Predpoklady
Ak chcete nastaviť SSO, musíte:
Mať plán OpenAI s globálnou konzolou správcu
Byť globálnym správcom
Pred pokračovaním si pozrite naše stránky dokumentácie Prehľad SSO a Správa používateľov, aby ste sa oboznámili s architektúrou nášho SSO.
Ak ste už predtým nakonfigurovali SSO pre organizáciu API Platform alebo pracovný priestor ChatGPT, vaše nastavenia SSO by už mali byť dostupné na konfiguráciu na stránke OpenAI Identity. Ak sa pracovný priestor alebo organizácia, pre ktoré chcete povoliť SSO, vo vašej globálnej konzole správcu nezobrazujú, kontaktujte support@openai.com.
⚠️ Vaši používatelia budú zablokovaní, ak SSO nebude nastavené správne!
Nesprávne nastavenie môže viesť k tomu, že vaši používatelia budú zablokovaní z organizácií a pracovných priestorov, kde je SSO nastavené ako povinné. Odporúčame, aby ste vy ako globálny správca ponechali SSO v admin portáli ako voliteľné.
Počas nastavenia majte otvorené dve samostatné prihlásené okná:
Jedno prihlásené cez anonymné okno
Jedno prihlásené cez váš štandardný prehliadač
To vám umožní otestovať proces prihlásenia a nastavenie SSO/overenia domény v jednom okne a v prípade potreby vrátiť zmeny späť cez druhé okno.
Testovanie SSO
Ak chcete otestovať proces nastavenia bez rizika vplyvu na vašich používateľov, môžete to urobiť prostredníctvom aplikácie tu.
Úspešné dokončenie pripojenia v tejto testovacej aplikácii nebude prepojené s vašou produkčnou organizáciou ani sa pripojenie neuloží (takže po pripravenosti môžete rovnaké parametre použiť vo svojej produkčnej inštancii). To znamená, že ju môžete bezpečne používať ako sandbox alebo testovacie prostredie, kým sa oboznámite s požiadavkami a vyriešite chýbajúce predpoklady.
Povolenie SSO
Ak chcete začať, prejdite zo globálnej konzoly správcu na stránku OpenAI Identity. Na túto stránku sa dostanete aj z odkazu na stránke „Identity & Provisioning“ v nastaveniach „Manage Workspace“ v ChatGPT alebo z karty Identity v nastaveniach vašej organizácie API Platform.
Niektoré z príkladov nižšie ukazujú nastavenie v Okta, ale rovnaká logika by mala platiť pre všetky SAML IdP.
Overenie domény
Na povolenie SSO vyžadujeme, aby ste najprv overili aspoň jednu doménu.
Dôležité: Nezabudnite si pozrieť následný vplyv, ktorý môže mať overenie domény na používateľov s touto doménou.
Kliknite na tlačidlo „+ Add Domain“ a začnite zadaním svojho DNS:
Po odoslaní vám poskytneme kľúč na overenie vlastníctva vašej domény. Prejdite k svojmu poskytovateľovi DNS a pridajte záznam TXT s poskytnutou hodnotou:
Aby kontrola overenia prebehla úspešne, váš záznam TXT musí byť dostupný cez DNS lookup.
Po dokončení tohto kroku u svojho poskytovateľa DNS sa vráťte na stránku nastavenia a kliknite na tlačidlo „Check“. Ak sa vlastníctvo vašej domény úspešne overilo, stav sa aktualizuje na „Verified“.
Do jedného admin portálu môžete pridať až 99 overených domén a na dokončenie overenia máte 7 dní, potom doménu označíme ako expirovanú. Domény možno overiť iba v jednom admin portáli. Ak potrebujete overiť tú istú doménu pre organizáciu alebo pracovný priestor mimo vášho admin portálu, kontaktujte podporu.
Konfigurácia vašej aplikácie
Po úspešnom overení domény môžete pokračovať v nastavení SSO konfiguráciou aplikácie vášho IdP.
