Forutsetninger
For å sette opp SSO må du:
Ha et OpenAI-abonnement med en global administratorkonsoll
Være global administrator
Før du fortsetter, bør du lese dokumentasjonssidene våre for oversikt over SSO og brukeradministrasjon for å sikre at du er kjent med SSO-arkitekturen vår.
Hvis du tidligere har konfigurert SSO for en API Platform-organisasjon eller et ChatGPT-arbeidsområde, bør SSO-innstillingene dine allerede være tilgjengelige for konfigurering på siden OpenAI Identity. Hvis arbeidsområdet eller organisasjonen du vil aktivere SSO for, ikke vises i den globale administratorkonsollen, kan du kontakte support@openai.com.
⚠️ Brukerne dine blir låst ute hvis SSO ikke er satt opp riktig!
Et feilaktig oppsett kan føre til at brukerne dine blir låst ute fra organisasjoner og arbeidsområder der SSO er satt som obligatorisk. Vi anbefaler at du, som global administrator, beholder SSO som valgfritt i administratorportalen.
Hold to separate innloggede vinduer åpne under oppsettet:
Ett innlogget via et inkognitovindu
Ett innlogget via standardnettleseren din
Dette lar deg teste innloggingsprosessen og SSO-/domeneverifiseringsoppsettet i ett vindu, og tilbakestille endringene ved behov via det andre vinduet.
Teste SSO
Hvis du vil teste oppsettsprosessen uten å risikere å påvirke brukerne dine, kan du gjøre det via applikasjonen her.
Hvis du fullfører en tilkobling i denne testapplikasjonen, knyttes den ikke til produksjonsorganisasjonen din, og tilkoblingen blir heller ikke lagret (så du kan bruke de samme parameterne i produksjonsinstansen din når du er klar). Dette betyr at den er trygg å bruke som en sandkasse eller lekeplass mens du gjør deg kjent med kravene og finner ut hvilke forutsetninger som eventuelt mangler.
Aktivere SSO
For å komme i gang går du til siden OpenAI Identity fra den globale administratorkonsollen. Du kan også komme til den siden via lenken på siden «Identity & Provisioning» under innstillingene for «Manage Workspace» i ChatGPT eller fanen Identity i organisasjonsinnstillingene for API Platform.
Noen av eksemplene nedenfor viser oppsett i Okta, men den samme logikken skal kunne brukes på alle SAML-IdP-er.
Domeneverifisering
For å kunne aktivere SSO må du først verifisere minst ett domene.
Viktig: Husk å se gjennom påvirkningen nedstrøms som domeneverifisering kan ha på brukere med dette domenet.
Klikk på knappen «+ Add Domain» og skriv inn DNS-en din for å komme i gang:
Når dette er sendt inn, får du en nøkkel for å bekrefte eierskapet til domenet ditt. Gå til DNS-leverandøren din og legg til en TXT-post med den oppgitte verdien:
TXT-posten din må kunne nås via et DNS-oppslag for at verifiseringskontrollen skal lykkes.
Etter at du har fullført dette hos DNS-leverandøren din, går du tilbake til oppsettsiden og klikker på knappen «Check». Hvis domeneeierskapet ditt ble validert, vil du se at statusen oppdateres til «Verified.»
Du kan legge til opptil 99 verifiserte domener per administratorportal, og du har 7 dager på å fullføre verifiseringskontrollen før et domene markeres som utløpt. Domener kan bare verifiseres i én administratorportal. Hvis du må verifisere det samme domenet i en organisasjon eller et arbeidsområde som ikke er i administratorportalen din, kan du kontakte brukerstøtte.
Konfigurere applikasjonen din
Etter at du har verifisert domenet ditt, kan du fortsette med SSO-oppsettet ved å konfigurere IdP-applikasjonen din.
For å komme i gang klikker du på knappen «Set up SSO»:
Velge identitetsleverandør
Du kan velge fra en liste over de mest populære IdP-ene som har innebygd støtte for SAML-integrasjoner. Hvis du ikke ser IdP-en din i listen, eller hvis du vil bruke en OIDC-tilkobling, kan du velge riktig knapp for egendefinert tilkobling nederst:
Opprette/koble til applikasjonen
Du kan nå følge den trinnvise konfigurasjonsveiviseren som hjelper deg med å opprette og koble IdP-applikasjonen din til oss. Avhengig av hvilken IdP du bruker, kan instruksjonene variere litt, men det generelle oppsettet er det samme:
Merk at nettadressene som oppgis i opprettelsestrinnet, vil være unike for organisasjonen din:
Viktig: Hvis du velger å tilbakestille en velfungerende SSO-tilkobling, vil disse URL-verdiene endres. Når du setter opp SSO på nytt, må du sørge for å oppdatere dem i applikasjonen din.
Når du har fullført URL-oppsettet, kan du gå videre til å definere attributtkartleggingen for brukere som autentiseres via applikasjonen din.
Attributtkartlegging
Attributtkartleggingen du definerer i SSO-applikasjonen din, avgjør til syvende og sist hvilke OpenAI-kontoer som autentiseres, og hvordan brukerne dine vises i OpenAI-produkter. Den nåværende brukermodellen vår støtter tre egenskaper:
E-postadresse (obligatorisk i SAML-svaret, avgjør hvilken konto som åpnes)
Fornavn (valgfritt, men anbefalt)
Etternavn (valgfritt, men anbefalt)
Merk: Vi støtter ikke dekryptering av SAML-svar. Sørg for at du ikke krypterer svaret eller påstanden, slik at vi kan identifisere attributtene korrekt.
