Ten dokument zastąpi nasz obecny dokument dotyczący logowania jednokrotnego na platformie, dostępny tutaj.
Wymagania wstępne
Aby skonfigurować logowanie jednokrotne, musisz:
Mieć organizację platformy API z niestandardowym/korporacyjnym planem rozliczeń
Być właścicielem w tej organizacji
Mieć co najmniej jedną zweryfikowaną domenę
Przed kontynuowaniem zapoznaj się z naszą dokumentacją Omówienie logowania jednokrotnego oraz Zarządzanie użytkownikami, aby upewnić się, że znasz architekturę naszego logowania jednokrotnego.
Jeśli niedawno kupiono licencję ChatGPT Enterprise i chcesz skonfigurować logowanie jednokrotne w przestrzeni roboczej ChatGPT, postępuj zgodnie z instrukcjami tutaj.
Jeśli wcześniej skonfigurowano logowanie jednokrotne w przestrzeni roboczej ChatGPT Enterprise, ustawienia logowania jednokrotnego powinny już zostać przeniesione i najprawdopodobniej są aktywne. W takiej sytuacji zobaczysz wstępnie wypełnione pola na stronie Tożsamość platformy API i wystarczy upewnić się, że przycisk „Single Sign On” jest włączony dla organizacji.
⚠️ Ty i wszyscy Twoi użytkownicy stracicie dostęp, jeśli logowanie jednokrotne nie zostanie poprawnie skonfigurowane!
Nieprawidłowa konfiguracja może spowodować utratę dostępu przez Ciebie i wszystkich Twoich użytkowników. Zalecamy, aby właściciel przestrzeni roboczej miał otwarte dwa osobne zalogowane okna:
Jedno zalogowane w oknie incognito
Jedno zalogowane w standardowej przeglądarce
Dzięki temu możesz przetestować proces logowania oraz konfigurację logowania jednokrotnego / weryfikacji domeny w jednym oknie, a w razie potrzeby cofnąć zmiany w drugim.
Testowanie logowania jednokrotnego
Jeśli chcesz przetestować proces konfiguracji bez ryzyka wpływu na organizację Enterprise, możesz to zrobić za pośrednictwem aplikacji tutaj.
Pomyślne ukończenie połączenia w tej aplikacji testowej nie będzie powiązane z Twoją organizacją produkcyjną ani nie zapisze połączenia (dzięki czemu będzie można ponownie użyć tych samych parametrów w organizacji Enterprise, gdy wszystko będzie gotowe). Oznacza to, że można bezpiecznie używać jej jako środowiska testowego lub placu zabaw podczas zapoznawania się z wymaganiami i uzupełniania brakujących warunków wstępnych.
Włączanie logowania jednokrotnego
Aby rozpocząć, przejdź do strony „Tożsamość” w ustawieniach organizacji.
Jeśli ten link nie działa, prawdopodobnie oznacza to, że organizacja nie została poprawnie skonfigurowana lub konto użytkownika nie ma odpowiednich uprawnień. Jeśli uważasz, że nie powinno tak być, skontaktuj się z zespołem pomocy technicznej.
Weryfikacja domeny
Aby włączyć logowanie jednokrotne, wymagamy najpierw weryfikacji co najmniej jednej domeny.
Ważne: pamiętaj, aby zapoznać się z wpływem na dalsze etapy, jaki weryfikacja domeny może mieć na użytkowników z tej domeny po włączeniu logowania jednokrotnego.
Kliknij przycisk „+ Add Domain” i wprowadź dane DNS, aby rozpocząć:
Po przesłaniu zapewniamy klucz do zweryfikowania własności domeny. Przejdź do dostawcy DNS i dodaj rekord TXT z podaną wartością:
Rekord TXT musi być osiągalny przez wyszukiwanie DNS, aby kontrola weryfikacyjna zakończyła się powodzeniem.
Po wykonaniu tego u dostawcy DNS wróć na stronę konfiguracji i kliknij przycisk „Check”. Jeśli własność domeny została pomyślnie zweryfikowana, zobaczysz zaktualizowany status „Verified”.
Na jeden organization-id można dodać maksymalnie 99 zweryfikowanych domen, a na zakończenie weryfikacji dajemy 7 dni, po czym domena zostanie oznaczona jako wygasła.
