OpenAI
Esta página foi traduzida automaticamente. Ver o artigo original em inglês.

Configurar o SSO

Este documento explica como configurar o SSO para o ChatGPT e a API Platform

Atualizado: 13 days ago

Pré-requisitos

Para configurar o SSO, tem de:

  1. Ter um plano OpenAI com uma Consola Global de Administração

  2. Ser um administrador global

Antes de prosseguir, reveja as nossas páginas de documentação Visão geral do SSO e Gestão de utilizadores para garantir que está familiarizado com a nossa arquitetura de SSO.

Se configurou anteriormente o SSO para uma organização da API Platform ou um espaço de trabalho do ChatGPT, as suas definições de SSO já deverão estar disponíveis para configuração na página OpenAI Identity. Se o espaço de trabalho ou a organização para os quais pretende ativar o SSO não aparecerem na sua Consola Global de Administração, contacte support@openai.com.

⚠️ Os seus utilizadores ficarão sem acesso se o SSO não for configurado corretamente!

Uma configuração incorreta pode fazer com que os seus utilizadores fiquem sem acesso a organizações e espaços de trabalho onde o SSO esteja definido como obrigatório. Recomendamos que, enquanto administrador global, mantenha o SSO como Opcional no Portal de Administração.

Durante a configuração, mantenha abertas duas janelas de sessão distintas:

  1. Uma sessão iniciada numa janela anónima

  2. Uma sessão iniciada no seu navegador habitual

Isto permite-lhe testar o processo de início de sessão e a configuração de SSO/verificação de domínio numa janela, e reverter as alterações se necessário através da segunda janela.

Testar o SSO

Se pretender testar o processo de configuração sem correr o risco de afetar os seus utilizadores, pode fazê-lo através da aplicação aqui.

Concluir com sucesso uma ligação nesta aplicação de teste não será associado à sua organização de produção, nem guardará a ligação (pelo que poderá reutilizar os mesmos parâmetros na sua instância de produção quando estiver pronto). Isto significa que é seguro utilizá-la como sandbox ou ambiente de testes enquanto se familiariza com os requisitos e resolve quaisquer pré-requisitos em falta.

Ativar o SSO

Para começar, aceda à página OpenAI Identity a partir da Consola Global de Administração. Também pode aceder a essa página a partir da ligação na página "Identity & Provisioning" nas definições "Gerir espaço de trabalho" no ChatGPT ou no separador Identity nas definições da sua organização API Platform.

Alguns dos exemplos abaixo irão mostrar a configuração no Okta, mas a mesma lógica deverá aplicar-se a todos os IdP SAML.

Verificação de domínio

Para ativar o SSO, exigimos primeiro que verifique pelo menos um domínio.

Importante: Lembre-se de rever o impacto a jusante que a verificação de domínio pode ter nos utilizadores com esse domínio.

Clique no botão "+ Adicionar domínio" e introduza o seu DNS para começar:

Verify a new domain dialog with example.com entered and Submit available

Depois de o enviar, fornecemos-lhe uma chave para verificar a propriedade do seu domínio. Aceda ao seu fornecedor de DNS e adicione um registo TXT com o valor fornecido:

Image

O seu registo TXT tem de estar acessível através de uma pesquisa DNS para que a verificação seja bem-sucedida.

Depois de concluir isto no seu fornecedor de DNS, volte à página de configuração e clique no botão "Check". Se a propriedade do seu domínio tiver sido validada com sucesso, verá o estado atualizado para "Verified."

Domain management page with company.abc listed as Verified

Pode adicionar até 99 domínios verificados por Portal de Administração, e dispõe de um período de 7 dias para concluir a verificação antes de um domínio ser marcado como expirado. Os domínios só podem ser verificados num único Portal de Administração. Se precisar de verificar o mesmo domínio numa organização ou espaço de trabalho que não esteja no seu Portal de Administração, contacte o Suporte.

Configurar a sua aplicação

Depois de verificar com sucesso o seu domínio, pode prosseguir com a configuração do SSO configurando a aplicação do seu IdP.

Para começar, clique no botão "Set up SSO":

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Selecionar o seu fornecedor de identidade

Tem a opção de selecionar a partir de uma lista dos IdP mais populares que suportam nativamente integrações SAML. Se não vir o seu IdP na lista, ou se pretender usar uma ligação OIDC, pode escolher o botão de ligação personalizada adequado apresentado na parte inferior:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Criar/ligar a aplicação

Agora pode seguir o assistente de configuração passo a passo para ajudar a criar e ligar a aplicação do seu IdP connosco. Consoante o IdP que estiver a utilizar, as instruções podem variar ligeiramente, mas a configuração geral mantém-se:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Tenha em atenção que os URL fornecidos na etapa de criação serão exclusivos da sua organização:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Importante: Se optar por repor uma ligação SSO funcional, estes valores de URL irão mudar. Ao configurar o SSO novamente, terá de se certificar de que os atualiza na sua aplicação em conformidade.

Depois de concluir a configuração do URL, pode prosseguir para a definição do mapeamento de atributos dos utilizadores autenticados através da sua aplicação.

Mapeamento de atributos

O mapeamento de atributos que define na sua aplicação SSO determina, em última análise, quais as contas OpenAI autenticadas e como os seus utilizadores aparecem nos produtos OpenAI. O nosso modelo de utilizador atual suporta três propriedades:

  1. Endereço de e-mail (obrigatório na resposta SAML, determina a conta a que se acede)

  2. Nome próprio (opcional, mas recomendado)

  3. Apelido (opcional, mas recomendado)

Nota: não suportamos a desencriptação de respostas SAML. Certifique-se de que não está a encriptar a sua resposta nem a asserção, para garantir que conseguimos identificar corretamente os atributos.

