OpenAI
Den här sidan har maskinöversatts. Visa den ursprungliga engelska artikeln.

Konfigurera SSO

Det här dokumentet går igenom hur du konfigurerar SSO för ChatGPT och API Platform

Uppdaterades: 14 days ago

Förutsättningar

För att konfigurera SSO måste du:

  1. Ha ett OpenAI-abonnemang med en global administratörskonsol

  2. Vara global administratör

Innan du fortsätter bör du läsa vår dokumentation för SSO-översikt och användarhantering så att du är bekant med vår SSO-arkitektur.

Om du tidigare har konfigurerat SSO för en API Platform-organisation eller en ChatGPT-arbetsyta bör dina SSO-inställningar redan vara tillgängliga för konfigurering på sidan OpenAI Identity. Om arbetsytan eller organisationen som du vill aktivera SSO för inte visas i din globala administratörskonsol, kontakta support@openai.com.

⚠️ Dina användare kommer att låsas ute om SSO inte konfigureras korrekt!

En felaktig konfiguration kan leda till att dina användare låses ute från organisationer och arbetsytor där SSO är inställt som obligatoriskt. Vi rekommenderar att du som global administratör behåller SSO som valfritt i administratörsportalen.

Håll två separata inloggade fönster öppna under konfigurationen:

  1. Ett inloggat via ett inkognitofönster

  2. Ett inloggat via din vanliga webbläsare

Detta gör att du kan testa inloggningsprocessen och din konfiguration av SSO/domänverifiering i ett fönster och återställa ändringarna vid behov via det andra fönstret.

Testa SSO

Om du vill testa konfigurationsprocessen utan att riskera påverkan på dina användare kan du göra det via applikationen här.

Att slutföra en lyckad anslutning i den här testapplikationen kopplas inte tillbaka till din produktionsorganisation och anslutningen sparas inte heller (så att du kan återanvända samma parametrar i din produktionsinstans när du är redo). Det innebär att den är säker att använda som sandbox eller testmiljö medan du bekantar dig med kraven och arbetar igenom eventuella saknade förutsättningar.

Aktivera SSO

För att komma igång går du till sidan OpenAI Identity från den globala administratörskonsolen. Du kan också nå sidan via länken på sidan ”Identity & Provisioning” under inställningarna för ”Hantera arbetsyta” i ChatGPT eller fliken Identity i organisationsinställningarna för din API Platform-organisation.

Några av exemplen nedan visar konfigurationen i Okta, men samma logik bör vara tillämplig på alla SAML-IdP:er.

Domänverifiering

För att kunna aktivera SSO kräver vi att du först verifierar minst en domän.

Viktigt: Kom ihåg att läsa om den efterföljande påverkan som domänverifiering kan ha på användare med den domänen.

Klicka på knappen ”+ Lägg till domän” och ange din DNS för att komma igång:

Verify a new domain dialog with example.com entered and Submit available

När du har skickat in detta tillhandahåller vi en nyckel så att du kan verifiera att du äger domänen. Gå till din DNS-leverantör och lägg till en TXT-post med det angivna värdet:

Image

Din TXT-post måste kunna nås via en DNS-uppslagning för att verifieringskontrollen ska lyckas.

När du har gjort detta hos din DNS-leverantör går du tillbaka till konfigurationssidan och klickar på knappen ”Kontrollera”. Om ägarskapet av din domän har validerats korrekt kommer statusen att uppdateras till ”Verifierad”.

Domain management page with company.abc listed as Verified

Du kan lägga till upp till 99 verifierade domäner per administratörsportal, och du har 7 dagar på dig att slutföra verifieringskontrollen innan en domän markeras som utgången. Domäner kan bara verifieras i en enda administratörsportal. Om du behöver verifiera samma domän i en organisation eller arbetsyta som inte finns i din administratörsportal, kontakta Support.

Konfigurera din applikation

När din domän har verifierats kan du fortsätta med SSO-konfigurationen genom att konfigurera din IdP-applikation.

Klicka på knappen ”Konfigurera SSO” för att komma igång:

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Välja din identitetsleverantör

Du kan välja från en lista över de mest populära IdP:erna som har inbyggt stöd för SAML-integrationer. Om du inte ser din IdP i listan, eller om du vill använda en OIDC-anslutning, kan du välja lämplig knapp för anpassad anslutning längst ned:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Skapa/ansluta applikationen

Nu kan du följa den stegvisa konfigurationsguiden som hjälper dig att skapa och ansluta din IdP-applikation till oss. Beroende på vilken IdP du använder kan instruktionerna variera något, men den allmänna konfigurationen är densamma:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Observera att de URL:er som tillhandahålls i skapelsesteget är unika för din organisation:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Viktigt: Om du väljer att återställa en fungerande SSO-anslutning kommer dessa URL-värden att ändras. När du konfigurerar SSO igen måste du se till att uppdatera dem i din applikation.

När du har slutfört URL-konfigurationen kan du gå vidare till att definiera attributmappningen för användare som autentiseras via din applikation.

Attributmappning

Den attributmappning som du definierar i din SSO-applikation avgör i slutändan vilka OpenAI-konton som autentiseras och hur dina användare visas i OpenAI-produkter. Vår nuvarande användarmodell stöder tre egenskaper:

  1. E-postadress (krävs i SAML-svaret, avgör vilket konto som används)

  2. Förnamn (valfritt, men rekommenderas)

  3. Efternamn (valfritt, men rekommenderas)

Obs! Vi stöder inte dekryptering av SAML-svar. Se till att du inte krypterar ditt svar eller ditt assertion för att säkerställa att vi kan identifiera attributen korrekt.