Domyślnie domeny są weryfikowane dla jednej organizacji. Jednak w konfiguracjach obsługujących weryfikację domen w wielu organizacjach (na przykład gdy włączona jest obsługa wielu organizacji / wielu domen) ta sama domena może zostać zweryfikowana w wielu organizacjach. Jeśli nie masz pewności, czy Twoja konfiguracja to obsługuje, skontaktuj się z pomocą techniczną.
Konfigurowanie aplikacji
Po pomyślnej weryfikacji domeny możesz przejść do konfiguracji logowania jednokrotnego poprzez skonfigurowanie aplikacji IdP.
Aby rozpocząć, kliknij przycisk „Manage Single Sign On”:
Wybór dostawcy tożsamości
Możesz wybrać z listy najpopularniejszych dostawców tożsamości, którzy natywnie obsługują integracje SAML. Jeśli nie widzisz swojego IdP na liście lub chcesz użyć połączenia OIDC, możesz wybrać odpowiedni przycisk połączenia niestandardowego pokazany na dole:
Tworzenie/podłączanie aplikacji
Możesz teraz skorzystać z kreatora konfiguracji krok po kroku, który pomoże utworzyć i połączyć z nami aplikację IdP. W zależności od używanego IdP instrukcje mogą się nieznacznie różnić, ale ogólna konfiguracja pozostaje taka sama:
Pamiętaj, że adresy URL podane w kroku tworzenia będą unikalne dla Twojej organizacji:
Ważne: jeśli zdecydujesz się zresetować działające połączenie logowania jednokrotnego, te wartości URL ulegną zmianie. Podczas ponownej konfiguracji logowania jednokrotnego musisz pamiętać, aby odpowiednio zaktualizować je w swojej aplikacji.
Po zakończeniu konfiguracji adresów URL możesz przejść do definiowania mapowania atrybutów dla użytkowników uwierzytelnianych przez aplikację.
Mapowanie atrybutów
Mapowanie atrybutów zdefiniowane w aplikacji ostatecznie określa, jak tworzeni są użytkownicy / jak będą się wyświetlać na platformie API. Nasz obecny model użytkownika obsługuje trzy właściwości:
Adres e-mail (wymagany w odpowiedzi SAML)
Imię (opcjonalne, ale zalecane)
Nazwisko (opcjonalne, ale zalecane)
Uwaga: nie obsługujemy odszyfrowywania odpowiedzi SAML. Upewnij się, że nie szyfrujesz odpowiedzi ani asercji, abyśmy mogli poprawnie zidentyfikować atrybuty.
W zależności od IdP dokładne mapowanie atrybutów będzie się różnić. Zalecamy stosowanie dokładnie takiego mapowania, jakie pokazano dla Twojego IdP w kreatorze konfiguracji, np. dla Okta byłoby to:
Jeśli widzisz, że nowi użytkownicy pojawiają się z adresami e-mail ustawionymi jako nazwa wyświetlana, sprawdź mapowanie atrybutów i potwierdź, że nie szyfrujesz odpowiedzi.
Jeśli natomiast nowi użytkownicy są proszeni o podanie imienia i daty urodzenia, prawdopodobnie oznacza to, że nie rozpoznajemy prawidłowej wartości imienia w odpowiedzi atrybutu.
Zmiany adresu e-mail
Czasami adres e-mail użytkownika może zostać zaktualizowany w IdP, np.
Prawna zmiana nazwiska po ślubie
Firma użytkownika została przejęta i ma on nową domenę
itp.
Ostatecznie spowoduje to utworzenie nowego użytkownika OpenAI powiązanego z nowym adresem e-mail. W niektórych przypadkach poprzedni profil uwierzytelniania może pozostać, uniemożliwiając nowemu użytkownikowi pomyślne logowanie. W takiej sytuacji skontaktuj się z pomocą techniczną.
Główne adresy e-mail
W niektórych przypadkach użytkownicy mogą mieć wiele różnych adresów e-mail. To częsty scenariusz w większych firmach z rozproszonymi systemami pocztowymi lub w przypadku klientów edukacyjnych z różnymi szkołami, np.
W takiej sytuacji zalecamy upewnienie się, że odpowiedź SAML zawiera tylko jeden adres e-mail w atrybutach, ponieważ uwzględnienie wielu adresów może powodować problemy, gdy próbujemy powiązać ją z nowym lub istniejącym użytkownikiem.
