor az SSO-beállításainak már elérhetőnek kell lenniük az OpenAI Identity oldalon. Ha az a munkaterület vagy szervezet, amelyhez engedélyezni szeretné az SSO-t, nem jelenik meg a globális adminisztrátori konzolon, vegye fel a kapcsolatot a support@openai.com címmel.

⚠️ A felhasználói kizárásra kerülhetnek, ha az SSO nincs megfelelően beállítva!

A helytelen beállítás azt eredményezheti, hogy a felhasználók kizárásra kerülnek azokból a szervezetekből és munkaterületekről, ahol az SSO használata kötelező. Javasoljuk, hogy Ön globális adminisztrátorként tartsa az SSO-t Opcionális értéken az Admin Portálon.

A beállítás során tartson nyitva két külön bejelentkezett ablakot:

  1. Az egyik inkognitóablakban legyen bejelentkezve

  2. A másikban a szokásos böngészőjében legyen bejelentkezve

Így az egyik ablakban tesztelheti a bejelentkezési folyamatot és az SSO/domainellenőrzés beállítását, a másik ablakon keresztül pedig szükség esetén visszavonhatja a változtatásokat.

SSO tesztelése

Ha szeretné tesztelni a beállítási folyamatot anélkül, hogy kockáztatná a felhasználókra gyakorolt hatást, ezt az alkalmazáson itt teheti meg.

A sikeres kapcsolat létrehozása ebben a tesztalkalmazásban nem kapcsolódik vissza az éles szervezetéhez, és a kapcsolatot sem menti el (így később ugyanazokat a paramétereket használhatja az éles példányban, amikor készen áll). Ez azt jelenti, hogy biztonságosan használható homokozóként vagy tesztkörnyezetként, miközben megismeri a követelményeket és pótolja a hiányzó előfeltételeket.

SSO engedélyezése

A kezdéshez nyissa meg az OpenAI Identity oldalt a globális adminisztrátori konzolról. Ezt az oldalt a ChatGPT „Munkaterület kezelése” beállításai alatti „Identity & Provisioning” oldalon található hivatkozásról, illetve az API Platform szervezeti beállításaiban az Identity lapról is elérheti.

Az alábbi példák közül néhány az Okta rendszerében mutatja be a beállítást, de ugyanaz a logika minden SAML IdP-re alkalmazható.

Domainellenőrzés

Az SSO engedélyezéséhez először legalább egy domaint ellenőriznie kell.

Fontos: Ne felejtse el áttekinteni, hogy a domainellenőrzés milyen tovagyűrűző hatással lehet az adott domainhez tartozó felhasználókra.

Kattintson a „+ Domain hozzáadása” gombra, és a kezdéshez adja meg a DNS-ét:

Verify a new domain dialog with example.com entered and Submit available

A beküldés után biztosítunk egy kulcsot, amellyel igazolhatja a domain tulajdonjogát. Nyissa meg a DNS-szolgáltatóját, és adjon hozzá egy TXT rekordot a megadott értékkel:

Image

A TXT rekordnak DNS-lekérdezéssel elérhetőnek kell lennie ahhoz, hogy az ellenőrzés sikeres legyen.

Miután ezt elvégezte a DNS-szolgáltatójánál, térjen vissza a beállítási oldalra, és kattintson az „Ellenőrzés” gombra. Ha a domain tulajdonjogának ellenőrzése sikeres volt, az állapot „Ellenőrizve” értékre frissül.

Domain management page with company.abc listed as Verified

Admin Portalonként legfeljebb 99 ellenőrzött domaint adhat hozzá, és 7 nap áll rendelkezésére az ellenőrzés befejezésére, mielőtt egy domaint lejártnak jelölünk. A domainek csak egyetlen Admin Portálon ellenőrizhetők. Ha ugyanazt a domaint olyan szervezetnél vagy munkaterületnél kell ellenőriznie, amely nincs az Admin Portálján, forduljon az ügyfélszolgálathoz.

Az alkalmazás beállítása

Miután sikeresen ellenőrizte a domainjét, az IdP-alkalmazás beállításával folytathatja az SSO beállítását.

