OpenAI
Această pagină a fost tradusă automat. Vezi articolul original în limba engleză.

Configurarea SSO

Acest document explică configurarea SSO pentru ChatGPT și API Platform

Actualizat: 18 days ago

Condiții prealabile

Pentru a configura SSO, trebuie să:

  1. Aveți un plan OpenAI cu o Consolă globală de administrare

  2. Fiți administrator global

Înainte de a continua, consultați paginile noastre de documentație Prezentare generală SSO și Gestionarea utilizatorilor pentru a vă asigura că sunteți familiarizat(ă) cu arhitectura noastră SSO.

Dacă ați configurat anterior SSO pentru o organizație API Platform sau un spațiu de lucru ChatGPT, setările dvs. SSO ar trebui să fie deja disponibile pentru configurare în pagina OpenAI Identity. Dacă spațiul de lucru sau organizația pentru care doriți să activați SSO nu este afișat(ă) în Consola globală de administrare, vă rugăm să contactați support@openai.com.

⚠️ Utilizatorii dvs. vor pierde accesul dacă SSO nu este configurat corect!

O configurare incorectă poate face ca utilizatorii dvs. să piardă accesul la organizații și spații de lucru unde SSO este setat ca obligatoriu. Vă recomandăm ca dvs., în calitate de administrator global, să păstrați SSO ca opțional în portalul de administrare.

În timpul configurării, păstrați deschise două ferestre separate, autentificate:

  1. Una autentificată printr-o fereastră incognito

  2. Una autentificată prin browserul dvs. standard

Acest lucru vă permite să testați procesul de conectare și configurarea SSO/verificarea domeniului într-o fereastră și să reveniți asupra modificărilor, dacă este necesar, prin a doua fereastră.

Testarea SSO

Dacă doriți să testați procesul de configurare fără a risca un impact asupra utilizatorilor dvs., puteți face acest lucru prin aplicația de aici.

Finalizarea unei conexiuni reușite în această aplicație de test nu va fi asociată cu organizația dvs. de producție și nici nu va salva conexiunea (astfel încât să puteți reutiliza aceiași parametri în instanța dvs. de producție când sunteți gata). Aceasta înseamnă că este sigur de utilizat ca sandbox sau mediu de test în timp ce vă familiarizați cu cerințele și rezolvați orice condiții prealabile lipsă.

Activarea SSO

Pentru a începe, accesați pagina OpenAI Identity din Consola globală de administrare. De asemenea, puteți ajunge la acea pagină din linkul de pe pagina „Identity & Provisioning”, aflată sub setările „Manage Workspace” din ChatGPT, sau din fila Identity din setările organizației dvs. API Platform.

Unele dintre exemplele de mai jos vor ilustra configurarea în Okta, dar aceeași logică ar trebui să se aplice tuturor IdP-urilor SAML.

Verificarea domeniului

Pentru a activa SSO, vă solicităm mai întâi să verificați cel puțin un domeniu.

Important: Nu uitați să consultați impactul ulterior pe care verificarea domeniului îl poate avea asupra utilizatorilor cu acel domeniu.

Faceți clic pe butonul „+ Add Domain” și introduceți DNS-ul dvs. pentru a începe:

Verify a new domain dialog with example.com entered and Submit available

După trimitere, vă oferim o cheie pentru a verifica proprietatea asupra domeniului dvs. Accesați furnizorul dvs. DNS și adăugați o înregistrare TXT cu valoarea furnizată:

Image

Înregistrarea dvs. TXT trebuie să poată fi accesată printr-o interogare DNS pentru ca verificarea să reușească.

După ce finalizați acest pas la furnizorul dvs. DNS, reveniți la pagina de configurare și faceți clic pe butonul „Check”. Dacă proprietatea asupra domeniului dvs. a fost validată cu succes, veți vedea starea actualizată la „Verified”.

Domain management page with company.abc listed as Verified

Puteți adăuga până la 99 de domenii verificate pentru fiecare portal de administrare și oferim o perioadă de 7 zile pentru a finaliza verificarea înainte de a marca un domeniu ca expirat. Domeniile pot fi verificate doar într-un singur portal de administrare. Dacă trebuie să verificați același domeniu într-o organizație sau un spațiu de lucru care nu se află în portalul dvs. de administrare, contactați Asistența.

