OpenAI
Ta strona została przetłumaczona maszynowo. Wyświetl oryginalny artykuł w języku angielskim.

Konfigurowanie logowania jednokrotnego

Ten dokument opisuje konfigurację logowania jednokrotnego dla ChatGPT i API Platform

Zaktualizowano: 16 days ago

Wymagania wstępne

Aby skonfigurować logowanie jednokrotne, musisz:

  1. Posiadać plan OpenAI z Global Admin Console

  2. Być administratorem globalnym

Przed kontynuowaniem zapoznaj się z naszą dokumentacją Omówienie logowania jednokrotnego i Zarządzanie użytkownikami, aby upewnić się, że znasz architekturę naszego logowania jednokrotnego.

Jeśli wcześniej skonfigurowano logowanie jednokrotne dla organizacji API Platform lub przestrzeni roboczej ChatGPT, ustawienia logowania jednokrotnego powinny być już dostępne do konfiguracji na stronie OpenAI Identity. Jeśli przestrzeń robocza lub organizacja, dla której chcesz włączyć logowanie jednokrotne, nie jest wyświetlana w Global Admin Console, skontaktuj się z support@openai.com.

⚠️ Twoi użytkownicy stracą dostęp, jeśli logowanie jednokrotne nie zostanie poprawnie skonfigurowane!

Nieprawidłowa konfiguracja może spowodować, że użytkownicy stracą dostęp do organizacji i przestrzeni roboczych, w których logowanie jednokrotne jest wymagane. Zalecamy, aby globalny administrator pozostawił logowanie jednokrotne jako opcjonalne w portalu administratora.

Podczas konfiguracji miej otwarte dwa osobne zalogowane okna:

  1. Jedno zalogowane w oknie incognito

  2. Drugie zalogowane w standardowej przeglądarce

Pozwala to przetestować proces logowania oraz konfigurację logowania jednokrotnego/weryfikacji domeny w jednym oknie, a w razie potrzeby cofnąć zmiany w drugim oknie.

Testowanie logowania jednokrotnego

Jeśli chcesz przetestować proces konfiguracji bez ryzyka wpływu na użytkowników, możesz to zrobić za pośrednictwem aplikacji tutaj.

Pomyślne ukończenie połączenia w tej aplikacji testowej nie będzie powiązane z produkcyjną organizacją ani nie zapisze połączenia (dzięki czemu możesz ponownie użyć tych samych parametrów w instancji produkcyjnej, gdy będziesz gotowy(-a)). Oznacza to, że można jej bezpiecznie używać jako środowiska testowego lub placu zabaw podczas zapoznawania się z wymaganiami i uzupełniania brakujących wymagań wstępnych.

Włączanie logowania jednokrotnego

Aby rozpocząć, przejdź do strony OpenAI Identity z poziomu Global Admin Console. Możesz także przejść do tej strony z linku na stronie „Identity & Provisioning” w ustawieniach „Manage Workspace” w ChatGPT lub z karty Identity w ustawieniach organizacji API Platform.

Niektóre z poniższych przykładów pokazują konfigurację w Okta, ale ta sama logika powinna mieć zastosowanie do wszystkich dostawców SAML IdP.

Weryfikacja domeny

Aby włączyć logowanie jednokrotne, wymagamy najpierw zweryfikowania co najmniej jednej domeny.

Ważne: pamiętaj, aby zapoznać się z wpływem na dalsze procesy, jaki weryfikacja domeny może mieć na użytkowników tej domeny.

Kliknij przycisk „+ Add Domain” i wprowadź swój DNS, aby rozpocząć:

Verify a new domain dialog with example.com entered and Submit available

Po przesłaniu zapewniamy klucz do potwierdzenia własności domeny. Przejdź do swojego dostawcy DNS i dodaj rekord TXT z podaną wartością:

Image

Twój rekord TXT musi być osiągalny przez wyszukiwanie DNS, aby weryfikacja zakończyła się powodzeniem.

Po wykonaniu tego u dostawcy DNS wróć na stronę konfiguracji i kliknij przycisk „Check”. Jeśli własność domeny została pomyślnie zweryfikowana, zobaczysz status „Verified”.

Domain management page with company.abc listed as Verified

Do jednego portalu administratora możesz dodać maksymalnie 99 zweryfikowanych domen. Na ukończenie weryfikacji udostępniamy 7 dni, po czym domena zostanie oznaczona jako wygasła. Domenę można zweryfikować tylko w jednym portalu administratora. Jeśli chcesz zweryfikować tę samą domenę dla organizacji lub przestrzeni roboczej spoza Twojego portalu administratora, skontaktuj się z pomocą techniczną.