A kezdéshez kattintson az „SSO beállítása” gombra:

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Az identitásszolgáltató kiválasztása

Kiválaszthat egyet a natív SAML-integrációt támogató legnépszerűbb IdP-k listájából. Ha nem látja az IdP-jét a listában, vagy OIDC-kapcsolatot szeretne használni, választhatja az alul látható megfelelő Egyéni kapcsolat gombot:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Az alkalmazás létrehozása/csatlakoztatása

Most már követheti a lépésről lépésre haladó beállítási varázslót, amely segít létrehozni és összekapcsolni az IdP-alkalmazását velünk. Az Ön által használt IdP-től függően az utasítások kissé eltérhetnek, de az általános beállítás ugyanaz marad:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Vegye figyelembe, hogy a létrehozási lépésben megadott URL-ek az Ön szervezetére lesznek egyediek:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Fontos: Ha úgy dönt, hogy visszaállít egy megfelelően működő SSO-kapcsolatot, ezek az URL-értékek megváltoznak. Az SSO újbóli beállításakor ügyeljen arra, hogy ennek megfelelően frissítse őket az alkalmazásban.

Miután befejezte az URL-ek beállítását, folytathatja az alkalmazásán keresztül hitelesített felhasználók attribútumtársításának meghatározásával.

Attribútumtársítás

Az SSO-alkalmazásban meghatározott attribútumtársítás végső soron azt határozza meg, hogy mely OpenAI-fiókok hitelesíthetők, és hogyan jelennek meg a felhasználói az OpenAI-termékekben. A jelenlegi felhasználói modellünk három tulajdonságot támogat:

  1. E-mail-cím (kötelező a SAML-válaszban, ez határozza meg, melyik fiókhoz történik hozzáférés)

  2. Keresztnév (nem kötelező, de ajánlott)

  3. Vezetéknév (nem kötelező, de ajánlott)

Megjegyzés: nem támogatjuk a SAML-válaszok visszafejtését. Kérjük, ügyeljen arra, hogy ne titkosítsa a választ vagy az állítást, hogy megfelelően azonosíthassuk az attribútumokat.

Az attribútumtársítás pontos módja az IdP-től függően eltérő lesz. Javasoljuk, hogy kövesse pontosan a beállítási varázslóban az adott IdP-jéhez megjelenített társítást, például Okta esetén:

Image

Ha azt látja, hogy az új felhasználók e-mail-címként a megjelenített nevükkel érkeznek, tekintse át az attribútumtársítást, és győződjön meg róla, hogy nem titkosítja a válaszokat.

Másik esetben, ha az új felhasználókat a nevük és születési dátumuk megadására kérik, az valószínűleg azt jelzi, hogy nem tudunk megfelelő névértéket azonosítani az attribútumválaszból.

E-mail-cím változások

Előfordulhat, hogy egy felhasználó e-mail-címe frissül az IdP-ben, például:

  • Házasság utáni hivatalos névváltozás

  • A vállalatát felvásárolták, és új domainje lett

  • stb.

Ha ez megváltoztatja az emailaddress claim értékét az SSO SAMLResponse-ban, sikeres SSO után egy másik, az új e-mail-címhez kapcsolódó OpenAI-felhasználó lesz elérhető (és létrejön, ha korábban nem létezett). Ezt a felhasználót az eredeti felhasználótól külön kell meghívni a szervezetbe vagy a munkaterületre.

Elsődleges e-mail-címek

Bizonyos esetekben lehetnek olyan felhasználói, akik több különböző e-mail-címmel rendelkeznek. Ez gyakori nagyobb vállalatoknál, amelyek elosztott levelezőrendszereket használnak, vagy oktatási ügyfeleknél különböző iskolákkal, például:

Ebben a helyzetben azt javasoljuk, hogy a SAML-válasz attribútumai között csak egyetlen e-mail-cím szerepeljen, mivel több e-mail megadása zavart okozhat, amikor új vagy meglévő felhasználóhoz próbáljuk kapcsolni.

Emellett, ha a felhasználóknak van állandó e-mail-címük (pl. UPN), javasoljuk, hogy ezt használja az attribútumtársításban, hogy stabil OpenAI-felhasználói fiókjuk legyen, amelyet nem érint, ha a többi e-mail-címük megváltozik.

