OpenAI
Deze pagina is automatisch vertaald. Bekijk het oorspronkelijke Engelstalige artikel.

SSO configureren

Dit document beschrijft hoe u SSO configureert voor ChatGPT en API Platform

Bijgewerkt: 15 days ago

Vereisten

Om SSO in te stellen, moet u:

  1. Een OpenAI-abonnement hebben met een Global Admin Console

  2. Global Admin zijn

Bekijk voordat u verdergaat onze documentatiepagina’s SSO-overzicht en Gebruikersbeheer, zodat u vertrouwd bent met onze SSO-architectuur.

Als u eerder SSO hebt geconfigureerd voor een API Platform-organisatie of ChatGPT-werkruimte, moeten uw SSO-instellingen al beschikbaar zijn om te configureren op de pagina OpenAI Identity. Als de werkruimte of organisatie waarvoor u SSO wilt inschakelen niet wordt weergegeven in uw Global Admin Console, neem dan contact op met support@openai.com.

⚠️ Uw gebruikers worden buitengesloten als SSO niet correct is ingesteld!

Een onjuiste configuratie kan ertoe leiden dat uw gebruikers worden buitengesloten van organisaties en werkruimtes waarvoor SSO verplicht is ingesteld. We raden aan dat u als Global Admin SSO in de Admin Portal op Optioneel laat staan.

Houd tijdens de installatie twee afzonderlijke ingelogde vensters open:

  1. Eén ingelogd via een incognitovenster

  2. Eén ingelogd via uw standaardbrowser

Zo kunt u in één venster het inlogproces en uw SSO-/domeinverificatie-instelling testen en, indien nodig, de wijzigingen via het tweede venster terugdraaien.

SSO testen

Als u het installatieproces wilt testen zonder risico op impact voor uw gebruikers, kunt u dat doen via de applicatie hier.

Het voltooien van een succesvolle verbinding in deze testapplicatie wordt niet gekoppeld aan uw productie-org en slaat de verbinding ook niet op (zodat u dezelfde parameters later opnieuw kunt gebruiken in uw productieomgeving zodra u er klaar voor bent). Dit betekent dat u deze veilig kunt gebruiken als sandbox of testomgeving terwijl u vertrouwd raakt met de vereisten en eventuele ontbrekende vereisten oplost.

SSO inschakelen

Ga om te beginnen vanuit de Global Admin Console naar de pagina OpenAI Identity. U kunt die pagina ook bereiken via de link op de pagina "Identity & Provisioning" onder uw instellingen voor "Manage Workspace" in ChatGPT of via het tabblad Identity in de instellingen van uw API Platform-organisatie.

Sommige voorbeelden hieronder laten de configuratie in Okta zien, maar dezelfde logica zou van toepassing moeten zijn op alle SAML-IdP’s.

Domeinverificatie

Om SSO in te schakelen, moet u eerst ten minste één domein verifiëren.

Belangrijk: Bekijk ook de gevolgen verderop in het proces die domeinverificatie kan hebben voor gebruikers met dat domein.

Klik op de knop "+ Add Domain" en voer uw DNS in om te beginnen:

Verify a new domain dialog with example.com entered and Submit available

Nadat u dit hebt verzonden, geven we u een sleutel om het eigendom van uw domein te verifiëren. Ga naar uw DNS-provider en voeg een TXT-record toe met de opgegeven waarde:

Image

Uw TXT-record moet bereikbaar zijn via een DNS-lookup om de verificatiecontrole te laten slagen.

Nadat u dit bij uw DNS-provider hebt voltooid, keert u terug naar de instelpagina en klikt u op de knop "Check". Als het eigendom van uw domein met succes is gevalideerd, ziet u dat de status is bijgewerkt naar "Verified".

Domain management page with company.abc listed as Verified

U kunt maximaal 99 geverifieerde domeinen per Admin Portal toevoegen, en we bieden een periode van 7 dagen om de verificatiecontrole te voltooien voordat een domein als verlopen wordt gemarkeerd. Domeinen kunnen slechts op één Admin Portal worden geverifieerd. Als u hetzelfde domein moet verifiëren voor een organisatie of werkruimte die niet in uw Admin Portal staat, neem dan contact op met Support.

