Prasyarat
Kanggo nyiyapake SSO, sampeyan kudu:
Duwe paket OpenAI kanthi Global Admin Console
Dadi Global Admin
Sadurunge nerusake, mangga delengen kaca dokumentasi Ringkesan SSO lan Manajemen Pangguna supaya sampeyan paham karo arsitektur SSO kita.
Yen sampeyan sadurunge wis ngatur SSO kanggo organisasi API Platform utawa papan kerja ChatGPT, setelan SSO sampeyan kudune wis kasedhiya kanggo diatur ing kaca OpenAI Identity. Yen papan kerja utawa org sing arep sampeyan aktifake SSO ora katon ing Global Admin Console, hubungi support@openai.com.
⚠️ Pangguna sampeyan bakal kekunci metu yen SSO ora disiyapake kanthi bener!
Persiyapan sing salah bisa nyebabake pangguna sampeyan kekunci metu saka org lan papan kerja sing SSO-ne disetel dadi wajib. Kita nyaranake supaya sampeyan, minangka global admin, njaga SSO tetep Optional ing Admin Portal.
Sajrone persiyapan, tetep bukak loro jendhela login sing kapisah:
Siji mlebu liwat jendhela incognito
Siji mlebu liwat browser standar sampeyan
Iki ngidini sampeyan nguji proses login lan persiyapan SSO/Verifikasi Domain ing siji jendhela, lan mbalekake owah-owahan yen perlu liwat jendhela kapindho.
Nyoba SSO
Yen sampeyan pengin nyoba proses persiyapan tanpa risiko mengaruhi pangguna, sampeyan bisa nindakake liwat aplikasi ing kene.
Ngrampungake sambungan sing sukses ing aplikasi tes iki ora bakal disambungake menyang org produksi sampeyan, lan uga ora bakal nyimpen sambungan kasebut (dadi sampeyan bisa nggunakake maneh parameter sing padha ing instans produksi nalika sampeyan wis siyap). Tegese, iki aman digunakake minangka sandbox utawa playground nalika sampeyan lagi ngerteni syarat-syaraté lan ngrampungake prasyarat sing kurang.
Ngaktifake SSO
Kanggo miwiti, bukak kaca OpenAI Identity saka Global Admin Console. Sampeyan uga bisa tekan kaca kasebut saka pranala ing kaca "Identity & Provisioning" ing ngisor setelan "Manage Workspace" sampeyan ing ChatGPT utawa tab Identity ing setelan organisasi API Platform.
Sawetara conto ing ngisor iki bakal nuduhake persiyapan ing Okta, nanging logika sing padha kudu bisa ditrapake kanggo kabeh SAML IdP.
Verifikasi Domain
Kanggo ngaktifake SSO, kita mbutuhake sampeyan supaya luwih dhisik verifikasi paling ora siji domain.
Penting: Elinga kanggo mriksa dampak hilir sing bisa ditimbulake verifikasi domain marang pangguna kanthi domain kasebut.
Klik tombol "+ Add Domain" lan lebokna DNS sampeyan kanggo miwiti:

Sawise dikirim, kita nyedhiyakake kunci kanggo verifikasi kepemilikan domain sampeyan. Bukak panyedhiya DNS sampeyan, banjur tambahna record TXT kanthi nilai sing diwenehake:

Record TXT sampeyan kudu bisa diakses liwat DNS lookup supaya pamriksan verifikasi bisa kasil.
Sawise rampung ing panyedhiya DNS sampeyan, bali menyang kaca persiyapan banjur klik tombol "Check". Yen kepemilikan domain sampeyan kasil divalidasi, sampeyan bakal weruh status dianyari dadi "Verified."