Configurarea aplicației dvs.

După ce ați verificat cu succes domeniul dvs., puteți continua configurarea SSO setând aplicația dvs. IdP.

Pentru a începe, faceți clic pe butonul „Set up SSO”:

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Selectarea furnizorului dvs. de identitate

Aveți opțiunea de a selecta dintr-o listă cu cei mai populari IdP care acceptă nativ integrări SAML. Dacă nu vedeți IdP-ul dvs. în listă sau dacă doriți să utilizați o conexiune OIDC, puteți alege butonul corespunzător pentru conexiune personalizată afișat în partea de jos:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Crearea/conectarea aplicației

Acum puteți urma asistentul de configurare pas cu pas pentru a vă ajuta să creați și să conectați aplicația dvs. IdP cu noi. În funcție de IdP-ul pe care îl utilizați, instrucțiunile pot varia ușor, dar configurarea generală rămâne aceeași:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Rețineți că URL-urile furnizate în etapa de creare vor fi unice pentru organizația dvs.:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Important: Dacă alegeți să resetați o conexiune SSO funcțională, aceste valori URL se vor schimba. Când configurați din nou SSO, va trebui să vă asigurați că le actualizați corespunzător în aplicația dvs.

După ce ați finalizat configurarea URL-urilor, puteți continua cu definirea mapării atributelor pentru utilizatorii autentificați prin aplicația dvs.

Maparea atributelor

Maparea atributelor pe care o definiți în aplicația dvs. SSO determină în cele din urmă ce conturi OpenAI sunt autentificate și cum apar utilizatorii dvs. în produsele OpenAI. Modelul nostru actual de utilizator acceptă trei proprietăți:

  1. Adresă de e-mail (obligatorie în răspunsul SAML, determină ce cont este accesat)

  2. Prenume (opțional, dar recomandat)

  3. Nume de familie (opțional, dar recomandat)

Notă: nu acceptăm decriptarea răspunsurilor SAML. Asigurați-vă că nu criptați răspunsul sau aserțiunea, pentru a garanta că putem identifica corect atributele.

În funcție de IdP-ul dvs., maparea exactă a atributelor va varia. Recomandăm să respectați exact maparea ilustrată pentru IdP-ul dvs. în asistentul de configurare, de ex. pentru Okta ar fi:

Image

Dacă observați că utilizatori noi apar cu adresele lor de e-mail setate ca nume afișat, revizuiți maparea atributelor și confirmați că nu criptați răspunsurile.

Alternativ, dacă utilizatorilor noi li se cere să își introducă numele și data nașterii, acest lucru indică probabil că nu identificăm o valoare de nume corectă din răspunsul dvs. de atribut.

Schimbări ale adresei de e-mail

Ocazional, adresa de e-mail a unui utilizator poate fi actualizată în IdP-ul dvs., de ex.

  • O schimbare a numelui legal în urma căsătoriei

  • Compania lor a fost achiziționată și au un domeniu nou

  • etc.

Dacă acest lucru schimbă valoarea revendicării emailaddress în SAMLResponse SSO, la o autentificare SSO reușită va fi accesat un utilizator OpenAI diferit asociat noii adrese de e-mail (și va fi creat dacă nu exista anterior). Acest utilizator va trebui invitat separat în organizație sau spațiul de lucru față de utilizatorul original.

Adrese de e-mail principale

În unele cazuri, este posibil să aveți utilizatori cu mai multe adrese de e-mail diferite. Acesta este un scenariu obișnuit în companiile mai mari care au sisteme de poștă distribuite sau pentru clienții Edu cu școli diferite, de ex.

În această situație, recomandăm să vă asigurați că răspunsul dvs. SAML include doar o singură adresă de e-mail în atributele sale, deoarece includerea mai multor adrese de e-mail poate crea confuzie atunci când încercăm să o asociem cu un utilizator nou sau existent.

