OpenAI
Šis puslapis buvo išverstas mašininiu būdu. Peržiūrėti originalų straipsnį anglų kalba.

SSO konfigūravimas

Šiame dokumente aprašoma, kaip konfigūruoti SSO ChatGPT ir API Platform

Atnaujinta: 11 days ago

Būtinos sąlygos

Norėdami nustatyti SSO, turite:

  1. Turėti OpenAI planą su pasauline administravimo konsole

  2. Būti pasauliniu administratoriumi

Prieš tęsdami, peržiūrėkite mūsų SSO apžvalgos ir naudotojų valdymo dokumentacijos puslapius, kad įsitikintumėte, jog esate susipažinę su mūsų SSO architektūra.

Jei anksčiau konfigūravote SSO API Platform organizacijai arba ChatGPT darbo erdvei, jūsų SSO nustatymai jau turėtų būti pasiekiami konfigūravimui OpenAI Identity puslapyje. Jei darbo erdvė arba organizacija, kuriai norite įjungti SSO, nėra rodoma jūsų pasaulinėje administravimo konsolėje, susisiekite adresu support@openai.com.

⚠️ Jei SSO bus nustatytas neteisingai, jūsų naudotojai neteks prieigos!

Dėl neteisingo nustatymo jūsų naudotojai gali nebegauti prieigos prie organizacijų ir darbo erdvių, kuriose SSO nustatytas kaip privalomas. Rekomenduojame jums, kaip pasauliniam administratoriui, administratoriaus portale palikti SSO kaip pasirinktinį.

Nustatymo metu laikykite atidarytus du atskirus prisijungusius langus:

  1. Vieną prisijungus per inkognito langą

  2. Vieną prisijungus per įprastą naršyklę

Taip galėsite viename lange išbandyti prisijungimo procesą ir savo SSO / domeno patvirtinimo nustatymą, o prireikus antrame lange atšaukti pakeitimus.

SSO testavimas

Jei norite išbandyti nustatymo procesą nerizikuodami paveikti savo naudotojų, tai galite padaryti per programą čia.

Sėkmingai užbaigus jungtį šioje testinėje programoje, ji nebus susieta su jūsų gamybine organizacija ir jungtis nebus išsaugota (todėl, kai būsite pasirengę, galėsite pakartotinai naudoti tuos pačius parametrus savo gamybinėje aplinkoje). Tai reiškia, kad ją saugu naudoti kaip smėliadėžę ar bandomąją aplinką, kol susipažinsite su reikalavimais ir išspręsite visas trūkstamas būtinas sąlygas.

SSO įjungimas

Norėdami pradėti, iš pasaulinės administravimo konsolės eikite į OpenAI Identity puslapį. Šį puslapį taip pat galite pasiekti naudodami nuorodą puslapyje „Identity & Provisioning“, esančią po „Manage Workspace“ nustatymais ChatGPT, arba skirtuke Identity savo API Platform organizacijos nustatymuose.

Kai kuriuose toliau pateiktuose pavyzdžiuose bus rodoma sąranka Okta aplinkoje, tačiau ta pati logika turėtų būti taikoma visiems SAML IdP.

Domeno patvirtinimas

Norint įjungti SSO, pirmiausia reikia patvirtinti bent vieną domeną.

Svarbu: būtinai peržiūrėkite poveikį paskesniuose etapuose, kurį domeno patvirtinimas gali turėti naudotojams su tuo domenu.

Spustelėkite mygtuką „+ Add Domain“ ir įveskite savo DNS, kad pradėtumėte:

Verify a new domain dialog with example.com entered and Submit available

Pateikus duomenis, pateikiame raktą, kad galėtumėte patvirtinti savo domeno nuosavybę. Eikite į savo DNS teikėją ir pridėkite TXT įrašą su pateikta reikšme:

Image

Jūsų TXT įrašas turi būti pasiekiamas per DNS užklausą, kad patvirtinimo patikra būtų sėkminga.

Tai atlikę pas savo DNS teikėją, grįžkite į nustatymo puslapį ir spustelėkite mygtuką „Check“. Jei jūsų domeno nuosavybė buvo sėkmingai patvirtinta, matysite būseną „Verified“.

