Prerequisiti
Per configurare l'SSO, devi:
Avere un piano OpenAI con una Global Admin Console
Essere Amministratore globale
Prima di procedere, consulta le nostre pagine di documentazione Sommario SSO e Gestione utenti per assicurarti di conoscere la nostra architettura SSO.
Se hai configurato in precedenza l'SSO per un'organizzazione della Piattaforma API o un'area di lavoro ChatGPT, le impostazioni SSO dovrebbero già essere disponibili per la configurazione alla pagina OpenAI Identity. Se l'area di lavoro o l'organizzazione per cui vuoi abilitare l'SSO non è visualizzata nella tua Console di amministrazione globale, contatta support@openai.com.
⚠️ Se l'SSO non è configurato correttamente, i tuoi utenti saranno bloccati!
Una configurazione errata può causare il blocco degli utenti dalle organizzazioni e dalle aree di lavoro dove l'SSO è richiesto. Ti consigliamo, come amministratore globale, di mantenere l'SSO come opzionale nel Portale di amministrazione.
Durante la configurazione, mantieni aperte due finestre separate in cui hai effettuato l'accesso:
Una con accesso tramite una finestra in incognito
Una con accesso tramite il tuo browser standard
Questo ti permette di testare il processo di login e la configurazione di SSO/verifica del dominio in una finestra, e di annullare le modifiche se necessario tramite la seconda finestra.
Test SSO
Se desideri testare il processo di configurazione senza rischiare un impatto sui tuoi utenti, puoi farlo tramite l'applicazione qui.
Una connessione riuscita e completata su questa applicazione di test non si collegherà alla tua organizzazione di produzione, né salverà la connessione, quindi puoi riutilizzare gli stessi parametri nella tua istanza di produzione quando sarai pronto. Ciò significa che è sicuro da usare come sandbox o playground, mentre impari a conoscere i requisiti e a compensare eventuali prerequisiti mancanti.
Abilitazione dell'SSO
Per iniziare, vai alla pagina OpenAI Identity dalla Console di amministrazione globale. Puoi accedere alla pagina anche tramite il link nella pagina "Identità e Provisioning" sotto le impostazioni "Gestisci area di lavoro" su ChatGPT o nella scheda Identità nelle impostazioni dell'organizzazione della tua piattaforma API.
Alcuni esempi qui sotto mostreranno la configurazione in Okta, ma la stessa logica dovrebbe essere applicabile a tutti gli IdP SAML.
Verifica del dominio
Per abilitare l'SSO, è necessario che tu verifichi almeno un dominio.
Importante: ricorda di esaminare l'impatto a valle che la verifica del dominio potrebbe avere sugli utenti di tale dominio.
Per iniziare, clicca sul pulsante "+ Aggiungi Dominio" e inserisci il tuo DNS:
Una volta inviata un'e-mail, ti forniamo una chiave per verificare la proprietà del tuo dominio. Vai al tuo provider DNS e aggiungi un record TXT con il valore fornito:
Il tuo record TXT deve essere accessibile tramite una ricerca DNS affinché il controllo di verifica vada a buon fine.
Dopo aver completato questa procedura tramite il tuo provider DNS, torna alla pagina di configurazione e clicca sul pulsante "Verifica". Se la proprietà del tuo dominio è stata convalidata correttamente, vedrai lo stato aggiornato a "Verificato".
Puoi aggiungere fino a 99 domini verificati per ogni Portale di amministrazione e hai disposizione 7 giorni per completare la verifica prima di contrassegnare un dominio come scaduto. I domini possono essere verificati solo su un unico Portale di amministrazione. Se hai bisogno di verificare lo stesso dominio su un'organizzazione o area di lavoro che non è nel tuo Portale di amministrazione, contatta l'Assistenza.
Configurazione della tua applicazione
Dopo aver verificato correttamente il tuo dominio, puoi procedere con la configurazione dell'SSO configurando la tua applicazione IdP.