Uw applicatie configureren

Nadat uw domein succesvol is geverifieerd, kunt u doorgaan met de SSO-instelling door uw IdP-applicatie te configureren.

Klik om te beginnen op de knop "Set up SSO":

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Uw Identity Provider selecteren

U kunt kiezen uit een lijst met de populairste IdP’s die SAML-integraties native ondersteunen. Als uw IdP niet in de lijst staat, of als u een OIDC-verbinding wilt gebruiken, kunt u onderaan op de juiste knop voor een aangepaste verbinding klikken:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

De applicatie maken/verbinden

U kunt nu de stapsgewijze configuratiewizard volgen om uw IdP-applicatie te maken en met ons te verbinden. Afhankelijk van de IdP die u gebruikt, kunnen uw instructies enigszins verschillen, maar de algemene instelling blijft hetzelfde:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Houd er rekening mee dat de URL’s die tijdens de aanmaakstap worden verstrekt uniek zijn voor uw organisatie:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Belangrijk: Als u ervoor kiest een goed werkende SSO-verbinding te resetten, zullen deze URL-waarden veranderen. Wanneer u SSO opnieuw instelt, moet u ervoor zorgen dat u deze dienovereenkomstig in uw applicatie bijwerkt.

Nadat u de URL-instelling hebt voltooid, kunt u doorgaan met het definiëren van de attribuuttoewijzing voor gebruikers die via uw applicatie worden geauthenticeerd.

Attribuuttoewijzing

De attribuuttoewijzing die u in uw SSO-applicatie definieert, bepaalt uiteindelijk welke OpenAI-accounts worden geauthenticeerd en hoe uw gebruikers in OpenAI-producten worden weergegeven. Ons huidige gebruikersmodel ondersteunt drie eigenschappen:

  1. E-mailadres (verplicht in de SAML-respons, bepaalt welk account wordt geopend)

  2. Voornaam (optioneel, maar aanbevolen)

  3. Achternaam (optioneel, maar aanbevolen)

Opmerking: We ondersteunen het ontsleutelen van SAML-responsen niet. Zorg ervoor dat u uw respons of assertion niet versleutelt, zodat we de attributen correct kunnen identificeren.

Afhankelijk van uw IdP zal de exacte attribuuttoewijzing verschillen. We raden aan om exact de toewijzing te volgen die voor uw IdP in de installatiewizard wordt weergegeven, bijvoorbeeld voor Okta:

Image

Als u ziet dat nieuwe gebruikers binnenkomen met hun e-mailadres ingesteld op hun weergavenaam, controleer dan uw attribuuttoewijzing en bevestig dat u uw responsen niet versleutelt.

Als nieuwe gebruikers wordt gevraagd hun naam en geboortedatum in te voeren, geeft dit waarschijnlijk aan dat we geen correcte naamwaarde uit uw attribuutrespons herkennen.

Wijzigingen in e-mailadressen

Soms wordt het e-mailadres van een gebruiker bijgewerkt in uw IdP, bijvoorbeeld

  • Een wettelijke naamswijziging na een huwelijk

  • Hun bedrijf is overgenomen en zij hebben een nieuw domein

  • enz.

Als hierdoor de waarde van de emailaddress-claim in de SSO SAMLResponse verandert, wordt na succesvolle SSO een andere OpenAI-gebruiker geopend die is gekoppeld aan het nieuwe e-mailadres (en aangemaakt als deze nog niet bestond). Deze gebruiker moet afzonderlijk van de oorspronkelijke gebruiker worden uitgenodigd voor de org of werkruimte.

Primaire e-mailadressen

In sommige gevallen hebt u mogelijk gebruikers met meerdere verschillende e-mailadressen. Dit komt vaak voor bij grotere bedrijven met gedistribueerde mailsystemen of bij Edu-klanten met verschillende scholen, bijvoorbeeld

In deze situatie raden we aan ervoor te zorgen dat uw SAML-respons slechts één e-mailadres in de attributen bevat, omdat het opnemen van meerdere e-mailadressen verwarring kan veroorzaken wanneer we proberen dit te koppelen aan een nieuwe of bestaande gebruiker.

