Prasyarat

Untuk mengatur SSO, Anda harus:

Miliki paket OpenAI dengan Global Admin Console
Jadilah Admin Global

Sebelum melanjutkan, harap tinjau halaman dokumentasi Ringkasan SSO dan Manajemen Pengguna kami untuk memastikan Anda sudah familier dengan arsitektur SSO kami.

Jika Anda sebelumnya telah mengonfigurasi SSO untuk organisasi Platform API atau workspace ChatGPT, pengaturan SSO Anda seharusnya sudah tersedia untuk dikonfigurasi di halaman OpenAI Identity. Jika workspace atau organisasi yang ingin Anda aktifkan SSO-nya tidak ditampilkan di Konsol Admin Global Anda, silakan hubungi support@openai.com.

⚠️ Pengguna Anda akan terkunci jika SSO tidak diatur dengan benar!

Pengaturan yang salah dapat menyebabkan pengguna Anda terkunci dari organisasi dan workspace di mana SSO diatur sebagai wajib. Kami merekomendasikan agar Anda, sebagai Admin Global, mempertahankan SSO sebagai opsional di Portal Admin.

Selama pengaturan, buka dua jendela masuk yang terpisah:

Seseorang masuk melalui jendela Incognito
Setelah Anda masuk melalui browser standar Anda

Hal ini memungkinkan Anda menguji proses login serta pengaturan SSO/Verifikasi Domain pada satu jendela, dan mengembalikan perubahan jika diperlukan melalui jendela kedua.

Pengujian SSO

Jika Anda ingin menguji proses penyiapan tanpa memengaruhi pengguna Anda, Anda dapat melakukannya melalui aplikasi di sini.

Keberhasilan menyelesaikan koneksi pada aplikasi uji ini tidak akan terhubung dengan organisasi produksi Anda, dan koneksi tersebut juga tidak akan disimpan (sehingga Anda dapat menggunakan kembali parameter yang sama pada instans produksi ketika sudah siap). Hal ini menunjukkan bahwa lingkungan tersebut aman digunakan sebagai sandbox atau playground saat Anda memahami persyaratan dan menyelesaikan prasyarat yang belum lengkap.

Mengaktifkan SSO

Untuk memulai, buka halaman OpenAI Identity dari Konsol Admin Global. Anda juga dapat mengakses halaman tersebut melalui tautan di halaman "Identitas & Penyediaan" di bawah pengaturan "Kelola Workspace" Anda di ChatGPT atau tab Identitas dalam pengaturan organisasi Platform API Anda.

Beberapa contoh di bawah ini akan menunjukkan pengaturan di Okta, tetapi logika yang sama harus dapat diterapkan pada semua IdP SAML.

Verifikasi Domain

Untuk mengaktifkan SSO, kami mengharuskan Anda terlebih dahulu memverifikasi setidaknya satu domain.

Penting: Ingatlah untuk meninjau dampak lanjutan yang mungkin ditimbulkan oleh verifikasi domain terhadap para pengguna dengan domain tersebut.

Klik tombol "+ Tambahkan Domain" dan masukkan DNS Anda untuk memulai:

Verify a new domain dialog with example.com entered and Submit available

Setelah diajukan, kami akan menyediakan sebuah kunci untuk Anda gunakan dalam memverifikasi kepemilikan domain Anda. Buka penyedia DNS Anda, lalu tambahkan catatan TXT dengan nilai yang telah disediakan

Catatan TXT Anda harus dapat diakses melalui pencarian DNS agar pemeriksaan verifikasi berhasil.

Setelah menyelesaikan ini di penyedia DNS Anda, kembali ke halaman pengaturan dan klik tombol "Periksa". Jika kepemilikan domain Anda berhasil terverifikasikan, Anda akan melihat status diperbarui menjadi "Terverifikasi."

Domain management page with company.abc listed as Verified

Anda dapat menambahkan hingga 99 domain terverifikasi per Admin Portal, dan kami memberikan waktu 7 hari bagi Anda untuk menyelesaikan pemeriksaan verifikasi sebelum menandai domain sebagai kedaluwarsa. Domain hanya dapat diverifikasi pada satu Admin Portal. Jika Anda perlu melakukan verifikasi pada domain yang sama pada organisasi atau workspace yang tidak ada di Portal Admin Anda, silakan hubungi dukungan.

Mengonfigurasi Aplikasi Anda

Setelah berhasil verifikasikan domain Anda, Anda dapat melanjutkan dengan pengaturan SSO dengan mengonfigurasi aplikasi IdP Anda.