Začnite kliknutím na tlačidlo „Set up SSO“:
Výber poskytovateľa identity
Máte možnosť vybrať si zo zoznamu najpopulárnejších IdP, ktoré natívne podporujú integrácie SAML. Ak svoj IdP v zozname nevidíte alebo ak chcete použiť pripojenie OIDC, môžete si zvoliť príslušné tlačidlo vlastného pripojenia zobrazené dole:
Vytvorenie/pripojenie aplikácie
Teraz môžete postupovať podľa sprievodcu konfiguráciou krok za krokom, ktorý vám pomôže vytvoriť a prepojiť vašu aplikáciu IdP s nami. V závislosti od IdP, ktorý používate, sa pokyny môžu mierne líšiť, ale všeobecné nastavenie zostáva rovnaké:
Upozorňujeme, že URL adresy poskytnuté v kroku vytvárania budú jedinečné pre vašu organizáciu:
Dôležité: Ak sa rozhodnete resetovať fungujúce pripojenie SSO, tieto hodnoty URL sa zmenia. Pri opätovnom nastavovaní SSO ich budete musieť vo svojej aplikácii zodpovedajúcim spôsobom aktualizovať.
Po dokončení nastavenia URL môžete pokračovať definovaním mapovania atribútov pre používateľov autentifikovaných prostredníctvom vašej aplikácie.
Mapovanie atribútov
Mapovanie atribútov, ktoré definujete vo svojej aplikácii SSO, napokon určuje, ktoré účty OpenAI sa autentifikujú a ako sa vaši používatelia zobrazujú v produktoch OpenAI. Náš aktuálny používateľský model podporuje tri vlastnosti:
E-mailová adresa (povinná v odpovedi SAML, určuje, ku ktorému účtu sa pristupuje)
Meno (voliteľné, ale odporúčané)
Priezvisko (voliteľné, ale odporúčané)
Poznámka: Dešifrovanie odpovedí SAML nepodporujeme. Uistite sa, že svoju odpoveď ani assertion nešifrujete, aby sme mohli správne identifikovať atribúty.
V závislosti od vášho IdP sa presné mapovanie atribútov bude líšiť. Odporúčame držať sa presného mapovania zobrazeného pre váš IdP v sprievodcovi nastavením, napr. pre Okta by to bolo:
Ak vidíte, že noví používatelia prichádzajú s e-mailovými adresami nastavenými na ich zobrazované meno, skontrolujte mapovanie atribútov a overte, že svoje odpovede nešifrujete.
Ak sú noví používatelia namiesto toho vyzvaní na zadanie mena a dátumu narodenia, pravdepodobne to znamená, že z vašej odpovede atribútov neidentifikujeme správnu hodnotu mena.
Zmeny e-mailu
Príležitostne sa môže v vašom IdP aktualizovať e-mailová adresa používateľa, napr.
Zmena zákonného mena po svadbe
Ich spoločnosť bola odkúpená a majú novú doménu
atď.
Ak to zmení hodnotu nároku emailaddress v SAMLResponse pre SSO, po úspešnom SSO sa sprístupní iný používateľ OpenAI viazaný na novú e-mailovú adresu (a vytvorí sa, ak predtým neexistoval). Tohto používateľa bude potrebné pozvať do organizácie alebo pracovného priestoru samostatne od pôvodného používateľa.
Primárne e-mailové adresy
V niektorých prípadoch môžete mať používateľov s viacerými rôznymi e-mailovými adresami. Toto je bežný scenár vo väčších spoločnostiach s distribuovanými poštovými systémami alebo u zákazníkov Edu s rôznymi školami, napr.
V tejto situácii odporúčame zabezpečiť, aby vaša odpoveď SAML obsahovala vo svojich atribútoch iba jednu e-mailovú adresu, pretože zahrnutie viacerých e-mailov môže spôsobiť zmätok pri pokuse prepojiť ju s novým alebo existujúcim používateľom.
Okrem toho, ak majú používatelia statickú e-mailovú adresu (napr. UPN), odporúčame ju použiť v mapovaní atribútov, aby mali stabilný používateľský účet OpenAI, ktorý nebude ovplyvnený pri zmene ich iných e-mailových adries.
