Предварительные условия
Для настройки SSO вам необходимо:
Используйте план OpenAI с доступом к Глобальной консоли администратора
Будьте Глобальным администратором
Перед продолжением ознакомьтесь с нашей документацией Обзор SSO и Управление пользователями, чтобы убедиться, что вы знакомы с архитектурой нашей SSO.
Если ранее вы настраивали SSO для организации API-платформ или рабочей области ChatGPT, соответствующие настройки SSO уже должны быть доступны на странице Управления идентификацией OpenAI. Если рабочая область или организация, для которых вы хотите включить SSO, не отображаются в Глобальной консоли администратора, обратитесь в службу поддержки по адресу support@openai.com.
⚠️ При некорректной настройке SSO пользователи потеряют доступ к системе!
Некорректная настройка может привести к тому, что пользователи потеряют доступ к организациям и рабочим областям, в которых SSO является обязательным. Мы рекомендуем вам, как глобальному администратору, оставить SSO в статусе «Необязательный» в портале администратора.
В процессе настройки рекомендуется использовать два отдельных окна с выполненным входом в систему:
Одно — в режиме инкогнито
Одно — с авторизацией через ваш стандартный браузер
Это позволит вам протестировать процесс входа в систему и настройку SSO/проверку домена в одном окне, а также отменить изменения, если это необходимо, через второе окно.
Тестирование SSO
Если вы хотите протестировать процесс настройки без риска влияния на пользователей, вы можете сделать это через программу здесь.
Успешное подключение в этой тестовой программе не будет связано с вашей организацией — оно не будет сохранено, поэтому вы сможете повторно использовать те же параметры в вашей производственной среде, когда будете готовы. Это означает, что тестовую программу безопасно использовать в качестве песочницы, пока вы знакомитесь с требованиями и устраняете предварительные недостатки.
Включение SSO
Чтобы начать, перейдите на страницу «Управление идентификацией OpenAI» из Глобальной консоли администратора. Доступ к данной странице также осуществляется по ссылке на странице «Идентификация и подготовка к работе», расположенной в настройках «Управления рабочей областью» в ChatGPT, либо через вкладку «Идентификация» в настройках организации API-платформ.
Некоторые из приведённых ниже примеров демонстрируют порядок настройки в Okta, но та же логика должна применяться ко всем IdP SAML.
Проверка домена
Чтобы включить SSO, требуется, чтобы вы сначала проверили как минимум один домен.
Важно: Не забудьте изучить влияние, которое проверка домена может оказать на пользователей с этим доменом.
Для начала нажмите «+ Добавить домен» и введите ваш DNS:
После отправки мы предоставим вам ключ для подтверждения права собственности на ваш домен. Перейдите к вашему DNS-провайдеру и добавьте TXT-запись с предоставленным значением:
Чтобы проверка прошла успешно, ваша TXT-запись должна быть доступна через DNS-запрос.
После выполнения действия с вашим DNS-провайдером вернитесь на страницу настройки и нажмите кнопку «Проверить». Если право собственности на ваш домен было успешно подтверждено, вы увидите, что статус изменился на «Проверен».
В одном портале администратора можно добавить до 99 верифицированных доменов. Для завершения верификации домена предоставляется 7-дневный период, по истечении которого домен считается недействительным. Домен может быть верифицирован только в одном портале администратора. Если вам необходимо подтвердить тот же домен для организации или рабочей области, не входящих в ваш портал администратора, обратитесь в службу поддержки.
Настройка вашего приложения
После успешной проверки домена вы можете приступить к настройке SSO, настроив приложение IdP.
Чтобы начать, нажмите кнопку «Настроить SSO»:
Выбор вашего поставщика удостоверений
У вас есть возможность выбрать поставщика из списка самых популярных IdP с нативной поддержкой интеграций SAML. Если вы не видите ваш IdP в списке или хотите использовать подключение OIDC, вы можете нажать на соответствующую кнопку пользовательского подключения внизу:
Создать/Подключить приложение
Теперь вы можете воспользоваться пошаговым мастером конфигурации, который поможет создать и подключить ваше приложение IdP к нам. В зависимости от используемого вами IdP инструкции могут немного отличаться, но общий принцип настройки остается прежним:
Обратите внимание, что URL-адреса, предоставленные на этапе создания, будут уникальны для вашей организации:
Важно: Если вы решите сбросить исправное соединение SSO, эти значения URL изменятся. При повторной настройке SSO вам нужно будет убедиться, что вы обновили их в приложении соответствующим образом.
После завершения настройки URL вы можете перейти к определению атрибутного отображения для пользователей, аутентифицированных через ваше приложение.
Сопоставление атрибутов
Настроенное вами сопоставление атрибутов в SSO-приложении определяет, какие учетные записи OpenAI проходят аутентификацию и как пользователи отображаются в продуктах OpenAI. Наша текущая модель пользователя поддерживает три характеристики:
Адрес электронной почты (обязателен в SAML-ответе; он определяет, к какой учетной записи предоставляется доступ)
Имя (необязательно, но рекомендуется)
Фамилия (необязательно, но рекомендуется)
Примечание: мы не поддерживаем расшифровки ответов SAML. Убедитесь, что вы не шифруете ваши ответ или подтверждения, чтобы мы могли правильно идентифицировать атрибуты.