Untuk memulai, klik tombol "Atur SSO":

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Memilih Penyedia Identitas Anda

Anda memiliki opsi untuk memilih dari daftar IdP yang paling populer yang secara native memiliki dukungan integrasi SAML. Jika Anda tidak melihat IdP Anda dalam daftar, atau jika Anda ingin menggunakan koneksi OIDC, Anda dapat memilih tombol Koneksi Kustom yang sesuai yang ditampilkan di bagian bawah:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Membuat/Menghubungkan Aplikasi

Anda sekarang dapat mengikuti panduan konfigurasi langkah demi langkah untuk membantu membuat dan menghubungkan aplikasi IdP Anda dengan kami. Bergantung pada IdP yang Anda gunakan, instruksi Anda mungkin sedikit berbeda, tetapi pengaturan umumnya tetap sama:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Perlu diperhatikan bahwa URL yang disediakan pada tahap pembuatan akan bersifat unik untuk organisasi Anda

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Penting: Jika Anda memilih untuk mereset koneksi SSO yang sehat, nilai-nilai URL ini akan berubah. Saat mengatur SSO lagi, Anda perlu memastikan untuk memperbaruinya di aplikasi Anda dengan tepat.

Setelah Anda menyelesaikan pengaturan URL, Anda dapat melanjutkan ke pendefinisian pemetaan atribut bagi pengguna yang diautentikasi melalui aplikasi Anda.

Pemetaan Atribut

Pemetaan atribut yang Anda tentukan dalam aplikasi SSO Anda pada akhirnya menentukan akun OpenAI mana yang diautentikasi dan bagaimana pengguna Anda muncul di produk OpenAI. Model pengguna kami saat ini mendukung tiga properti:

Alamat Email (diperlukan dalam respons SAML, menentukan akun mana yang diakses)
Nama Depan (opsional, tetapi disarankan)
Nama Belakang (opsional, tetapi disarankan)

Catatan: Kami tidak memberikan dukungan untuk dekripsi Respons SAML. Mohon pastikan bahwa Anda tidak mengenkripsi respons atau asersi Anda untuk menjamin kami dapat mengidentifikasi atribut dengan benar.

Pemetaan atribut yang tepat akan bervariasi tergantung pada IdP Anda. Kami menyarankan untuk mematuhi pemetaan yang tepat seperti yang digambarkan untuk IdP Anda dalam wizard pengaturan, misalnya. Okta akan:

Jika Anda melihat pengguna baru datang dengan alamat email mereka diatur sebagai nama tampilan mereka, harap tinjau pemetaan atribut Anda dan pastikan bahwa Anda tidak mengenkripsi respons Anda.

Sebagai alternatif, jika pengguna baru diminta untuk memasukkan nama dan tanggal lahir, hal ini kemungkinan menunjukkan bahwa kami tidak dapat mengidentifikasi nilai nama yang sesuai dari respons atribut Anda.

Perubahan Email

Ada kalanya alamat email pengguna diperbarui di sistem IdP.

Perubahan nama resmi setelah pernikahan
Perusahaan mereka diakuisisi dan mereka memiliki domain baru
dll.

Jika ini mengubah nilai klaim Alamat email dalam SSO SAMLResponse, pengguna OpenAI yang berbeda yang terhubung dengan alamat email baru akan diakses (dan dibuat jika belum ada sebelumnya) setelah SSO berhasil. Pengguna ini harus diundang ke Org atau Workspace secara terpisah dari pengguna asli.

Alamat Email Utama

Dalam beberapa kasus, Anda mungkin memiliki pengguna dengan beberapa alamat email yang berbeda. Ini adalah skenario umum di perusahaan besar yang memiliki sistem surat menyurat terdistribusi atau untuk pelanggan Edu dengan sekolah yang berbeda, contohnya.

Dalam situasi ini, kami menyarankan agar respons SAML Anda hanya menyertakan satu alamat email dalam atributnya, karena menyertakan beberapa alamat email dapat menimbulkan kebingungan saat kami mencoba mengaitkannya dengan pengguna baru atau yang sudah ada.

Selain itu, jika pengguna memiliki alamat email statis (misalnya UPN), kami merekomendasikan agar alamat tersebut digunakan dalam pemetaan atribut untuk memastikan akun pengguna OpenAI tetap stabil dan tidak terpengaruh ketika alamat email lainnya berubah.

Penyediaan Akses Aplikasi Melalui IdP

Setelah Anda berhasil buat pemetaan atribut, wizard akan memandu Anda melalui langkah-langkah untuk melakukan penyediaan akses kepada pengguna yang tepat melalui grup yang diinginkan.

