Būtinos sąlygos
Norėdami nustatyti SSO, turite:
Turėti OpenAI planą su pasauline administravimo konsole
Būti pasauliniu administratoriumi
Prieš tęsdami, peržiūrėkite mūsų SSO apžvalgos ir naudotojų valdymo dokumentacijos puslapius, kad įsitikintumėte, jog esate susipažinę su mūsų SSO architektūra.
Jei anksčiau konfigūravote SSO API Platform organizacijai arba ChatGPT darbo erdvei, jūsų SSO nustatymai jau turėtų būti pasiekiami konfigūravimui OpenAI Identity puslapyje. Jei darbo erdvė arba organizacija, kuriai norite įjungti SSO, nėra rodoma jūsų pasaulinėje administravimo konsolėje, susisiekite adresu support@openai.com.
⚠️ Jei SSO bus nustatytas neteisingai, jūsų naudotojai neteks prieigos!
Dėl neteisingo nustatymo jūsų naudotojai gali nebegauti prieigos prie organizacijų ir darbo erdvių, kuriose SSO nustatytas kaip privalomas. Rekomenduojame jums, kaip pasauliniam administratoriui, administratoriaus portale palikti SSO kaip pasirinktinį.
Nustatymo metu laikykite atidarytus du atskirus prisijungusius langus:
Vieną prisijungus per inkognito langą
Vieną prisijungus per įprastą naršyklę
Taip galėsite viename lange išbandyti prisijungimo procesą ir savo SSO / domeno patvirtinimo nustatymą, o prireikus antrame lange atšaukti pakeitimus.
SSO testavimas
Jei norite išbandyti nustatymo procesą nerizikuodami paveikti savo naudotojų, tai galite padaryti per programą čia.
Sėkmingai užbaigus jungtį šioje testinėje programoje, ji nebus susieta su jūsų gamybine organizacija ir jungtis nebus išsaugota (todėl, kai būsite pasirengę, galėsite pakartotinai naudoti tuos pačius parametrus savo gamybinėje aplinkoje). Tai reiškia, kad ją saugu naudoti kaip smėliadėžę ar bandomąją aplinką, kol susipažinsite su reikalavimais ir išspręsite visas trūkstamas būtinas sąlygas.
SSO įjungimas
Norėdami pradėti, iš pasaulinės administravimo konsolės eikite į OpenAI Identity puslapį. Šį puslapį taip pat galite pasiekti naudodami nuorodą puslapyje „Identity & Provisioning“, esančią po „Manage Workspace“ nustatymais ChatGPT, arba skirtuke Identity savo API Platform organizacijos nustatymuose.
Kai kuriuose toliau pateiktuose pavyzdžiuose bus rodoma sąranka Okta aplinkoje, tačiau ta pati logika turėtų būti taikoma visiems SAML IdP.
Domeno patvirtinimas
Norint įjungti SSO, pirmiausia reikia patvirtinti bent vieną domeną.
Svarbu: būtinai peržiūrėkite poveikį paskesniuose etapuose, kurį domeno patvirtinimas gali turėti naudotojams su tuo domenu.
Spustelėkite mygtuką „+ Add Domain“ ir įveskite savo DNS, kad pradėtumėte:

Pateikus duomenis, pateikiame raktą, kad galėtumėte patvirtinti savo domeno nuosavybę. Eikite į savo DNS teikėją ir pridėkite TXT įrašą su pateikta reikšme:

Jūsų TXT įrašas turi būti pasiekiamas per DNS užklausą, kad patvirtinimo patikra būtų sėkminga.
Tai atlikę pas savo DNS teikėją, grįžkite į nustatymo puslapį ir spustelėkite mygtuką „Check“. Jei jūsų domeno nuosavybė buvo sėkmingai patvirtinta, matysite būseną „Verified“.

