Förutsättningar
För att konfigurera SSO måste du:
Ha ett OpenAI-abonnemang med en global administratörskonsol
Vara global administratör
Innan du fortsätter bör du läsa vår dokumentation för SSO-översikt och användarhantering så att du är bekant med vår SSO-arkitektur.
Om du tidigare har konfigurerat SSO för en API Platform-organisation eller en ChatGPT-arbetsyta bör dina SSO-inställningar redan vara tillgängliga för konfigurering på sidan OpenAI Identity. Om arbetsytan eller organisationen som du vill aktivera SSO för inte visas i din globala administratörskonsol, kontakta support@openai.com.
⚠️ Dina användare kommer att låsas ute om SSO inte konfigureras korrekt!
En felaktig konfiguration kan leda till att dina användare låses ute från organisationer och arbetsytor där SSO är inställt som obligatoriskt. Vi rekommenderar att du som global administratör behåller SSO som valfritt i administratörsportalen.
Håll två separata inloggade fönster öppna under konfigurationen:
Ett inloggat via ett inkognitofönster
Ett inloggat via din vanliga webbläsare
Detta gör att du kan testa inloggningsprocessen och din konfiguration av SSO/domänverifiering i ett fönster och återställa ändringarna vid behov via det andra fönstret.
Testa SSO
Om du vill testa konfigurationsprocessen utan att riskera påverkan på dina användare kan du göra det via applikationen här.
Att slutföra en lyckad anslutning i den här testapplikationen kopplas inte tillbaka till din produktionsorganisation och anslutningen sparas inte heller (så att du kan återanvända samma parametrar i din produktionsinstans när du är redo). Det innebär att den är säker att använda som sandbox eller testmiljö medan du bekantar dig med kraven och arbetar igenom eventuella saknade förutsättningar.
Aktivera SSO
För att komma igång går du till sidan OpenAI Identity från den globala administratörskonsolen. Du kan också nå sidan via länken på sidan ”Identity & Provisioning” under inställningarna för ”Hantera arbetsyta” i ChatGPT eller fliken Identity i organisationsinställningarna för din API Platform-organisation.
Några av exemplen nedan visar konfigurationen i Okta, men samma logik bör vara tillämplig på alla SAML-IdP:er.
Domänverifiering
För att kunna aktivera SSO kräver vi att du först verifierar minst en domän.
Viktigt: Kom ihåg att läsa om den efterföljande påverkan som domänverifiering kan ha på användare med den domänen.
Klicka på knappen ”+ Lägg till domän” och ange din DNS för att komma igång:

När du har skickat in detta tillhandahåller vi en nyckel så att du kan verifiera att du äger domänen. Gå till din DNS-leverantör och lägg till en TXT-post med det angivna värdet:

Din TXT-post måste kunna nås via en DNS-uppslagning för att verifieringskontrollen ska lyckas.
När du har gjort detta hos din DNS-leverantör går du tillbaka till konfigurationssidan och klickar på knappen ”Kontrollera”. Om ägarskapet av din domän har validerats korrekt kommer statusen att uppdateras till ”Verifierad”.

Du kan lägga till upp till 99 verifierade domäner per administratörsportal, och du har 7 dagar på dig att slutföra verifieringskontrollen innan en domän markeras som utgången. Domäner kan bara verifieras i en enda administratörsportal. Om du behöver verifiera samma domän i en organisation eller arbetsyta som inte finns i din administratörsportal, kontakta Support.
Konfigurera din applikation
När din domän har verifierats kan du fortsätta med SSO-konfigurationen genom att konfigurera din IdP-applikation.
Klicka på knappen ”Konfigurera SSO” för att komma igång:

Välja din identitetsleverantör
Du kan välja från en lista över de mest populära IdP:erna som har inbyggt stöd för SAML-integrationer. Om du inte ser din IdP i listan, eller om du vill använda en OIDC-anslutning, kan du välja lämplig knapp för anpassad anslutning längst ned:

Skapa/ansluta applikationen
Nu kan du följa den stegvisa konfigurationsguiden som hjälper dig att skapa och ansluta din IdP-applikation till oss. Beroende på vilken IdP du använder kan instruktionerna variera något, men den allmänna konfigurationen är densamma:

Observera att de URL:er som tillhandahålls i skapelsesteget är unika för din organisation:

Viktigt: Om du väljer att återställa en fungerande SSO-anslutning kommer dessa URL-värden att ändras. När du konfigurerar SSO igen måste du se till att uppdatera dem i din applikation.
När du har slutfört URL-konfigurationen kan du gå vidare till att definiera attributmappningen för användare som autentiseras via din applikation.
Attributmappning
Den attributmappning som du definierar i din SSO-applikation avgör i slutändan vilka OpenAI-konton som autentiseras och hur dina användare visas i OpenAI-produkter. Vår nuvarande användarmodell stöder tre egenskaper:
E-postadress (krävs i SAML-svaret, avgör vilket konto som används)
Förnamn (valfritt, men rekommenderas)
Efternamn (valfritt, men rekommenderas)
Obs! Vi stöder inte dekryptering av SAML-svar. Se till att du inte krypterar ditt svar eller ditt assertion för att säkerställa att vi kan identifiera attributen korrekt.
Beroende på din IdP kommer den exakta attributmappningen att variera. Vi rekommenderar att du följer exakt den mappning som visas för din IdP i konfigurationsguiden, t.ex. skulle Okta vara:

Om du ser att nya användare kommer in med sina e-postadresser angivna som sitt visningsnamn bör du granska din attributmappning och bekräfta att du inte krypterar dina svar.
Om nya användare i stället ombeds ange sitt namn och födelsedatum tyder det sannolikt på att vi inte identifierar ett korrekt namnvärde från ditt attributsvar.
Ändringar av e-postadress
Ibland kan en användares e-postadress uppdateras i din IdP, t.ex.
Ett juridiskt namnbyte efter giftermål
Företaget köptes upp och de har en ny domän
etc.
Om detta ändrar värdet för emailaddress-anspråket i SSO SAMLResponse kommer en annan OpenAI-användare som är kopplad till den nya e-postadressen att användas (och skapas om den inte redan finns) vid lyckad SSO. Den här användaren måste bjudas in till organisationen eller arbetsytan separat från den ursprungliga användaren.
Primära e-postadresser
I vissa fall kan du ha användare med flera olika e-postadresser. Det här är ett vanligt scenario i större företag med distribuerade postsystem eller för Edu-kunder med olika skolor, t.ex.
I den här situationen rekommenderar vi att du ser till att ditt SAML-svar bara innehåller en enda e-postadress i sina attribut, eftersom flera e-postadresser kan orsaka förvirring när vi försöker koppla det till en ny eller befintlig användare.
Om användarna dessutom har en statisk e-postadress (t.ex. en UPN) rekommenderar vi att du använder denna i din attributmappning för att säkerställa att de får ett stabilt OpenAI-användarkonto som inte påverkas när deras andra e-postadresser ändras.
Ge åtkomst till IdP-applikationen
När du har skapat din attributmappning guidar guiden dig genom stegen för att ge åtkomst till rätt användare via de önskade grupperna.
Läs våra rekommendationer om användarhantering för bästa praxis.
Ange IdP-metadata
Vid den här punkten i konfigurationen har du två separata alternativ för att definiera metadata för din IdP: dynamisk konfiguration och manuell konfiguration.
Dynamisk konfiguration
Detta är det rekommenderade och enklaste alternativet. Med dynamisk konfiguration behöver du bara ange metadata-URL:en (som nu fylls i av den SSO-URL och det Entity ID som du konfigurerade tidigare) som är kopplad till din applikation. Konfigurationsguiden visar var du hittar detta i din IdP:

Manuell konfiguration
Som namnet antyder kräver manuell konfiguration lite mer arbete. Beroende på din IdP behöver du ange motsvarande SSO-URL och IdP-utfärdare tillsammans med ett x.509-certifikat:

IdP-initierad inloggning
Om du vill att dina användare ska kunna klicka på en bricka på sin instrumentpanel och autentiseras automatiskt kan du konfigurera IdP-initierad autentisering till din applikation som en del av konfigurationsprocessen. Även om den exakta processen varierar beroende på din IdP används i allmänhet en angiven URL i formatet:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Som exempel guidar Okta dig genom att skapa en ny bokmärkesapplikation med denna URL:

Medan Entra ID låter dig ange den tillhandahållna ”Sign on URL” i rätt formulär:

Viktigt: Om du väljer att återställa en fungerande SSO-anslutning kommer dessa URL-värden att ändras.
Det innebär att när du konfigurerar den nya anslutningen måste du också uppdatera din inloggnings-URL, annars kommer användarna inte att kunna autentisera sig via sina panelbrickor.
Slutföra konfigurationen
När du har konfigurerat metadata för din IdP kan du klicka på ”Fortsätt” för att gå vidare med att konfigurera eventuella valfria bokmärkesappar. Det sista obligatoriska konfigurationssteget sker på sidan ”Testa Single Sign-On”:

När du klickar på ”Fortsätt till inloggning” försöker guiden testa din nya anslutning. Om allt lyckas har du i praktiken aktiverat SSO. Du bör nu se detta på din konfigurationssida:


Användare i din IdP-grupp med motsvarande konton eller inbjudningar bör nu kunna logga in med SSO:
De kan gå till chatgpt.com eller platform.openai.com, ange sin e-postadress och sedan autentisera sig efter att vi skickat dem vidare till deras IdP
De kan använda URL:en för bokmärkesbrickan som du (valfritt) konfigurerade under installationen
Om du upptäcker att dina användare inte kan autentisera sig korrekt och du får problem med att återställa ändringarna, kontakta Support omedelbart för hjälp.
Kom ihåg att aktivering av SSO på API Platform tillämpar domänverifieringen på alla användare med den domänen. Det innebär att även om användarna inte tillhör din Enterprise-organisation måste de fortfarande ingå i din IdP-grupp för att få åtkomst till sina personliga organisationer.
Felsöka inloggningar
Om du efter att ha aktiverat SSO stöter på problem med att logga in kan du läsa vår sida för vanliga frågor och felsökning för hjälp med att identifiera vanliga fel. Om du inte hittar ett tillräckligt svar där, tveka inte att kontakta Support.