Beroende på din IdP kommer den exakta attributmappningen att variera. Vi rekommenderar att du följer exakt den mappning som visas för din IdP i konfigurationsguiden, t.ex. skulle Okta vara:

Image

Om du ser att nya användare kommer in med sina e-postadresser angivna som sitt visningsnamn bör du granska din attributmappning och bekräfta att du inte krypterar dina svar.

Om nya användare i stället ombeds ange sitt namn och födelsedatum tyder det sannolikt på att vi inte identifierar ett korrekt namnvärde från ditt attributsvar.

Ändringar av e-postadress

Ibland kan en användares e-postadress uppdateras i din IdP, t.ex.

  • Ett juridiskt namnbyte efter giftermål

  • Företaget köptes upp och de har en ny domän

  • etc.

Om detta ändrar värdet för emailaddress-anspråket i SSO SAMLResponse kommer en annan OpenAI-användare som är kopplad till den nya e-postadressen att användas (och skapas om den inte redan finns) vid lyckad SSO. Den här användaren måste bjudas in till organisationen eller arbetsytan separat från den ursprungliga användaren.

Primära e-postadresser

I vissa fall kan du ha användare med flera olika e-postadresser. Det här är ett vanligt scenario i större företag med distribuerade postsystem eller för Edu-kunder med olika skolor, t.ex.

I den här situationen rekommenderar vi att du ser till att ditt SAML-svar bara innehåller en enda e-postadress i sina attribut, eftersom flera e-postadresser kan orsaka förvirring när vi försöker koppla det till en ny eller befintlig användare.

Om användarna dessutom har en statisk e-postadress (t.ex. en UPN) rekommenderar vi att du använder denna i din attributmappning för att säkerställa att de får ett stabilt OpenAI-användarkonto som inte påverkas när deras andra e-postadresser ändras.

Ge åtkomst till IdP-applikationen

När du har skapat din attributmappning guidar guiden dig genom stegen för att ge åtkomst till rätt användare via de önskade grupperna.

Läs våra rekommendationer om användarhantering för bästa praxis.

Ange IdP-metadata

Vid den här punkten i konfigurationen har du två separata alternativ för att definiera metadata för din IdP: dynamisk konfiguration och manuell konfiguration.

Dynamisk konfiguration

Detta är det rekommenderade och enklaste alternativet. Med dynamisk konfiguration behöver du bara ange metadata-URL:en (som nu fylls i av den SSO-URL och det Entity ID som du konfigurerade tidigare) som är kopplad till din applikation. Konfigurationsguiden visar var du hittar detta i din IdP:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Manuell konfiguration

Som namnet antyder kräver manuell konfiguration lite mer arbete. Beroende på din IdP behöver du ange motsvarande SSO-URL och IdP-utfärdare tillsammans med ett x.509-certifikat:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

IdP-initierad inloggning

Om du vill att dina användare ska kunna klicka på en bricka på sin instrumentpanel och autentiseras automatiskt kan du konfigurera IdP-initierad autentisering till din applikation som en del av konfigurationsprocessen. Även om den exakta processen varierar beroende på din IdP används i allmänhet en angiven URL i formatet:

Som exempel guidar Okta dig genom att skapa en ny bokmärkesapplikation med denna URL:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Medan Entra ID låter dig ange den tillhandahållna ”Sign on URL” i rätt formulär:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Viktigt: Om du väljer att återställa en fungerande SSO-anslutning kommer dessa URL-värden att ändras.

Det innebär att när du konfigurerar den nya anslutningen måste du också uppdatera din inloggnings-URL, annars kommer användarna inte att kunna autentisera sig via sina panelbrickor.

Slutföra konfigurationen

När du har konfigurerat metadata för din IdP kan du klicka på ”Fortsätt” för att gå vidare med att konfigurera eventuella valfria bokmärkesappar. Det sista obligatoriska konfigurationssteget sker på sidan ”Testa Single Sign-On”:

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

När du klickar på ”Fortsätt till inloggning” försöker guiden testa din nya anslutning. Om allt lyckas har du i praktiken aktiverat SSO. Du bör nu se detta på din konfigurationssida:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Användare i din IdP-grupp med motsvarande konton eller inbjudningar bör nu kunna logga in med SSO:

  • De kan gå till chatgpt.com eller platform.openai.com, ange sin e-postadress och sedan autentisera sig efter att vi skickat dem vidare till deras IdP

  • De kan använda URL:en för bokmärkesbrickan som du (valfritt) konfigurerade under installationen

Om du upptäcker att dina användare inte kan autentisera sig korrekt och du får problem med att återställa ändringarna, kontakta Support omedelbart för hjälp.

Kom ihåg att aktivering av SSO på API Platform tillämpar domänverifieringen på alla användare med den domänen. Det innebär att även om användarna inte tillhör din Enterprise-organisation måste de fortfarande ingå i din IdP-grupp för att få åtkomst till sina personliga organisationer.

Felsöka inloggningar

Om du efter att ha aktiverat SSO stöter på problem med att logga in kan du läsa vår sida för vanliga frågor och felsökning för hjälp med att identifiera vanliga fel. Om du inte hittar ett tillräckligt svar där, tveka inte att kontakta Support.

Var den här artikeln till hjälp?