Dodatkowo, jeśli użytkownicy mają statyczny adres e-mail (np. UPN), zalecamy wykorzystanie go w mapowaniu atrybutów, aby zapewnić im stabilne konto użytkownika OpenAI, na które nie wpłyną zmiany innych adresów e-mail.
Przyznawanie dostępu do aplikacji IdP
Po pomyślnym utworzeniu mapowania atrybutów kreator przeprowadzi Cię przez kroki przyznawania dostępu odpowiednim użytkownikom za pośrednictwem wybranych grup.
Zapoznaj się z naszymi zaleceniami dotyczącymi Zarządzania użytkownikami, aby stosować najlepsze praktyki.
Ustawianie metadanych IdP
Na tym etapie konfiguracji masz dwie osobne opcje definiowania metadanych IdP: konfigurację dynamiczną i konfigurację ręczną.
Konfiguracja dynamiczna
To zalecana i najprostsza opcja. W przypadku konfiguracji dynamicznej wystarczy podać adres URL metadanych (teraz wypełniony przez adres URL logowania jednokrotnego i identyfikator jednostki skonfigurowane wcześniej) powiązany z aplikacją. Kreator konfiguracji pokaże, gdzie można to znaleźć w IdP:
Konfiguracja ręczna
Jak sama nazwa wskazuje, konfiguracja ręczna wymaga nieco więcej pracy. W zależności od IdP trzeba będzie wprowadzić odpowiedni adres URL logowania jednokrotnego i wystawcę IdP wraz z certyfikatem x.509:
Logowanie inicjowane przez IdP
Jeśli chcesz, aby użytkownicy mogli kliknąć kafelek na swoim pulpicie i zostać automatycznie uwierzytelnieni, możesz skonfigurować uwierzytelnianie inicjowane przez IdP do aplikacji w ramach procesu konfiguracji. Chociaż dokładny proces będzie się różnić w zależności od IdP, ogólnie będzie wykorzystywany podany adres URL w postaci:
Na przykład Okta przeprowadzi Cię przez tworzenie nowej aplikacji zakładki z tym adresem URL:
Natomiast Entra ID umożliwi wprowadzenie podanego „adresu URL logowania” do odpowiedniego formularza:
Ważne: jeśli zdecydujesz się zresetować działające połączenie logowania jednokrotnego, te wartości URL ulegną zmianie.
Oznacza to, że podczas konfigurowania nowego połączenia trzeba będzie odpowiednio zaktualizować także adres URL logowania, w przeciwnym razie użytkownicy nie będą mogli uwierzytelniać się przez swoje kafelki.
Kończenie konfiguracji
Po skonfigurowaniu metadanych IdP możesz kliknąć „Continue”, aby przejść do konfigurowania opcjonalnych aplikacji zakładek. Ostatni obowiązkowy krok konfiguracji będzie na stronie „Test Single Sign-On”:
Po kliknięciu „Continue to sign-in” kreator spróbuje przetestować nowe połączenie. Jeśli wszystko się powiedzie, logowanie jednokrotne zostanie skutecznie włączone dla organizacji platformy API. Powinno to być teraz widoczne na stronie konfiguracji:
Użytkownicy w grupie IdP, którzy mają odpowiadające konta lub zaproszenia w przestrzeni roboczej Enterprise, powinni teraz móc logować się za pomocą logowania jednokrotnego:
Mogą przejść do platform.openai.com, wpisać adres e-mail, a następnie uwierzytelnić się po przekierowaniu do ich IdP
Mogą użyć adresu URL kafelka zakładki, który (opcjonalnie) skonfigurowano podczas konfiguracji
Jeśli okaże się, że użytkownicy nie mogą pomyślnie się uwierzytelnić, a przy cofnięciu zmian występują trudności, niezwłocznie skontaktuj się z pomocą techniczną.
Pamiętaj, że włączenie logowania jednokrotnego na platformie API powoduje zastosowanie weryfikacji domeny do wszystkich użytkowników z tą domeną. Oznacza to, że nawet jeśli użytkownicy nie należą do Twojej organizacji Enterprise, nadal muszą należeć do grupy IdP, aby uzyskać dostęp do swoich organizacji osobistych.
Rozwiązywanie problemów z logowaniem
Jeśli po włączeniu logowania jednokrotnego występują problemy z logowaniem, możesz skorzystać z naszej strony FAQ i rozwiązywanie problemów, aby zidentyfikować typowe błędy. Jeśli nie znajdziesz tam wystarczającej odpowiedzi, skontaktuj się z pomocą techniczną.