Domain management page with company.abc listed as Verified

Viename administratoriaus portale galite pridėti iki 99 patvirtintų domenų, o patvirtinimo patikrai užbaigti suteikiame 7 dienų laikotarpį, po kurio domenas pažymimas kaip nebegaliojantis. Domenai gali būti patvirtinti tik viename administratoriaus portale. Jei tą patį domeną reikia patvirtinti organizacijoje ar darbo erdvėje, kurios nėra jūsų administratoriaus portale, susisiekite su pagalba.

Programos konfigūravimas

Sėkmingai patvirtinę domeną, galite tęsti SSO nustatymą konfigūruodami savo IdP programą.

Norėdami pradėti, spustelėkite mygtuką „Set up SSO“:

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Tapatybės teikėjo pasirinkimas

Galite pasirinkti iš populiariausių IdP, kurie natūraliai palaiko SAML integracijas, sąrašo. Jei sąraše nematote savo IdP arba norite naudoti OIDC jungtį, galite pasirinkti atitinkamą Custom connection mygtuką, rodomą apačioje:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Programos kūrimas / prijungimas

Dabar galite vadovautis nuosekliu konfigūravimo vedliu, kuris padės sukurti ir prijungti jūsų IdP programą prie mūsų. Priklausomai nuo naudojamo IdP, instrukcijos gali šiek tiek skirtis, tačiau bendras nustatymas išlieka toks pats:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Atkreipkite dėmesį, kad kūrimo veiksme pateikti URL bus unikalūs jūsų organizacijai:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Svarbu: jei pasirinksite iš naujo nustatyti veikiančią SSO jungtį, šios URL reikšmės pasikeis. Nustatydami SSO iš naujo, turėsite būtinai atitinkamai jas atnaujinti savo programoje.

Baigę URL nustatymą, galite pereiti prie atributų susiejimo apibrėžimo naudotojams, autentifikuotiems per jūsų programą.

Atributų susiejimas

Atributų susiejimas, kurį apibrėžiate savo SSO programoje, galiausiai lemia, kurios OpenAI paskyros bus autentifikuojamos ir kaip jūsų naudotojai bus rodomi OpenAI produktuose. Mūsų dabartinis naudotojo modelis palaiko tris savybes:

  1. El. pašto adresas (privalomas SAML atsake, nustato, kuri paskyra pasiekiama)

  2. Vardas (pasirinktinai, bet rekomenduojama)

  3. Pavardė (pasirinktinai, bet rekomenduojama)

Pastaba: mes nepalaikome SAML atsakų iššifravimo. Įsitikinkite, kad nešifruojate savo atsako ar tvirtinimo, kad galėtume teisingai atpažinti atributus.

Priklausomai nuo jūsų IdP, tikslus atributų susiejimas skirsis. Rekomenduojame laikytis tikslaus susiejimo, parodyto jūsų IdP nustatymo vedlyje, pvz., Okta atveju jis būtų toks:

Image

Jei matote, kad naujų naudotojų el. pašto adresų lauke nurodomas jų rodomas vardas, peržiūrėkite atributų susiejimą ir įsitikinkite, kad nešifruojate savo atsakų.

Kitu atveju, jei naujų naudotojų prašoma įvesti vardą ir gimimo datą, tai greičiausiai reiškia, kad iš jūsų atributų atsako neatpažįstame tinkamos vardo reikšmės.

El. pašto adreso pakeitimai

Kartais naudotojo el. pašto adresas jūsų IdP gali būti atnaujintas, pvz.

  • teisinis pavardės pakeitimas po santuokos

  • jų įmonė buvo įsigyta ir jie turi naują domeną

  • ir t. t.

Jei dėl to pasikeičia emailaddress teiginio reikšmė SSO SAMLResponse, po sėkmingo SSO bus pasiekta kita OpenAI naudotojo paskyra, susieta su nauju el. pašto adresu (ir sukurta, jei anksčiau neegzistavo). Šį naudotoją reikės atskirai pakviesti į organizaciją arba darbo erdvę, atskirai nuo pradinio naudotojo.

Pirminiai el. pašto adresai

Kai kuriais atvejais galite turėti naudotojų, turinčių kelis skirtingus el. pašto adresus. Tai dažnas scenarijus didesnėse įmonėse, turinčiose paskirstytas pašto sistemas, arba švietimo klientams su skirtingomis mokyklomis, pvz.

Tokiu atveju rekomenduojame užtikrinti, kad jūsų SAML atsake jo atributuose būtų tik vienas el. pašto adresas, nes įtraukus kelis el. pašto adresus gali kilti painiava, kai bandome jį susieti su nauju ar esamu naudotoju.