Silakan tinjau rekomendasi kami tentang Manajemen Pengguna untuk praktik terbaik.

Pengaturan Metadata IdP

Pada titik ini dalam pengaturan, Anda memiliki dua opsi terpisah untuk mendefinisikan metadata IdP Anda: Konfigurasi Dinamis dan Konfigurasi Manual.

Konfigurasi Dinamis

Ini adalah opsi yang direkomendasikan dan paling mudah. Dengan Konfigurasi Dinamis, Anda hanya perlu menyediakan URL Metadata (yang sekarang diisi oleh URL SSO dan ID Entitas yang telah Anda konfigurasikan sebelumnya) yang terkait dengan aplikasi Anda. Wizard penyiapan akan menunjukkan kepada Anda di mana Anda dapat menemukan ini di IdP Anda:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Konfigurasi Manual

Seperti namanya, Konfigurasi Manual memerlukan sedikit lebih banyak upaya. Bergantung pada IdP Anda, Anda perlu memasukkan URL SSO dan penerbit IdP yang sesuai, bersama dengan sertifikat x.509:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

Login yang Diinisiasi oleh IdP

Jika Anda ingin pengguna dapat mengklik tile pada dashboard mereka dan langsung terautentikasi secara otomatis, Anda dapat mengonfigurasi autentikasi yang diinisiasi oleh IdP ke aplikasi Anda sebagai bagian dari proses penyiapan. Meskipun proses pastinya akan berbeda tergantung pada IdP yang Anda gunakan, secara umum proses ini akan memanfaatkan URL yang disediakan dalam bentuk berikut:

ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
Platform API: https://platform.openai.com/enterprise/conn_01ABC02DEF/login

Sebagai contoh, Okta akan membimbing Anda untuk buat Aplikasi Bookmark baru dengan URL ini:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Sedangkan Entra ID akan memungkinkan Anda untuk memasukkan "Sign on URL" yang disediakan ke dalam formulir yang sesuai:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Penting: Jika Anda memilih untuk mereset koneksi SSO yang berfungsi dengan baik, nilai-nilai URL ini akan berubah.

Ini berarti bahwa saat Anda mengonfigurasi koneksi baru, Anda juga perlu memperbarui Sign on URL yang digunakan. Jika tidak, pengguna tidak akan dapat melakukan autentikasi melalui tile mereka.

Menyelesaikan Pengaturan

Setelah Anda mengonfigurasi metadata IdP Anda, Anda dapat mengklik "Lanjutkan" untuk melanjutkan dengan mengatur aplikasi penanda opsional. Langkah konfigurasi wajib terakhir akan berada di halaman "Uji Single Sign-On":

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Setelah menekan "Lanjutkan untuk masuk," wizard akan mencoba menguji koneksi baru Anda. Jika semuanya berhasil, Anda akan dapat mengaktifkan SSO secara efektif. Anda sekarang seharusnya melihat ini tercermin di halaman konfigurasi Anda:

OpenAI Single Sign-On test succeeded confirmation page

Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Pengguna dalam grup IdP Anda dengan akun atau undangan yang sesuai sekarang seharusnya dapat masuk dengan SSO:

Mereka dapat mengunjungi chatgpt.com atau platform.openai.com, memasukkan email, lalu autentikasi setelah kami meneruskan mereka ke IdP mereka
Mereka dapat menggunakan URL Bookmark Tile yang Anda (secara opsional) konfigurasikan selama penyiapan

Jika Anda mendapati pengguna tidak dapat melakukan autentikasi dengan berhasil dan mengalami kesulitan untuk mengembalikan perubahan, silakan hubungi Tim Dukungan untuk mendapatkan bantuan segera.

Ingatlah bahwa mengaktifkan SSO pada Platform API akan menerapkan verifikasi domain untuk semua pengguna yang memiliki domain tersebut. Ini berarti bahwa, meskipun para pengguna tidak termasuk dalam organisasi Enterprise Anda, mereka tetap diwajibkan menjadi bagian dari grup IdP Anda untuk dapat mengakses organisasi pribadi mereka.

Pemecahan Masalah Login

Jika setelah mengaktifkan SSO, Anda mengalami masalah saat masuk, Anda dapat meninjau halaman Pertanyaan Umum dan Pemecahan Masalah kami untuk mendapatkan bantuan dalam mengidentifikasi kesalahan umum. Jika Anda tidak menemukan jawaban yang memadai di sana, jangan ragu untuk menghubungi Dukungan.

Mengonfigurasi SSO