Sampeyan bisa nambah nganti 99 domain sing wis diverifikasi saben Admin Portal, lan kita menehi wektu 7 dina kanggo ngrampungake pamriksan verifikasi sadurunge domain ditandhani kadaluwarsa. Domain mung bisa diverifikasi ing siji Admin Portal. Yen sampeyan perlu verifikasi domain sing padha ing organisasi utawa papan kerja sing ora ana ing Admin Portal sampeyan, mangga hubungi Support.
Ngatur Aplikasi Sampeyan
Sawise domain sampeyan kasil diverifikasi, sampeyan bisa nerusake persiyapan SSO kanthi ngatur aplikasi IdP sampeyan.
Kanggo miwiti, klik tombol "Set up SSO":

Milih Identity Provider sampeyan
Sampeyan duwe pilihan kanggo milih saka dhaptar IdP paling populer sing native ndhukung integrasi SAML. Yen sampeyan ora weruh IdP sampeyan ing dhaptar, utawa yen sampeyan pengin nggunakake sambungan OIDC, sampeyan bisa milih tombol sambungan Custom sing cocog ing sisih ngisor:

Nggawe/Nyambungake Aplikasi
Saiki sampeyan bisa ngetutake wizard konfigurasi langkah demi langkah kanggo mbantu nggawe lan nyambungake aplikasi IdP sampeyan karo kita. Gumantung IdP sing sampeyan gunakake, pandhuane bisa rada beda, nanging persiyapan umume tetep padha:

Elinga yen URL sing diwenehake ing langkah nggawe bakal unik kanggo organisasi sampeyan:

Penting: Yen sampeyan milih ngreset sambungan SSO sing sehat, nilai URL iki bakal owah. Nalika nyiyapake SSO maneh, sampeyan kudu mesthekake kanggo nganyari ing aplikasi sampeyan kanthi cocog.
Sawise sampeyan ngrampungake persiyapan URL, sampeyan bisa nerusake kanggo nemtokake attribute mapping kanggo pangguna sing diautentikasi liwat aplikasi sampeyan.
Attribute Mapping
Attribute mapping sing sampeyan tetepake ing aplikasi SSO pungkasane nemtokake akun OpenAI endi sing diautentikasi lan kepiye pangguna sampeyan katon ing produk OpenAI. Model pangguna saiki ndhukung telung properti:
Alamat Email (wajib ana ing respons SAML, nemtokake akun endi sing diakses)
Jeneng Ngarep (opsional, nanging disaranake)
Jeneng Mburi (opsional, nanging disaranake)
Cathetan: Kita ora ndhukung dekripsi SAML Responses. Mangga priksa manawa sampeyan ora ngenkripsi respons utawa assertion supaya kita bisa ngenali atribut kanthi bener.
Gumantung IdP sampeyan, attribute mapping sing pas bakal beda-beda. Kita nyaranake manut mapping persis kaya sing dituduhake kanggo IdP sampeyan ing wizard persiyapan, contone Okta yaiku:

Yen sampeyan ndeleng pangguna anyar mlebu kanthi alamat email disetel dadi display name, mangga priksa attribute mapping sampeyan lan pasthekake yen sampeyan ora ngenkripsi respons.
Utawa, yen pangguna anyar dijaluk ngetik jeneng lan ulang tahun, iki kamungkinan nuduhake yen kita ora ngenali nilai jeneng sing bener saka respons atribut sampeyan.
Owahan Email
Kadhangkala, alamat email pangguna bisa dianyari ing IdP sampeyan, contone.
Owah-owahan jeneng legal sawisé nikah
Perusahaane diakuisisi lan dheweke duwe domain anyar
lan liya-liyane.
Yen iki ngganti nilai klaim emailaddress ing SSO SAMLResponse, pangguna OpenAI sing beda sing gegandhengan karo alamat email anyar bakal diakses (lan digawe yen sadurunge durung ana) sawise SSO kasil. Pangguna iki kudu diundang menyang Org utawa Workspace kanthi kapisah saka pangguna asli.
Alamat Email Utama
Ing sawetara kasus, sampeyan bisa uga duwe pangguna kanthi pirang-pirang alamat email sing beda. Iki umum kedadeyan ing perusahaan gedhe sing nduweni sistem mailing sing sumebar utawa kanggo pelanggan Edu kanthi sekolah sing beda-beda, contone.
Ing kahanan iki, kita nyaranake supaya respons SAML sampeyan mung ngemot siji alamat email ing atributé, amarga nambahaké pirang-pirang email bisa nyebabake kebingungan nalika kita nyambungake menyang pangguna anyar utawa sing wis ana.
Kajaba iku, yen pangguna duwe alamat email statis (contone UPN), kita nyaranake nggunakake iki ing attribute mapping supaya dheweke nduweni akun pangguna OpenAI sing stabil lan ora kena pengaruh nalika alamat email liyane diganti.
Nyedhiyakake Akses Aplikasi IdP
Sawise sampeyan kasil nggawe attribute mapping, wizard bakal nuntun sampeyan liwat langkah-langkah kanggo nyedhiyakake akses marang pangguna sing pas liwat grup sing dikarepake.
Mangga delengen rekomendasi kita babagan Manajemen Pangguna kanggo praktik paling apik.
Nyetel Metadata IdP
Ing tahap iki sajrone persiyapan, sampeyan duwe rong opsi kapisah kanggo nemtokake metadata IdP: Dynamic Configuration lan Manual Configuration.
Konfigurasi Dinamis
Iki opsi sing disaranake lan paling gampang. Kanthi Dynamic Configuration, sampeyan mung perlu nyedhiyakake Metadata URL (saiki wis kapenuhan dening SSO URL lan Entity ID sing sadurunge sampeyan atur) sing gegandhengan karo aplikasi sampeyan. Wizard persiyapan bakal nuduhake panggonan sampeyan bisa nemokake iki ing IdP:

Konfigurasi Manual
Kaya jenenge, Manual Configuration mbutuhake gaweyan luwih akeh. Gumantung IdP sampeyan, sampeyan kudu ngetik SSO URL lan issuer IdP sing cocog, bebarengan karo sertifikat x.509:

Login sing Diwiwiti IdP
Yen sampeyan pengin pangguna bisa ngeklik tile ing dashboard lan otomatis diautentikasi, sampeyan bisa ngatur autentikasi sing diwiwiti IdP menyang aplikasi sampeyan minangka bagean saka proses persiyapan. Sanajan proses pasé beda-beda gumantung IdP, proses umum bakal nggunakake URL sing diwenehake kanthi wangun:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Minangka conto, Okta bakal nuntun sampeyan nggawe Bookmark Application anyar nganggo URL iki:

Dene Entra ID ngidini sampeyan ngetik "Sign on URL" sing diwenehake menyang formulir sing cocog:

Penting: Yen sampeyan milih ngreset sambungan SSO sing sehat, nilai URL iki bakal owah.
Tegese, nalika sampeyan ngatur sambungan anyar, sampeyan uga kudu nganyari Sign on URL sing cocog, yen ora pangguna ora bakal bisa autentikasi liwat tile.
Ngrampungake Persiyapan
Sawise sampeyan ngatur metadata IdP, sampeyan bisa ngeklik "Continue" kanggo nerusake nyiyapake aplikasi bookmark opsional. Langkah konfigurasi wajib pungkasan bakal ana ing kaca "Test Single Sign-On":

Sawise ngeklik "Continue to sign-in," wizard bakal nyoba nguji sambungan anyar sampeyan. Yen kabeh kasil, tegesé sampeyan wis kasil ngaktifake SSO. Saiki sampeyan kudu bisa ndeleng iki katon ing kaca konfigurasi sampeyan:


Pangguna ing grup IdP sampeyan sing duwe akun utawa undhangan sing cocog saiki kudu bisa login nganggo SSO:
Dheweke bisa mbukak chatgpt.com utawa platform.openai.com, ngetik email, banjur autentikasi sawise kita nerusake menyang IdP
Dheweke bisa nggunakake Bookmark Tile URL sing (opsional) sampeyan atur nalika persiyapan
Yen sampeyan nemokake pangguna sampeyan ora bisa autentikasi kanthi sukses, lan sampeyan kesulitan mbalekake owah-owahan, mangga langsung hubungi Support kanggo pitulungan.
Elinga yen ngaktifake SSO ing API Platform nerapake verifikasi domain kanggo kabeh pangguna kanthi domain kasebut. Tegese, sanajan pangguna kasebut dudu bagean saka organisasi Enterprise sampeyan, dheweke tetep kudu dadi bagean saka grup IdP supaya bisa ngakses organisasi pribadi.
Ngatasi Masalah Login
Yen sawise ngaktifake SSO sampeyan nemoni masalah nalika mlebu, sampeyan bisa mriksa kaca FAQ lan Ngatasi Masalah kanggo pitulungan ngenali kesalahan umum. Yen sampeyan ora nemokake jawaban sing cukup ing kana, aja sungkan kanggo ngubungi Support.