Consoante o seu IdP, o mapeamento exato de atributos irá variar. Recomendamos que siga exatamente o mapeamento apresentado para o seu IdP no assistente de configuração; por exemplo, para o Okta seria:

Image

Se estiver a ver novos utilizadores a entrarem com os respetivos endereços de e-mail definidos como nome de apresentação, reveja o seu mapeamento de atributos e confirme que não está a encriptar as suas respostas.

Em alternativa, se estiver a ser pedido a novos utilizadores que introduzam o nome e a data de nascimento, isso provavelmente indica que não estamos a identificar um valor de nome adequado na sua resposta de atributos.

Alterações de e-mail

Ocasionalmente, o endereço de e-mail de um utilizador pode ser atualizado no seu IdP, por exemplo:

  • Uma alteração de nome legal após casamento

  • A empresa foi adquirida e passou a ter um novo domínio

  • etc.

Se isto alterar o valor da reivindicação emailaddress na SAMLResponse de SSO, será acedido um utilizador OpenAI diferente associado ao novo endereço de e-mail (e criado, se ainda não existir) após um SSO bem-sucedido. Este utilizador terá de ser convidado separadamente para a organização ou para o espaço de trabalho, em relação ao utilizador original.

Endereços de e-mail principal

Nalguns casos, poderá ter utilizadores com vários endereços de e-mail diferentes. Este é um cenário comum em empresas maiores com sistemas de correio distribuídos ou para clientes de educação com escolas diferentes, por exemplo:

Nesta situação, recomendamos que garanta que a sua resposta SAML inclui apenas um único endereço de e-mail nos respetivos atributos, uma vez que incluir vários e-mails pode causar confusão quando tentamos associá-la a um utilizador novo ou existente.

Além disso, se os utilizadores tiverem um endereço de e-mail estático (por exemplo, um UPN), recomendamos que o utilize no mapeamento de atributos para garantir que terão uma conta de utilizador OpenAI estável, que não será afetada se os outros endereços de e-mail forem alterados.

Conceder acesso à aplicação IdP

Depois de criar com sucesso o seu mapeamento de atributos, o assistente irá guiá-lo pelos passos para disponibilizar acesso aos utilizadores adequados através dos grupos pretendidos.

Consulte as nossas recomendações sobre Gestão de utilizadores para conhecer as melhores práticas.

Definir metadados do IdP

Neste ponto da configuração, tem duas opções distintas para definir os metadados do seu IdP: Configuração dinâmica e Configuração manual.

Configuração dinâmica

Esta é a opção recomendada e mais simples. Com a Configuração dinâmica, só precisa de fornecer o URL de metadados (agora preenchido pelo URL de SSO e pelo ID da entidade que configurou anteriormente) associado à sua aplicação. O assistente de configuração irá mostrar-lhe onde pode encontrar isto no seu IdP:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Configuração manual

Como o nome indica, a Configuração manual exige um pouco mais de trabalho. Consoante o seu IdP, terá de introduzir o URL de SSO e o emissor IdP correspondentes, juntamente com um certificado x.509:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

Início de sessão iniciado por IdP

Se pretender que os seus utilizadores consigam clicar num atalho no respetivo painel e sejam autenticados automaticamente, pode configurar a autenticação iniciada por IdP para a sua aplicação como parte do processo de configuração. Embora o processo exato varie consoante o seu IdP, o processo geral utilizará um URL fornecido no formato:

Por exemplo, o Okta guiá-lo-á na criação de uma nova aplicação de marcador com este URL:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Enquanto o Entra ID lhe permitirá introduzir o "Sign on URL" fornecido no formulário adequado:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Importante: Se optar por repor uma ligação SSO funcional, estes valores de URL irão mudar.

Isto significa que, ao configurar a nova ligação, também terá de atualizar o respetivo URL de início de sessão; caso contrário, os utilizadores não conseguirão autenticar-se através dos respetivos atalhos.

Concluir a configuração

Depois de configurar os metadados do seu IdP, pode clicar em "Continue" para prosseguir com a configuração de quaisquer aplicações de marcador opcionais. O passo final obrigatório da configuração será na página "Test Single Sign-On":

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Depois de clicar em "Continue to sign-in," o assistente tentará testar a sua nova ligação. Se tudo correr bem, terá efetivamente ativado o SSO. Agora deverá ver isto refletido na sua página de configuração:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Os utilizadores do seu grupo IdP com contas ou convites correspondentes já deverão conseguir iniciar sessão com SSO:

  • Podem aceder a chatgpt.com ou platform.openai.com, introduzir o respetivo e-mail e autenticar-se depois de os encaminharmos para o respetivo IdP

  • Podem usar o URL do atalho de marcador que configurou (opcionalmente) durante a configuração

Se verificar que os seus utilizadores não conseguem autenticar-se com sucesso e tiver dificuldades em reverter as alterações, contacte o Suporte para assistência imediata.

Lembre-se de que ativar o SSO na API Platform aplica a verificação de domínio a todos os utilizadores com esse domínio. Isto significa que, mesmo que os utilizadores não pertençam à sua organização Enterprise, continuarão a ter de fazer parte do seu grupo IdP para poderem aceder às respetivas organizações pessoais.

Resolução de problemas de início de sessão

Se, depois de ativar o SSO, estiver a ter problemas ao iniciar sessão, pode consultar a nossa página de FAQ e resolução de problemas para obter ajuda na identificação de erros comuns. Se não encontrar aí uma resposta suficiente, não hesite em contactar o Suporte.

Este artigo foi útil?