Daarnaast raden we aan, als de gebruikers een statisch e-mailadres hebben (bijv. een UPN), dit in uw attribuuttoewijzing te gebruiken om ervoor te zorgen dat zij een stabiel OpenAI-gebruikersaccount hebben dat niet wordt beïnvloed wanneer hun andere e-mailadressen veranderen.

Toegang tot de IdP-applicatie toewijzen

Nadat u uw attribuuttoewijzing succesvol hebt gemaakt, leidt de wizard u door de stappen om via de gewenste groepen toegang te verlenen aan de juiste gebruikers.

Bekijk onze aanbevelingen voor Gebruikersbeheer voor best practices.

IdP-metadata instellen

Op dit punt in de installatie hebt u twee afzonderlijke opties om de metadata van uw IdP te definiëren: Dynamische configuratie en Handmatige configuratie.

Dynamische configuratie

Dit is de aanbevolen en eenvoudigste optie. Met Dynamische configuratie hoeft u alleen de Metadata URL op te geven (nu ingevuld door de SSO-URL en Entity ID die u eerder hebt geconfigureerd) die aan uw applicatie is gekoppeld. De installatiewizard laat u zien waar u deze in uw IdP kunt vinden:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Handmatige configuratie

Zoals de naam al aangeeft, vereist Handmatige configuratie wat meer werk. Afhankelijk van uw IdP moet u de bijbehorende SSO-URL en IdP-uitgever invoeren, samen met een x.509-certificaat:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

Door IdP geïnitieerd inloggen

Als u wilt dat uw gebruikers op een tegel in hun dashboard kunnen klikken en automatisch worden geauthenticeerd, kunt u tijdens het installatieproces door IdP geïnitieerde authenticatie voor uw applicatie configureren. Hoewel het exacte proces verschilt per IdP, gebruikt het algemene proces een opgegeven URL in de vorm van:

Als voorbeeld begeleidt Okta u bij het maken van een nieuwe Bookmark Application met deze URL:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Terwijl Entra ID u toestaat de opgegeven "Sign on URL" in het juiste formulier in te voeren:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Belangrijk: Als u ervoor kiest een goed werkende SSO-verbinding te resetten, zullen deze URL-waarden wel veranderen.

Dit betekent dat wanneer u de nieuwe verbinding configureert, u ook uw Sign on URL dienovereenkomstig moet bijwerken, anders kunnen gebruikers zich niet via hun tegels authenticeren.

De installatie voltooien

Nadat u de metadata van uw IdP hebt geconfigureerd, kunt u op "Continue" klikken om verder te gaan met het instellen van eventuele optionele bladwijzerapps. De laatste verplichte configuratiestap vindt plaats op de pagina "Test Single Sign-On":

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Nadat u op "Continue to sign-in" hebt geklikt, probeert de wizard uw nieuwe verbinding te testen. Als alles succesvol is, hebt u SSO effectief ingeschakeld. U zou dit nu moeten terugzien op uw configuratiepagina:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Gebruikers in uw IdP-groep met bijbehorende accounts of uitnodigingen zouden nu moeten kunnen inloggen met SSO:

  • Zij kunnen naar chatgpt.com of platform.openai.com gaan, hun e-mailadres invoeren en zich vervolgens authenticeren nadat wij hen hebben doorgestuurd naar hun IdP

  • Zij kunnen de URL van de Bookmark Tile gebruiken die u tijdens de installatie (optioneel) hebt geconfigureerd

Als blijkt dat uw gebruikers zich niet succesvol kunnen authenticeren en u moeite hebt om de wijzigingen terug te draaien, neem dan voor onmiddellijke hulp contact op met Support.

Onthoud dat het inschakelen van SSO op het API Platform de domeinverificatie toepast op alle gebruikers met dat domein. Dit betekent dat, zelfs als de gebruikers geen deel uitmaken van uw Enterprise-organisatie, zij nog steeds deel moeten uitmaken van uw IdP-groep om toegang te krijgen tot hun persoonlijke organisaties.

Problemen met inloggen oplossen

Als u na het inschakelen van SSO problemen ondervindt met inloggen, kunt u onze pagina FAQ en probleemoplossing raadplegen voor hulp bij het identificeren van veelvoorkomende fouten. Als u daar geen afdoende antwoord vindt, aarzel dan niet om contact op te nemen met Support.

Was dit artikel nuttig?