Be to, jei naudotojai turi nekintantį el. pašto adresą (pvz., UPN), rekomenduojame tai naudoti atributų susiejime, kad jie turėtų stabilią OpenAI naudotojo paskyrą, kuriai neturėtų įtakos kitų jų el. pašto adresų pakeitimai.

Suteikite prieigą prie IdP programos

Sėkmingai sukūrę atributų susiejimą, vedlys padės atlikti veiksmus, reikalingus prieigai suteikti atitinkamiems naudotojams per pageidaujamas grupes.

Peržiūrėkite mūsų rekomendacijas dėl naudotojų valdymo, kad laikytumėtės geriausios praktikos.

IdP metaduomenų nustatymas

Šiame nustatymo etape turite dvi atskiras parinktis savo IdP metaduomenims apibrėžti: Dynamic Configuration ir Manual Configuration.

Dinaminė konfigūracija

Tai yra rekomenduojama ir paprasčiausia parinktis. Naudojant Dynamic Configuration, jums tereikia pateikti su jūsų programa susietą Metadata URL (dabar užpildytą pagal anksčiau sukonfigūruotus SSO URL ir Entity ID). Nustatymo vedlys parodys, kur tai rasti jūsų IdP:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Rankinė konfigūracija

Kaip rodo pavadinimas, Manual Configuration reikalauja šiek tiek daugiau darbo. Priklausomai nuo jūsų IdP, turėsite įvesti atitinkamą SSO URL ir IdP leidėją, kartu su x.509 sertifikatu:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

IdP inicijuotas prisijungimas

Jei norite, kad jūsų naudotojai galėtų spustelėti plytelę savo valdymo skydelyje ir būtų automatiškai autentifikuojami, nustatymo proceso metu galite sukonfigūruoti jūsų programai skirtą IdP inicijuojamą autentifikavimą. Nors tikslus procesas priklausys nuo jūsų IdP, bendrame procese bus naudojamas pateiktas tokio formato URL:

Pavyzdžiui, Okta padės jums sukurti naują žymelės programą su šiuo URL:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Tuo tarpu Entra ID leis įvesti pateiktą „Sign on URL“ į atitinkamą formą:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Svarbu: jei pasirinksite iš naujo nustatyti veikiančią SSO jungtį, šios URL reikšmės pasikeis.

Tai reiškia, kad konfigūruodami naują jungtį taip pat turėsite atitinkamai atnaujinti savo prisijungimo URL, kitaip naudotojai negalės autentifikuotis per savo plyteles.

Nustatymo užbaigimas

Sukonfigūravę savo IdP metaduomenis, galite spustelėti „Continue“ ir tęsti pasirenkamų žymelių programų nustatymą. Paskutinis privalomas konfigūravimo žingsnis bus puslapyje „Test Single Sign-On“:

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Paspaudus „Continue to sign-in“, vedlys bandys išbandyti jūsų naują jungtį. Jei viskas bus sėkminga, būsite faktiškai įjungę SSO. Dabar tai turėtumėte matyti savo konfigūracijos puslapyje:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Jūsų IdP grupės naudotojai, turintys atitinkamas paskyras arba kvietimus, dabar turėtų galėti prisijungti naudodami SSO:

  • Jie gali eiti į chatgpt.com arba platform.openai.com, įvesti savo el. pašto adresą, o tada autentifikuotis po to, kai juos nukreipsime į jų IdP

  • Jie gali naudoti žymelės plytelės URL, kurį jūs (pasirinktinai) sukonfigūravote nustatymo metu

Jei pastebite, kad jūsų naudotojai negali sėkmingai autentifikuotis ir jums kyla sunkumų atšaukiant pakeitimus, nedelsdami kreipkitės į pagalbą.

Atminkite, kad įjungus SSO API Platform, domeno patvirtinimas taikomas visiems naudotojams su tuo domenu. Tai reiškia, kad net jei naudotojai nepriklauso jūsų Enterprise organizacijai, jie vis tiek turės būti jūsų IdP grupės dalis, kad galėtų pasiekti savo asmenines organizacijas.

Prisijungimo trikčių šalinimas

Jei įjungę SSO susiduriate su prisijungimo problemomis, galite peržiūrėti mūsų DUK ir trikčių šalinimo puslapį, kuriame rasite pagalbos nustatant dažniausias klaidas. Jei ten nerasite pakankamo atsakymo, nedvejodami susisiekite su pagalba.

Ar šis straipsnis buvo naudingas?