Konfigurowanie aplikacji

Po pomyślnej weryfikacji domeny możesz przejść do konfiguracji logowania jednokrotnego, ustawiając aplikację IdP.

Aby rozpocząć, kliknij przycisk „Set up SSO”:

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Wybór dostawcy tożsamości

Możesz wybrać z listy najpopularniejszych dostawców IdP, którzy natywnie obsługują integracje SAML. Jeśli nie widzisz swojego IdP na liście lub chcesz użyć połączenia OIDC, możesz wybrać odpowiedni przycisk połączenia niestandardowego widoczny na dole:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Tworzenie/podłączanie aplikacji

Możesz teraz postępować zgodnie z kreatorem konfiguracji krok po kroku, który pomoże utworzyć i połączyć z nami aplikację IdP. W zależności od używanego IdP instrukcje mogą się nieznacznie różnić, ale ogólna konfiguracja pozostaje taka sama:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Pamiętaj, że adresy URL podane na etapie tworzenia będą unikalne dla Twojej organizacji:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Ważne: jeśli zdecydujesz się zresetować działające połączenie logowania jednokrotnego, te wartości URL ulegną zmianie. Podczas ponownej konfiguracji logowania jednokrotnego musisz odpowiednio zaktualizować je w swojej aplikacji.

Po zakończeniu konfiguracji adresów URL możesz przejść do definiowania mapowania atrybutów dla użytkowników uwierzytelnianych za pośrednictwem aplikacji.

Mapowanie atrybutów

Mapowanie atrybutów zdefiniowane w aplikacji logowania jednokrotnego ostatecznie określa, które konta OpenAI są uwierzytelniane i jak użytkownicy są wyświetlani w produktach OpenAI. Nasz obecny model użytkownika obsługuje trzy właściwości:

  1. Adres e-mail (wymagany w odpowiedzi SAML, określa, do którego konta uzyskuje się dostęp)

  2. Imię (opcjonalne, ale zalecane)

  3. Nazwisko (opcjonalne, ale zalecane)

Uwaga: nie obsługujemy odszyfrowywania odpowiedzi SAML. Upewnij się, że nie szyfrujesz odpowiedzi ani asercji, abyśmy mogli poprawnie zidentyfikować atrybuty.

Dokładne mapowanie atrybutów będzie się różnić w zależności od IdP. Zalecamy stosowanie dokładnie takiego mapowania, jakie pokazano dla Twojego IdP w kreatorze konfiguracji, np. w Okta będzie to:

Image

Jeśli widzisz nowych użytkowników, których adresy e-mail są ustawione jako ich nazwa wyświetlana, sprawdź mapowanie atrybutów i potwierdź, że nie szyfrujesz odpowiedzi.

Alternatywnie, jeśli nowi użytkownicy są proszeni o podanie imienia, nazwiska i daty urodzenia, prawdopodobnie oznacza to, że nie identyfikujemy poprawnej wartości imienia z odpowiedzi atrybutu.

Zmiany adresu e-mail

Czasami adres e-mail użytkownika może zostać zaktualizowany w Twoim IdP, np.

  • Prawna zmiana nazwiska po ślubie

  • Przejęcie firmy i nowa domena

  • itp.

Jeśli zmieni to wartość roszczenia emailaddress w odpowiedzi SAML logowania jednokrotnego, po pomyślnym logowaniu jednokrotnym zostanie użyty inny użytkownik OpenAI powiązany z nowym adresem e-mail (i utworzony, jeśli wcześniej nie istniał). Tego użytkownika trzeba będzie zaprosić do organizacji lub przestrzeni roboczej osobno od pierwotnego użytkownika.

Podstawowe adresy e-mail

W niektórych przypadkach możesz mieć użytkowników z wieloma różnymi adresami e-mail. To częsty scenariusz w większych firmach z rozproszonymi systemami pocztowymi lub u klientów Edu z różnymi szkołami, np.

W takiej sytuacji zalecamy upewnienie się, że odpowiedź SAML zawiera tylko jeden adres e-mail w atrybutach, ponieważ uwzględnienie wielu adresów może powodować niejasności, gdy próbujemy powiązać go z nowym lub istniejącym użytkownikiem.