Hozzáférés biztosítása az IdP-alkalmazáshoz

Miután sikeresen létrehozta az attribútumtársítást, a varázsló végigvezeti a megfelelő felhasználók számára a kívánt csoportokon keresztül történő hozzáférés biztosításának lépésein.

A bevált gyakorlatokért tekintse meg a Felhasználókezelés témájú ajánlásainkat.

Az IdP metaadatainak beállítása

A beállítás ezen pontján két külön lehetősége van az IdP metaadatainak meghatározására: dinamikus konfiguráció és kézi konfiguráció.

Dinamikus konfiguráció

Ez az ajánlott és legegyszerűbb lehetőség. Dinamikus konfiguráció esetén egyszerűen meg kell adnia az alkalmazásához tartozó metaadat-URL-t (amelyet most a korábban beállított SSO URL és Entity ID tölt ki). A beállítási varázsló megmutatja, hol találja ezt az IdP-ben:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Kézi konfiguráció

Ahogy a neve is sugallja, a kézi konfiguráció valamivel több munkát igényel. Az IdP-től függően meg kell adnia a megfelelő SSO URL-t és az IdP kibocsátóját, valamint egy x.509 tanúsítványt:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

IdP által kezdeményezett bejelentkezés

Ha azt szeretné, hogy a felhasználói a vezérlőpultjukon lévő csempére kattintva automatikusan hitelesítve legyenek, a beállítási folyamat részeként konfigurálhatja az alkalmazásához az IdP által kezdeményezett hitelesítést. Bár a pontos folyamat az IdP-től függően eltérő lehet, az általános folyamat egy megadott URL-t használ az alábbi formában:

Például az Okta végigvezeti egy új könyvjelzőalkalmazás létrehozásán ezzel az URL-lel:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Míg az Entra ID lehetővé teszi, hogy a megadott „Bejelentkezési URL-t” beírja a megfelelő űrlapba:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Fontos: Ha úgy dönt, hogy visszaállít egy megfelelően működő SSO-kapcsolatot, ezek az URL-értékek meg fognak változni.

Ez azt jelenti, hogy az új kapcsolat beállításakor a bejelentkezési URL-t is ennek megfelelően frissítenie kell, különben a felhasználók nem tudnak hitelesíteni a csempéiken keresztül.

A beállítás befejezése

Miután beállította az IdP metaadatait, a „Folytatás” gombra kattintva továbbléphet a választható könyvjelzőalkalmazások beállításához. Az utolsó kötelező beállítási lépés az „Egyszeri bejelentkezés tesztelése” oldalon lesz:

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

A „Folytatás a bejelentkezéshez” gombra kattintás után a varázsló megpróbálja tesztelni az új kapcsolatot. Ha minden sikeres, az SSO ténylegesen engedélyezve lesz. Ezt most már a konfigurációs oldalon is látnia kell:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Az IdP-csoportba tartozó, megfelelő fiókkal vagy meghívással rendelkező felhasználóknak most már be kell tudniuk jelentkezni SSO-val:

  • Megnyithatják a chatgpt.com vagy a platform.openai.com oldalt, megadhatják az e-mail-címüket, majd hitelesíthetnek, miután átirányítjuk őket az IdP-jükhöz

  • Használhatják a beállítás során (opcionálisan) megadott könyvjelzőcsempe URL-jét

Ha azt tapasztalja, hogy a felhasználók nem tudnak sikeresen hitelesíteni, és gondot okoz a változtatások visszavonása, azonnali segítségért forduljon az ügyfélszolgálathoz.

Ne feledje, hogy az SSO engedélyezése az API Platformon a domainellenőrzést az adott domain összes felhasználójára alkalmazza. Ez azt jelenti, hogy még ha a felhasználók nem is tartoznak az Ön Enterprise szervezetéhez, akkor is az Ön IdP-csoportjának részét kell képezniük ahhoz, hogy hozzáférjenek a személyes szervezeteikhez.

Bejelentkezési hibák elhárítása

Ha az SSO engedélyezése után problémái vannak a bejelentkezéssel, tekintse meg a GYIK és hibaelhárítás oldalunkat, ahol segítséget találhat a gyakori hibák azonosításához. Ha ott nem talál megfelelő választ, forduljon bizalommal az ügyfélszolgálathoz.

Hasznos volt ez a cikk?