OpenAI
หน้านี้แปลด้วยระบบอัตโนมัติ ดูต้นฉบับภาษาอังกฤษ.

การกำหนดค่า SSO สำหรับ API Platform

เอกสารนี้อธิบายขั้นตอนการกำหนดค่า SSO สำหรับองค์กร API Platform และผู้ใช้ขององค์กร

อัปเดตล่าสุด: 3 days ago

เอกสารนี้จะแทนที่เอกสาร Platform SSO ฉบับปัจจุบันของเราที่นี่

ข้อกำหนดเบื้องต้น

ในการตั้งค่า SSO คุณต้อง:

  1. มีองค์กร API Platform ที่ใช้แผนเรียกเก็บเงินแบบ Custom/Enterprise

  2. เป็นเจ้าของในองค์กรนี้

  3. มีโดเมนที่ยืนยันแล้วอย่างน้อยหนึ่งโดเมน

ก่อนดำเนินการต่อ โปรดอ่านเอกสาร ภาพรวม SSO และ การจัดการผู้ใช้ ของเรา เพื่อให้แน่ใจว่าคุณคุ้นเคยกับสถาปัตยกรรม SSO ของเรา

หากคุณเพิ่งซื้อไลเซนส์ Enterprise ChatGPT และต้องการกำหนดค่า SSO บนเวิร์กสเปซ ChatGPT โปรดทำตามคำแนะนำที่นี่

หากก่อนหน้านี้คุณได้กำหนดค่า SSO บนเวิร์กสเปซ Enterprise ChatGPT ของคุณไว้แล้ว การตั้งค่า SSO ของคุณควรถูกย้ายมาและน่าจะเปิดใช้งานอยู่แล้ว ในกรณีนี้ คุณจะเห็นฟิลด์ต่างๆ ถูกกรอกไว้ล่วงหน้าบนหน้า API Platform Identity ของคุณ และคุณเพียงต้องตรวจสอบให้แน่ใจว่าปุ่ม "Single Sign On" ถูกเปิดไว้สำหรับองค์กร

⚠️ คุณและผู้ใช้ทั้งหมดของคุณจะถูกล็อกออก หากตั้งค่า SSO ไม่ถูกต้อง!

การตั้งค่าที่ไม่ถูกต้องอาจทำให้คุณและผู้ใช้ทั้งหมดของคุณถูกล็อกออก เราแนะนำให้คุณในฐานะเจ้าของเวิร์กสเปซ เปิดหน้าต่างที่ล็อกอินอยู่ไว้สองหน้าต่างแยกกัน:

  1. หน้าต่างหนึ่งล็อกอินผ่านหน้าต่างไม่ระบุตัวตน

  2. อีกหน้าต่างหนึ่งล็อกอินผ่านเบราว์เซอร์ปกติของคุณ

วิธีนี้ช่วยให้คุณทดสอบขั้นตอนการเข้าสู่ระบบและการตั้งค่า SSO/การยืนยันโดเมนของคุณในหน้าต่างหนึ่ง และย้อนกลับการเปลี่ยนแปลงได้หากจำเป็นผ่านอีกหน้าต่างหนึ่ง

การทดสอบ SSO

หากคุณต้องการทดสอบขั้นตอนการตั้งค่าโดยไม่เสี่ยงกระทบต่อองค์กร Enterprise ของคุณ คุณสามารถทำได้ผ่านแอปพลิเคชันที่นี่

การเชื่อมต่อสำเร็จบนแอปพลิเคชันทดสอบนี้จะไม่ผูกกับ org production ของคุณ และจะไม่บันทึกการเชื่อมต่อไว้ (ดังนั้นคุณจึงสามารถนำพารามิเตอร์เดิมไปใช้ซ้ำใน org Enterprise ของคุณได้เมื่อพร้อม) ซึ่งหมายความว่าปลอดภัยที่จะใช้เป็น sandbox หรือพื้นที่ทดลองขณะทำความคุ้นเคยกับข้อกำหนดและตรวจสอบข้อกำหนดเบื้องต้นที่อาจยังขาดอยู่