Dodatkowo, jeśli użytkownicy mają stały adres e-mail (np. UPN), zalecamy użycie go w mapowaniu atrybutów, aby zapewnić im stabilne konto użytkownika OpenAI, na które nie wpłyną zmiany innych adresów e-mail.

Przyznawanie dostępu do aplikacji IdP

Po pomyślnym utworzeniu mapowania atrybutów kreator przeprowadzi Cię przez kroki przyznawania dostępu odpowiednim użytkownikom za pośrednictwem wybranych grup.

Zapoznaj się z naszymi zaleceniami dotyczącymi zarządzania użytkownikami, aby stosować najlepsze praktyki.

Ustawianie metadanych IdP

Na tym etapie konfiguracji masz dwie osobne opcje definiowania metadanych IdP: konfigurację dynamiczną i konfigurację ręczną.

Konfiguracja dynamiczna

Jest to zalecana i najprostsza opcja. W przypadku konfiguracji dynamicznej wystarczy podać adres URL metadanych (teraz uzupełniony przez adres URL logowania jednokrotnego i identyfikator encji skonfigurowane wcześniej) powiązany z Twoją aplikacją. Kreator konfiguracji pokaże, gdzie można to znaleźć w IdP:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Konfiguracja ręczna

Jak sama nazwa wskazuje, konfiguracja ręczna wymaga nieco więcej pracy. W zależności od IdP trzeba będzie wprowadzić odpowiedni adres URL logowania jednokrotnego i wystawcę IdP wraz z certyfikatem x.509:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

Logowanie inicjowane przez IdP

Jeśli chcesz, aby użytkownicy mogli kliknąć kafelek na swoim pulpicie i zostać automatycznie uwierzytelnieni, możesz skonfigurować uwierzytelnianie inicjowane przez IdP do swojej aplikacji w ramach procesu konfiguracji. Chociaż dokładny proces będzie się różnić w zależności od IdP, ogólny przebieg będzie wykorzystywać podany adres URL w postaci:

Na przykład Okta przeprowadzi Cię przez tworzenie nowej aplikacji zakładki z tym adresem URL:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Natomiast Entra ID pozwoli Ci wprowadzić podany „Sign on URL” do odpowiedniego formularza:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Ważne: jeśli zdecydujesz się zresetować działające połączenie logowania jednokrotnego, te wartości URL ulegną zmianie.

Oznacza to, że podczas konfigurowania nowego połączenia musisz odpowiednio zaktualizować także adres URL logowania, w przeciwnym razie użytkownicy nie będą mogli uwierzytelniać się za pomocą swoich kafelków.

Kończenie konfiguracji

Po skonfigurowaniu metadanych IdP możesz kliknąć „Continue”, aby przejść do konfiguracji opcjonalnych aplikacji zakładek. Ostatni wymagany krok konfiguracji będzie na stronie „Test Single Sign-On”:

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Po kliknięciu „Continue to sign-in” kreator spróbuje przetestować nowe połączenie. Jeśli wszystko zakończy się powodzeniem, logowanie jednokrotne zostanie skutecznie włączone. Powinno to być teraz widoczne na stronie konfiguracji:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Użytkownicy z Twojej grupy IdP, którzy mają odpowiadające konta lub zaproszenia, powinni teraz móc logować się przez logowanie jednokrotne:

  • Mogą przejść do chatgpt.com lub platform.openai.com, wpisać swój adres e-mail, a następnie uwierzytelnić się po przekierowaniu do ich IdP

  • Mogą użyć adresu URL kafelka zakładki, który (opcjonalnie) skonfigurowano podczas konfiguracji

Jeśli okaże się, że użytkownicy nie mogą pomyślnie się uwierzytelnić i masz problem z cofnięciem zmian, skontaktuj się niezwłocznie z pomocą techniczną.

Pamiętaj, że włączenie logowania jednokrotnego w API Platform stosuje weryfikację domeny do wszystkich użytkowników z tej domeny. Oznacza to, że nawet jeśli użytkownicy nie należą do Twojej organizacji Enterprise, nadal muszą być częścią Twojej grupy IdP, aby uzyskać dostęp do swoich osobistych organizacji.

Rozwiązywanie problemów z logowaniem

Jeśli po włączeniu logowania jednokrotnego napotykasz problemy z logowaniem, możesz zapoznać się z naszą stroną FAQ i rozwiązywanie problemów, aby zidentyfikować typowe błędy. Jeśli nie znajdziesz tam wystarczającej odpowiedzi, skontaktuj się z pomocą techniczną.

Czy ten artykuł był pomocny?