Per iniziare, fai clic sul pulsante ”Imposta SSO”:
Seleziona il tuo Identity Provider
Hai la possibilità di selezionare da un elenco tra i più popolari IdP che forniscono assistenza nativa per le integrazioni SAML. Se non vedi il tuo IdP nell'elenco o desideri utilizzare una connessione OIDC, puoi scegliere il pulsante appropriato 'Connessione personalizzata' mostrato in fondo:
Creazione/Collegamento dell'applicazione
Ora puoi seguire la procedura guidata di configurazione passo dopo passo per creare e connettere la tua applicazione IdP con noi. A seconda dell'IdP che stai utilizzando, le istruzioni potrebbero variare leggermente, ma la configurazione generale rimane la stessa:
Si noti che gli URL forniti nella fase di creazione saranno univoci per la propria organizzazione:
Importante: se scegli di reimpostare una connessione SSO funzionante, i valori degli URL cambieranno. Quando configuri nuovamente l'SSO, assicurati di aggiornarli di conseguenza nella tua applicazione.
Una volta completata la configurazione dell'URL, puoi procedere a definire la mappatura degli attributi per gli utenti autenticati tramite la tua applicazione.
Mappatura degli attributi
La mappatura degli attributi che definisci nella tua applicazione SSO determina quali account OpenAI vengono autenticati e come i tuoi utenti appaiono nei prodotti OpenAI. Il nostro modello utente attuale supporta tre proprietà:
Indirizzo e-mail (richiesto nella risposta SAML, determina l'account su cui si effettua l'accesso)
Nome (opzionale, ma consigliato)
Cognome (opzionale, ma consigliato)
Nota: non forniamo assistenza per la decrittazione delle risposte SAML. Assicurati di non criptare la tua risposta o affermazione per assicurarci di identificare correttamente gli attributi.
A seconda del tuo IdP, la mappatura esatta degli attributi varierà. Ti consigliamo di attenerti alla mappatura esatta mostrata per il tuo IdP nella procedura guidata di configurazione, ad esempio. Okta sarebbe:
Se si notano nuovi utenti con indirizzi e-mail impostati come nome visualizzato, rivedere la mappatura degli attributi e verificare di non crittografare le risposte.
In alternativa, se ai nuovi utenti viene chiesto di inserire il proprio nome e data di nascita, probabilmente questo indica che non stiamo identificando un valore di nome corretto dalla tua risposta all'attributo.
Modifiche all'e-mail
Occasionalmente, l'indirizzo e-mail di un utente potrebbe essere aggiornato nel tuo IdP, ad esempio.
Un cambio legale del nome dopo il matrimonio
La loro azienda è stata acquisita e hanno un nuovo dominio
ecc.
Se questo modifica il valore della claim emailaddress nella SAMLResponse dell'SSO, in caso di SSO riuscito verrà utilizzato un altro utente OpenAI associato al nuovo indirizzo e-mail (che verrà creato se non esiste già). Tale utente dovrà essere invitato all'organizzazione o all'area di lavoro separatamente dall'utente originale.
Indirizzi e-mail principali
In alcuni casi, potresti avere utenti con più indirizzi e-mail diversi. Si tratta di uno scenario comune nelle aziende di grandi dimensioni che dispongono di sistemi di posta distribuiti o per i clienti Edu con scuole diverse, ad esempio:
In questa situazione, ti consigliamo di assicurarti che la risposta SAML includa solo un indirizzo e-mail nei suoi attributi, poiché includere più indirizzi e-mail può causare confusione quando cerchiamo di associarlo a un utente nuovo o esistente.
Inoltre, se gli utenti hanno un indirizzo e-mail statico (ad esempio, un UPN), consigliamo di utilizzarlo nella mappatura degli attributi per garantire che abbiano un account utente OpenAI stabile che non sarà influenzato quando gli altri indirizzi e-mail potrebbero essere modificati.