Viename administratoriaus portale galite pridėti iki 99 patvirtintų domenų, o patvirtinimo patikrai užbaigti suteikiame 7 dienų laikotarpį, po kurio domenas pažymimas kaip nebegaliojantis. Domenai gali būti patvirtinti tik viename administratoriaus portale. Jei tą patį domeną reikia patvirtinti organizacijoje ar darbo erdvėje, kurios nėra jūsų administratoriaus portale, susisiekite su pagalba.
Programos konfigūravimas
Sėkmingai patvirtinę domeną, galite tęsti SSO nustatymą konfigūruodami savo IdP programą.
Norėdami pradėti, spustelėkite mygtuką „Set up SSO“:

Tapatybės teikėjo pasirinkimas
Galite pasirinkti iš populiariausių IdP, kurie natūraliai palaiko SAML integracijas, sąrašo. Jei sąraše nematote savo IdP arba norite naudoti OIDC jungtį, galite pasirinkti atitinkamą Custom connection mygtuką, rodomą apačioje:

Programos kūrimas / prijungimas
Dabar galite vadovautis nuosekliu konfigūravimo vedliu, kuris padės sukurti ir prijungti jūsų IdP programą prie mūsų. Priklausomai nuo naudojamo IdP, instrukcijos gali šiek tiek skirtis, tačiau bendras nustatymas išlieka toks pats:

Atkreipkite dėmesį, kad kūrimo veiksme pateikti URL bus unikalūs jūsų organizacijai:

Svarbu: jei pasirinksite iš naujo nustatyti veikiančią SSO jungtį, šios URL reikšmės pasikeis. Nustatydami SSO iš naujo, turėsite būtinai atitinkamai jas atnaujinti savo programoje.
Baigę URL nustatymą, galite pereiti prie atributų susiejimo apibrėžimo naudotojams, autentifikuotiems per jūsų programą.
Atributų susiejimas
Atributų susiejimas, kurį apibrėžiate savo SSO programoje, galiausiai lemia, kurios OpenAI paskyros bus autentifikuojamos ir kaip jūsų naudotojai bus rodomi OpenAI produktuose. Mūsų dabartinis naudotojo modelis palaiko tris savybes:
El. pašto adresas (privalomas SAML atsake, nustato, kuri paskyra pasiekiama)
Vardas (pasirinktinai, bet rekomenduojama)
Pavardė (pasirinktinai, bet rekomenduojama)
Pastaba: mes nepalaikome SAML atsakų iššifravimo. Įsitikinkite, kad nešifruojate savo atsako ar tvirtinimo, kad galėtume teisingai atpažinti atributus.
Priklausomai nuo jūsų IdP, tikslus atributų susiejimas skirsis. Rekomenduojame laikytis tikslaus susiejimo, parodyto jūsų IdP nustatymo vedlyje, pvz., Okta atveju jis būtų toks:

Jei matote, kad naujų naudotojų el. pašto adresų lauke nurodomas jų rodomas vardas, peržiūrėkite atributų susiejimą ir įsitikinkite, kad nešifruojate savo atsakų.
Kitu atveju, jei naujų naudotojų prašoma įvesti vardą ir gimimo datą, tai greičiausiai reiškia, kad iš jūsų atributų atsako neatpažįstame tinkamos vardo reikšmės.
El. pašto adreso pakeitimai
Kartais naudotojo el. pašto adresas jūsų IdP gali būti atnaujintas, pvz.
teisinis pavardės pakeitimas po santuokos
jų įmonė buvo įsigyta ir jie turi naują domeną
ir t. t.
Jei dėl to pasikeičia emailaddress teiginio reikšmė SSO SAMLResponse, po sėkmingo SSO bus pasiekta kita OpenAI naudotojo paskyra, susieta su nauju el. pašto adresu (ir sukurta, jei anksčiau neegzistavo). Šį naudotoją reikės atskirai pakviesti į organizaciją arba darbo erdvę, atskirai nuo pradinio naudotojo.
Pirminiai el. pašto adresai
Kai kuriais atvejais galite turėti naudotojų, turinčių kelis skirtingus el. pašto adresus. Tai dažnas scenarijus didesnėse įmonėse, turinčiose paskirstytas pašto sistemas, arba švietimo klientams su skirtingomis mokyklomis, pvz.
Tokiu atveju rekomenduojame užtikrinti, kad jūsų SAML atsake jo atributuose būtų tik vienas el. pašto adresas, nes įtraukus kelis el. pašto adresus gali kilti painiava, kai bandome jį susieti su nauju ar esamu naudotoju.
Be to, jei naudotojai turi nekintantį el. pašto adresą (pvz., UPN), rekomenduojame tai naudoti atributų susiejime, kad jie turėtų stabilią OpenAI naudotojo paskyrą, kuriai neturėtų įtakos kitų jų el. pašto adresų pakeitimai.
Suteikite prieigą prie IdP programos
Sėkmingai sukūrę atributų susiejimą, vedlys padės atlikti veiksmus, reikalingus prieigai suteikti atitinkamiems naudotojams per pageidaujamas grupes.
Peržiūrėkite mūsų rekomendacijas dėl naudotojų valdymo, kad laikytumėtės geriausios praktikos.
IdP metaduomenų nustatymas
Šiame nustatymo etape turite dvi atskiras parinktis savo IdP metaduomenims apibrėžti: Dynamic Configuration ir Manual Configuration.
Dinaminė konfigūracija
Tai yra rekomenduojama ir paprasčiausia parinktis. Naudojant Dynamic Configuration, jums tereikia pateikti su jūsų programa susietą Metadata URL (dabar užpildytą pagal anksčiau sukonfigūruotus SSO URL ir Entity ID). Nustatymo vedlys parodys, kur tai rasti jūsų IdP:

Rankinė konfigūracija
Kaip rodo pavadinimas, Manual Configuration reikalauja šiek tiek daugiau darbo. Priklausomai nuo jūsų IdP, turėsite įvesti atitinkamą SSO URL ir IdP leidėją, kartu su x.509 sertifikatu:

IdP inicijuotas prisijungimas
Jei norite, kad jūsų naudotojai galėtų spustelėti plytelę savo valdymo skydelyje ir būtų automatiškai autentifikuojami, nustatymo proceso metu galite sukonfigūruoti jūsų programai skirtą IdP inicijuojamą autentifikavimą. Nors tikslus procesas priklausys nuo jūsų IdP, bendrame procese bus naudojamas pateiktas tokio formato URL:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Pavyzdžiui, Okta padės jums sukurti naują žymelės programą su šiuo URL:

Tuo tarpu Entra ID leis įvesti pateiktą „Sign on URL“ į atitinkamą formą:

Svarbu: jei pasirinksite iš naujo nustatyti veikiančią SSO jungtį, šios URL reikšmės pasikeis.
Tai reiškia, kad konfigūruodami naują jungtį taip pat turėsite atitinkamai atnaujinti savo prisijungimo URL, kitaip naudotojai negalės autentifikuotis per savo plyteles.
Nustatymo užbaigimas
Sukonfigūravę savo IdP metaduomenis, galite spustelėti „Continue“ ir tęsti pasirenkamų žymelių programų nustatymą. Paskutinis privalomas konfigūravimo žingsnis bus puslapyje „Test Single Sign-On“:

Paspaudus „Continue to sign-in“, vedlys bandys išbandyti jūsų naują jungtį. Jei viskas bus sėkminga, būsite faktiškai įjungę SSO. Dabar tai turėtumėte matyti savo konfigūracijos puslapyje:


Jūsų IdP grupės naudotojai, turintys atitinkamas paskyras arba kvietimus, dabar turėtų galėti prisijungti naudodami SSO:
Jie gali eiti į chatgpt.com arba platform.openai.com, įvesti savo el. pašto adresą, o tada autentifikuotis po to, kai juos nukreipsime į jų IdP
Jie gali naudoti žymelės plytelės URL, kurį jūs (pasirinktinai) sukonfigūravote nustatymo metu
Jei pastebite, kad jūsų naudotojai negali sėkmingai autentifikuotis ir jums kyla sunkumų atšaukiant pakeitimus, nedelsdami kreipkitės į pagalbą.
Atminkite, kad įjungus SSO API Platform, domeno patvirtinimas taikomas visiems naudotojams su tuo domenu. Tai reiškia, kad net jei naudotojai nepriklauso jūsų Enterprise organizacijai, jie vis tiek turės būti jūsų IdP grupės dalis, kad galėtų pasiekti savo asmenines organizacijas.
Prisijungimo trikčių šalinimas
Jei įjungę SSO susiduriate su prisijungimo problemomis, galite peržiūrėti mūsų DUK ir trikčių šalinimo puslapį, kuriame rasite pagalbos nustatant dažniausias klaidas. Jei ten nerasite pakankamo atsakymo, nedvejodami susisiekite su pagalba.