În plus, dacă utilizatorii au o adresă de e-mail statică (de ex. un UPN), recomandăm să o utilizați în maparea atributelor pentru a vă asigura că vor avea un cont de utilizator OpenAI stabil, care nu va fi afectat atunci când celelalte adrese de e-mail ale lor se schimbă.

Acordarea accesului la aplicația IdP

După ce ați creat cu succes maparea atributelor, asistentul vă va ghida prin pașii necesari pentru a acorda acces utilizatorilor potriviți prin grupurile dorite.

Consultați recomandările noastre privind Gestionarea utilizatorilor pentru bune practici.

Setarea metadatelor IdP

În acest punct al configurării, aveți două opțiuni separate pentru definirea metadatelor IdP-ului dvs.: Configurare dinamică și configurare manuală.

Configurare dinamică

Aceasta este opțiunea recomandată și cea mai directă. Cu configurarea dinamică, trebuie doar să furnizați URL-ul de metadate (acum completat de URL-ul SSO și ID-ul entității pe care le-ați configurat anterior) asociat aplicației dvs. Asistentul de configurare vă va arăta unde puteți găsi acest lucru în IdP-ul dvs.:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Configurare manuală

Așa cum sugerează și numele, configurarea manuală necesită puțin mai mult efort. În funcție de IdP-ul dvs., va trebui să introduceți URL-ul SSO corespunzător și emitentul IdP, împreună cu un certificat x.509:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

Autentificare inițiată de IdP

Dacă doriți ca utilizatorii dvs. să poată face clic pe un tile din tabloul lor de bord și să fie autentificați automat, puteți configura autentificarea inițiată de IdP către aplicația dvs. ca parte a procesului de configurare. Deși procesul exact va varia în funcție de IdP-ul dvs., procesul general va utiliza un URL furnizat în forma:

De exemplu, Okta vă va ghida prin crearea unei noi aplicații Bookmark cu acest URL:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

În timp ce Entra ID vă va permite să introduceți „Sign on URL” furnizat în formularul corespunzător:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Important: Dacă alegeți să resetați o conexiune SSO funcțională, aceste valori URL se vor schimba.

Aceasta înseamnă că, atunci când configurați noua conexiune, va trebui și să actualizați corespunzător adresa URL de conectare, altfel utilizatorii nu se vor putea autentifica prin tile-urile lor.

Finalizarea configurării

După ce ați configurat metadatele IdP-ului dvs., puteți face clic pe „Continue” pentru a continua cu configurarea oricăror aplicații de tip bookmark opționale. Ultimul pas obligatoriu de configurare va fi în pagina „Test Single Sign-On”:

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

După ce apăsați „Continue to sign-in”, asistentul va încerca să testeze noua dvs. conexiune. Dacă totul este reușit, veți fi activat efectiv SSO. Acum ar trebui să vedeți acest lucru reflectat în pagina dvs. de configurare:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Utilizatorii din grupul dvs. IdP cu conturi sau invitații corespunzătoare ar trebui acum să se poată conecta cu SSO:

  • Pot accesa chatgpt.com sau platform.openai.com, să-și introducă adresa de e-mail, apoi să se autentifice după ce îi redirecționăm către IdP-ul lor

  • Pot folosi URL-ul Bookmark Tile pe care l-ați configurat (opțional) în timpul configurării

Dacă observați că utilizatorii dvs. nu se pot autentifica cu succes și întâmpinați dificultăți în revenirea asupra modificărilor, contactați imediat Asistența.

Rețineți că activarea SSO pe API Platform aplică verificarea domeniului tuturor utilizatorilor cu acel domeniu. Aceasta înseamnă că, chiar dacă utilizatorii nu aparțin organizației dvs. Enterprise, ei vor trebui totuși să facă parte din grupul dvs. IdP pentru a-și accesa organizațiile personale.

Depanarea autentificării

Dacă după activarea SSO întâmpinați probleme la conectare, puteți consulta pagina noastră de Întrebări frecvente și depanare pentru asistență în identificarea erorilor comune. Dacă nu găsiți acolo un răspuns suficient, nu ezitați să contactați Asistența.

A fost util acest articol?