Точное сопоставление атрибутов может различаться в зависимости от вашего IdP. Мы рекомендуем придерживаться точного сопоставления, указанного для вашего IdP в мастере настройки. Например, для Okta:
Если вы замечаете, что новые пользователи авторизуются с адресами электронной почты, установленными в качестве отображаемого имени, пересмотрите сопоставление атрибутов и убедитесь, что вы не шифруете ваши ответы.
Либо, если новые пользователи получают запрос на указание своего имени и даты рождения, это, скорее всего, указывает на то, что мы не можем определить правильное значение имени из вашего ответа на атрибуты.
Смена электронной почты
В некоторых случаях адрес электронной почты пользователя в IdP необходимо обновить — например:
при смене фамилии после брака;
если компанию пользователя перекупили, и теперь используется новый домен
и т. д.
Изменение значения атрибута emailaddress в SAML-ответе SSO приводит к тому, что при успешной аутентификации используется другая учетная запись пользователя OpenAI, связанная с новым адресом электронной почты (либо создается новая, если она отсутствует). Такого пользователя необходимо пригласить в организацию или рабочую область отдельно от исходного пользователя.
Основные адреса электронной почты
В некоторых случаях у вас могут быть пользователи с несколькими разными адресами электронной почты. Это распространённая ситуация в крупных компаниях с распределёнными системами рассылки или для клиентов Edu из разных школ — например:
В такой ситуации рекомендуем убедиться, что ваш ответ SAML включает только один адрес электронной почты в атрибутах, так как наличие нескольких адресов может вызвать путаницу при попытке привязать адрес к новому или существующему пользователю.
Кроме того, если у пользователей есть статический адрес электронной почты (например, UPN), мы рекомендуем использовать в сопоставлении атрибутов его, чтобы гарантировать, что у пользователя будет стабильная учетная запись OpenAI, которая не будет затронута изменениями других адресов электронной почты.
Предоставление доступа к приложению IdP
После успешного создания сопоставления атрибутов мастер проведет вас через этапы по подготовке к работе соответствующих пользователей через нужные группы.
Рекомендуем ознакомиться с нашими рекомендациями по управлению пользователями.
Настройка метаданных IdP
На этом этапе настройки у вас будет два отдельных варианта для определения метаданных вашего IdP: динамическая конфигурация и ручная конфигурация.
Динамическая конфигурация
Это рекомендуемый и наиболее простой вариант. С динамической конфигурацией вам просто нужно предоставить URL-адрес метаданных (теперь заполненный URL SSO и идентификатором сущности, которые вы настроили ранее), связанный с вашим приложением. Мастер настройки покажет вам, где это можно найти в вашем IdP:
Ручная конфигурация
Как следует из названия, для ручной конфигурации потребуется немного больше усилий. В зависимости от вашего IdP вам потребуется ввести соответствующий URL SSO и идентификатор издателя IdP, а также сертификат x.509:
Вход, инициированный IdP
Если вы хотите, чтобы ваши пользователи могли нажимать на плитку на своей панели управления и проходить аутентификацию автоматически, вы можете настроить аутентификацию, инициируемую IdP, для вашего приложения в рамках процесса настройки. Хотя точный процесс будет варьироваться в зависимости от вашего IdP, общий процесс будет использовать предоставленный URL-адрес в следующей форме:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
Платформа API: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Например, Okta проведет вас через процесс создания нового приложения «Закладка» с этим URL-адресом:
А Entra ID позволит вам ввести предоставленный «URL-адрес для входа» в соответствующую форму:
Важно: Если вы решите сбросить исправное SSO-соединение, эти значения URL-адрес изменятся.
Это означает, что при настройке нового подключения вам также потребуется соответствующим образом обновить URL-адрес для входа, иначе пользователи не смогут пройти аутентификацию через свои плитки.
Завершение настройки
После того как вы настроите метаданные вашего IdP, вы можете нажать «Продолжить», чтобы перейти к настройке любых дополнительных приложений для закладок. Последний обязательный шаг настройки будет на странице «Тест системы единого входа»:
После нажатия «Перейти к авторизации» мастер попытается протестировать ваше новое подключение. Если все шаги выполнены успешно, SSO будет включен. Теперь на вашей странице конфигурации вы должны будете увидеть это:
Пользователи в вашей группе IdP, имеющие соответствующие учетные записи или приглашения, теперь должны иметь возможность входа в систему с помощью SSO:
Для входа пользователь переходит на chatgpt.com или platform.openai.com, ввести свой адрес электронной почты, а затем выполнить аутентификацию после того, как мы перенаправим их к соответствующему IdP
Они могут использовать URL-адрес плитки закладок, который вы (по желанию) настроили во время установки
Если вы обнаружите, что ваши пользователи не могут успешно пройти аутентификацию, и у вас возникнут трудности с отменой изменений, обратитесь в Службу поддержки для немедленного получения помощи.
Помните, что включение SSO на платформе API приводит к применению верификации домена ко всем пользователям, использующим этот домен. Это означает, что даже если пользователи не принадлежат к вашей организации на тарифном плане Enterprise, они все равно должны быть частью вашей группы IdP, чтобы получить доступ к своим личным организациям.
Устранение неполадок при входе
Если после включения SSO у вас возникают проблемы со входом в систему, ознакомьтесь с содержанием страницы Часто задаваемые вопросы и устранение неполадок, где вы можете получить помощь в выявлении распространённых ошибок. Если вы не найдете там нужного ответа, не стесняйтесь обращаться в Службу поддержки.