Avhengig av IdP-en din vil den nøyaktige attributtkartleggingen variere. Vi anbefaler at du følger nøyaktig den kartleggingen som vises for IdP-en din i oppsettsveiviseren. For eksempel vil Okta være:
Hvis du ser at nye brukere kommer inn med e-postadressene sine satt som visningsnavn, bør du se gjennom attributtkartleggingen og bekrefte at du ikke krypterer svarene dine.
Alternativt, hvis nye brukere blir bedt om å oppgi navn og fødselsdato, indikerer dette sannsynligvis at vi ikke identifiserer en riktig navneverdi fra attributtsvaret ditt.
Endringer i e-postadresse
Noen ganger kan en brukers e-postadresse bli oppdatert i IdP-en din, for eksempel
en juridisk navneendring etter ekteskap
at selskapet deres ble kjøpt opp og de har fått et nytt domene
osv.
Hvis dette endrer verdien for emailaddress-kravet i SSO SAMLResponse, vil en annen OpenAI-bruker knyttet til den nye e-postadressen bli brukt (og opprettet hvis den ikke finnes fra før) ved vellykket SSO. Denne brukeren må inviteres til organisasjonen eller arbeidsområdet separat fra den opprinnelige brukeren.
Primære e-postadresser
I noen tilfeller kan du ha brukere med flere forskjellige e-postadresser. Dette er et vanlig scenario i større selskaper som har distribuerte e-postsystemer, eller for utdanningskunder med ulike skoler, for eksempel
I denne situasjonen anbefaler vi at du sørger for at SAML-svaret bare inneholder én e-postadresse i attributtene, siden flere e-postadresser kan skape forvirring når vi prøver å knytte det til en ny eller eksisterende bruker.
Hvis brukerne i tillegg har en statisk e-postadresse (f.eks. en UPN), anbefaler vi å bruke denne i attributtkartleggingen for å sikre at de får en stabil OpenAI-brukerkonto som ikke påvirkes når de andre e-postadressene deres endres.
Klargjøre tilgang til IdP-applikasjonen
Når du har opprettet attributtkartleggingen, vil veiviseren gå gjennom trinnene for å klargjøre tilgang for de riktige brukerne via de ønskede gruppene.
Les anbefalingene våre om brukeradministrasjon for beste praksis.
Angi IdP-metadata
På dette punktet i oppsettet har du to separate alternativer for å definere metadataene til IdP-en din: dynamisk konfigurasjon og manuell konfigurasjon.
Dynamisk konfigurasjon
Dette er det anbefalte og mest enkle alternativet. Med dynamisk konfigurasjon trenger du bare å oppgi metadata-URL-en (som nå er fylt ut av SSO-URL-en og enhets-ID-en du konfigurerte tidligere) som er knyttet til applikasjonen din. Oppsettsveiviseren viser deg hvor du finner dette i IdP-en din:
Manuell konfigurasjon
Som navnet tilsier, krever manuell konfigurasjon litt mer arbeid. Avhengig av IdP-en din må du oppgi tilsvarende SSO-URL og IdP-utsteder, sammen med et x.509-sertifikat:
IdP-initiert innlogging
Hvis du vil at brukerne dine skal kunne klikke på en flis på dashbordet sitt og bli automatisk autentisert, kan du konfigurere IdP-initiert autentisering til applikasjonen din som en del av oppsettsprosessen. Den nøyaktige prosessen vil variere avhengig av IdP-en din, men den generelle prosessen bruker en oppgitt URL på formen:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
For eksempel vil Okta veilede deg gjennom å opprette en ny bokmerkeapplikasjon med denne URL-en:
Mens Entra ID lar deg skrive inn den oppgitte «Sign on URL»-en i riktig skjema:
Viktig: Hvis du velger å tilbakestille en velfungerende SSO-tilkobling, vil disse URL-verdiene endres.
Dette betyr at når du konfigurerer den nye tilkoblingen, må du også oppdatere påloggings-URL-en tilsvarende. Ellers vil brukere ikke kunne autentisere seg via flisene sine.
Fullføre oppsettet
Når du har konfigurert metadataene for IdP-en din, kan du klikke på «Continue» for å gå videre med å sette opp eventuelle valgfrie bokmerkeapper. Det siste obligatoriske konfigurasjonstrinnet blir på siden «Test Single Sign-On»:
Etter at du har klikket på «Continue to sign-in», vil veiviseren forsøke å teste den nye tilkoblingen din. Hvis alt lykkes, har du effektivt aktivert SSO. Du skal nå se dette på konfigurasjonssiden din:
Brukere i IdP-gruppen din med tilsvarende kontoer eller invitasjoner skal nå kunne logge inn med SSO:
De kan gå til chatgpt.com eller platform.openai.com, oppgi e-postadressen sin og deretter autentisere seg etter at vi videresender dem til IdP-en deres
De kan bruke nettadresseflisen for bokmerke som du (valgfritt) konfigurerte under oppsettet
Hvis du oppdager at brukerne dine ikke kan autentisere seg, og du får problemer med å tilbakestille endringene, kan du kontakte brukerstøtte umiddelbart.
Husk at aktivering av SSO på API Platform gjør at domeneverifiseringen gjelder for alle brukere med dette domenet. Dette betyr at selv om brukerne ikke tilhører Enterprise-organisasjonen din, må de likevel være en del av IdP-gruppen din for å få tilgang til de personlige organisasjonene sine.
Feilsøking av innlogginger
Hvis du får problemer med å logge inn etter at du har aktivert SSO, kan du se siden vår for vanlige spørsmål og feilsøking for hjelp til å identifisere vanlige feil. Hvis du ikke finner et godt nok svar der, er du velkommen til å kontakte brukerstøtte.