Zriadenie prístupu k aplikácii IdP
Keď úspešne vytvoríte mapovanie atribútov, sprievodca vás prevedie krokmi na zriadenie prístupu pre príslušných používateľov prostredníctvom požadovaných skupín.
Pozrite si naše odporúčania pre správu používateľov, kde nájdete osvedčené postupy.
Nastavenie metadát IdP
V tomto bode nastavenia máte dve samostatné možnosti definovania metadát vášho IdP: dynamickú konfiguráciu a manuálnu konfiguráciu.
Dynamická konfigurácia
Toto je odporúčaná a najjednoduchšia možnosť. Pri dynamickej konfigurácii stačí zadať URL metadát (teraz vyplnenú URL SSO a ID entity, ktoré ste nakonfigurovali skôr) priradenú k vašej aplikácii. Sprievodca nastavením vám ukáže, kde to vo svojom IdP nájdete:
Manuálna konfigurácia
Ako už názov napovedá, manuálna konfigurácia vyžaduje o niečo viac práce. V závislosti od vášho IdP budete musieť zadať príslušnú URL SSO a vydavateľa IdP spolu s certifikátom x.509:
Prihlásenie iniciované IdP
Ak chcete, aby vaši používatelia mohli kliknúť na dlaždicu na svojom paneli a boli automaticky autentifikovaní, môžete v rámci procesu nastavenia nakonfigurovať autentifikáciu iniciovanú IdP pre svoju aplikáciu. Hoci sa presný postup bude líšiť v závislosti od vášho IdP, všeobecný proces využije poskytnutú URL v tvare:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Napríklad Okta vás prevedie vytvorením novej aplikácie Bookmark s touto URL:
Kým Entra ID vám umožní zadať poskytnutú „Sign on URL“ do príslušného formulára:
Dôležité: Ak sa rozhodnete resetovať fungujúce pripojenie SSO, tieto hodnoty URL sa zmenia.
To znamená, že pri konfigurácii nového pripojenia budete musieť zodpovedajúcim spôsobom aktualizovať aj svoju prihlasovaciu URL, inak sa používatelia nebudú môcť autentifikovať cez svoje dlaždice.
Dokončenie nastavenia
Po nakonfigurovaní metadát vášho IdP môžete kliknúť na „Continue“ a pokračovať v nastavení voliteľných aplikácií záložiek. Posledný povinný krok konfigurácie bude na stránke „Test Single Sign-On“:
Po kliknutí na „Continue to sign-in“ sa sprievodca pokúsi otestovať vaše nové pripojenie. Ak bude všetko úspešné, SSO bude efektívne povolené. Na stránke konfigurácie by sa to teraz malo zobraziť takto:
Používatelia vo vašej skupine IdP so zodpovedajúcimi účtami alebo pozvánkami by sa teraz mali vedieť prihlásiť pomocou SSO:
Môžu prejsť na chatgpt.com alebo platform.openai.com, zadať svoj e-mail a potom sa autentifikovať po tom, ako ich presmerujeme na ich IdP
Môžu použiť URL dlaždice záložky, ktorú ste (voliteľne) nakonfigurovali počas nastavenia
Ak zistíte, že sa vaši používatelia nedokážu úspešne autentifikovať a máte problémy s vrátením zmien späť, okamžite kontaktujte podporu.
Nezabudnite, že povolenie SSO na API Platform uplatní overenie domény na všetkých používateľov s touto doménou. To znamená, že aj keď používatelia nepatria do vašej organizácie Enterprise, stále budú musieť byť súčasťou vašej skupiny IdP, aby mali prístup k svojim osobným organizáciám.
Riešenie problémov s prihlásením
Ak po povolení SSO narazíte na problémy s prihlásením, môžete si pozrieť našu stránku Časté otázky a riešenie problémov, kde nájdete pomoc pri identifikácii bežných chýb. Ak tam nenájdete dostatočnú odpoveď, neváhajte kontaktovať podporu.