Provisioning dell'accesso alle applicazioni dell'IdP
Una volta completata correttamente la mappatura degli attributi, il wizard ti guiderà attraverso i passaggi per fornire accesso agli utenti appropriati tramite i gruppi desiderati.
Ti invitiamo a consultare le nostre raccomandazioni su Gestione utenti per le best practice.
Impostazione dei metadati IdP
A questo punto della configurazione, hai due diverse opzioni per definire i metadati del tuo IdP: configurazione dinamica e configurazione manuale.
Configurazione dinamica
Questa è l'opzione consigliata e più diretta. Con la Configurazione dinamica, devi semplicemente fornire l'URL dei metadati (ora popolato dall'URL di SSO e dall'ID dell'entità che hai configurato in precedenza) associato alla tua applicazione. La procedura guidata di configurazione ti mostrerà dove trovare questo nel tuo IdP:
Configurazione manuale
Come suggerisce il nome, la Configurazione manuale richiede un po' più di lavoro. A seconda del tuo IdP, dovrai inserire l'URL di SSO corrispondente e l'emittente IdP, insieme a un certificato x.509:
Accesso iniziato da IdP
Se desideri che i tuoi utenti possano cliccare su un riquadro della loro dashboard ed essere autenticati automaticamente, puoi configurare l'autenticazione avviata dall'IdP per la tua applicazione nell'ambito del processo di configurazione. Anche se il processo esatto può variare a seconda del tuo IdP, il processo generale utilizzerà un URL fornito nella forma di:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
Piattaforma API: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Ad esempio, Okta ti guiderà nella creazione di una nuova applicazione segnalibro con questo URL:
Entra ID ti consentirà invece di inserire l'"URL di accesso" fornito nell'apposito modulo:
Importante: se scegli di reimpostare una connessione SSO stabile, questi valori URL verranno modificati.
Questo significa che quando configuri la nuova connessione, dovrai anche aggiornare di conseguenza il tuo URL di accesso, altrimenti gli utenti non potranno autenticarsi tramite i loro riquadri.
Completamento della configurazione
Una volta configurati i metadati del tuo IdP, puoi cliccare su "Continua" per procedere con la configurazione di eventuali app di segnalibri opzionali. L'ultimo passaggio obbligatorio di configurazione sarà nella pagina "Test Single Sign-On":
Dopo aver cliccato su "Continua con l'accesso", la procedura guidata tenterà di testare la nuova connessione. Se tutto va a buon fine, avrai effettivamente abilitato l'SSO. Ora dovresti vederne gli effetti nella pagina di configurazione:
Gli utenti del tuo gruppo IdP, con account o inviti corrispondenti, dovrebbero ora poter accedere con SSO:
Possono navigare su chatgpt.com o platform.openai.com, inserire il proprio indirizzo e-mail e quindi autenticarsi dopo che li avremo reindirizzati al loro IdP
Possono utilizzare l'URL del riquadro segnalibro che hai configurato (facoltativamente) durante l'installazione.
Se riscontri che i tuoi utenti non riescono ad autenticarsi correttamente e hai difficoltà a ripristinare le modifiche, contatta l'assistenza per ricevere assistenza immediata.
Ricorda che l'abilitazione dell'SSO sulla piattaforma API applica la verifica del dominio a tutti gli utenti con quel dominio. Ciò significa che, anche se gli utenti non appartengono alla tua organizzazione Enterprise, dovranno comunque far parte del tuo gruppo IdP per poter accedere alle loro organizzazioni personali.
Risoluzione dei problemi di accesso
Se dopo aver abilitato l'SSO riscontri problemi di accesso, puoi consultare la nostra pagina delle FAQ e Risoluzione dei problemi per ricevere assistenza nell'identificazione degli errori comuni. Se non trovi una risposta soddisfacente, non esitare a contattare l'assistenza.