การเปิดใช้งาน SSO

เริ่มต้นโดยไปที่หน้า "Identity" ภายใต้การตั้งค่า Organization ของคุณ

หากลิงก์นี้ไม่สามารถเปิดได้สำหรับคุณ เป็นไปได้ว่า Organization ของคุณยังไม่ได้รับการกำหนดค่าอย่างถูกต้อง หรือบัญชีผู้ใช้ของคุณไม่มีสิทธิ์ที่ถูกต้อง หากคุณเชื่อว่าไม่ควรเป็นเช่นนั้น โปรดติดต่อทีม Support เพื่อขอความช่วยเหลือ

การยืนยันโดเมน

ในการเปิดใช้งาน SSO เรากำหนดให้คุณต้องยืนยันอย่างน้อยหนึ่งโดเมนก่อน

สำคัญ: โปรดอย่าลืมตรวจสอบผลกระทบปลายน้ำที่การยืนยันโดเมนอาจมีต่อผู้ใช้ที่ใช้โดเมนนั้นเมื่อเปิดใช้งาน SSO แล้ว

คลิกปุ่ม "+ Add Domain" แล้วป้อน DNS ของคุณเพื่อเริ่มต้น:

Verify a new domain dialog with example.com entered and Submit available

เมื่อส่งแล้ว เราจะให้คีย์สำหรับยืนยันความเป็นเจ้าของโดเมนของคุณ ไปที่ผู้ให้บริการ DNS ของคุณ แล้วเพิ่มระเบียน TXT ด้วยค่าที่ให้มา:

Manage Domain dialog with a TXT record value to add in DNS and a Check button to verify ownership

ระเบียน TXT ของคุณต้องเข้าถึงได้ผ่านการค้นหา DNS เพื่อให้การตรวจสอบยืนยันสำเร็จ

หลังจากดำเนินการเสร็จสิ้นในผู้ให้บริการ DNS ของคุณแล้ว ให้กลับไปที่หน้าตั้งค่าและคลิกปุ่ม "Check" หากยืนยันความเป็นเจ้าของโดเมนของคุณสำเร็จ คุณจะเห็นสถานะอัปเดตเป็น "Verified"

Domain management entry with company.abc marked Verified

คุณสามารถเพิ่มโดเมนที่ยืนยันแล้วได้สูงสุด 99 โดเมนต่อ organization-id และเราจะให้เวลา 7 วันแก่คุณในการตรวจสอบยืนยันให้เสร็จก่อนทำเครื่องหมายว่าโดเมนหมดอายุ

โดยค่าเริ่มต้น โดเมนจะถูกยืนยันให้กับองค์กรเดียว อย่างไรก็ตาม ในการตั้งค่าที่รองรับการยืนยันโดเมนหลายองค์กร (เช่น เมื่อเปิดใช้การรองรับ multi-org/multi-domain) โดเมนเดียวกันอาจได้รับการยืนยันข้ามหลายองค์กรได้ หากคุณไม่แน่ใจว่าการตั้งค่าของคุณรองรับสิ่งนี้หรือไม่ โปรดติดต่อ Support

การกำหนดค่าแอปพลิเคชันของคุณ

หลังจากยืนยันโดเมนของคุณสำเร็จแล้ว คุณสามารถดำเนินการตั้งค่า SSO ต่อได้โดยกำหนดค่าแอปพลิเคชัน IdP ของคุณ

เริ่มต้นโดยคลิกปุ่ม "Manage Single Sign On":

OpenAI admin security settings with a verified domain and Single Sign On not configured

การเลือกผู้ให้บริการข้อมูลประจำตัวของคุณ

คุณสามารถเลือกจากรายการ IdP ที่ได้รับความนิยมสูงสุดซึ่งรองรับการผสานรวม SAML แบบเนทีฟได้ หากคุณไม่เห็น IdP ของคุณในรายการ หรือหากคุณต้องการใช้การเชื่อมต่อ OIDC คุณสามารถเลือกปุ่มการเชื่อมต่อ Custom ที่เหมาะสมซึ่งแสดงอยู่ด้านล่าง:

Image

การสร้าง/เชื่อมต่อแอปพลิเคชัน

ตอนนี้คุณสามารถทำตามวิซาร์ดการกำหนดค่าแบบทีละขั้นตอนเพื่อช่วยสร้างและเชื่อมต่อแอปพลิเคชัน IdP ของคุณกับเราได้ คำแนะนำอาจแตกต่างกันเล็กน้อยขึ้นอยู่กับ IdP ที่คุณใช้ แต่การตั้งค่าโดยรวมยังคงเหมือนเดิม:

Image

โปรดทราบว่า URL ที่ให้ไว้ในขั้นตอนการสร้างจะไม่ซ้ำกันสำหรับองค์กรของคุณ:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

สำคัญ: หากคุณเลือกรีเซ็ตการเชื่อมต่อ SSO ที่ใช้งานได้อยู่ ค่า URL เหล่านี้จะเปลี่ยนไป เมื่อตั้งค่า SSO อีกครั้ง คุณจะต้องตรวจสอบให้แน่ใจว่าได้อัปเดตค่าเหล่านี้ในแอปพลิเคชันของคุณให้สอดคล้องกัน

เมื่อคุณตั้งค่า URL เสร็จแล้ว คุณสามารถไปต่อที่การกำหนดการแมปแอตทริบิวต์สำหรับผู้ใช้ที่ยืนยันตัวตนผ่านแอปพลิเคชันของคุณ

การแมปแอตทริบิวต์

การแมปแอตทริบิวต์ที่คุณกำหนดในแอปพลิเคชันของคุณจะเป็นตัวกำหนดท้ายที่สุดว่าผู้ใช้ของคุณถูกสร้างขึ้น/ปรากฏอย่างไรใน API Platform โมเดลผู้ใช้ปัจจุบันของเรารองรับ 3 คุณสมบัติ:

  1. ที่อยู่อีเมล (ต้องมีใน SAML response)

  2. ชื่อ (ไม่บังคับ แต่แนะนำ)

  3. นามสกุล (ไม่บังคับ แต่แนะนำ)

หมายเหตุ: เราไม่รองรับการถอดรหัส SAML Response โปรดตรวจสอบว่าคุณไม่ได้เข้ารหัส response หรือ assertion เพื่อให้เราระบุแอตทริบิวต์ได้อย่างถูกต้อง

การแมปแอตทริบิวต์ที่แน่นอนจะแตกต่างกันไปตาม IdP ของคุณ เราแนะนำให้ยึดตามการแมปที่แสดงไว้สำหรับ IdP ของคุณในวิซาร์ดการตั้งค่า เช่น Okta จะเป็นดังนี้:

Okta SAML attribute statements mapping id, email, firstName, and lastName to user profile fields

หากคุณเห็นว่าผู้ใช้ใหม่เข้ามาโดยมีที่อยู่อีเมลตั้งเป็นชื่อที่แสดง โปรดตรวจสอบการแมปแอตทริบิวต์ของคุณและยืนยันว่าคุณไม่ได้เข้ารหัส responses ของคุณ

หรือหากผู้ใช้ใหม่ถูกขอให้ป้อนชื่อและวันเกิด นั่นมักบ่งชี้ว่าเราไม่สามารถระบุค่าชื่อที่ถูกต้องจากการตอบกลับแอตทริบิวต์ของคุณได้

การเปลี่ยนอีเมล

ในบางครั้ง ที่อยู่อีเมลของผู้ใช้อาจได้รับการอัปเดตใน IdP ของคุณ เช่น

  • การเปลี่ยนชื่อตามกฎหมายหลังการแต่งงาน

  • บริษัทของพวกเขาถูกซื้อกิจการและพวกเขามีโดเมนใหม่

  • ฯลฯ

ท้ายที่สุดแล้ว สิ่งนี้จะส่งผลให้เกิดผู้ใช้ OpenAI รายใหม่ที่ผูกกับที่อยู่อีเมลใหม่ ในบางกรณี โปรไฟล์การยืนยันตัวตนเดิมอาจยังค้างอยู่ ทำให้ผู้ใช้ใหม่ไม่สามารถเข้าสู่ระบบได้สำเร็จ ในกรณีนี้ โปรดติดต่อ Support เพื่อขอความช่วยเหลือ

ที่อยู่อีเมลหลัก

ในบางกรณี คุณอาจมีผู้ใช้ที่มีที่อยู่อีเมลหลายรายการที่แตกต่างกัน นี่เป็นสถานการณ์ที่พบบ่อยในบริษัทขนาดใหญ่ที่มีระบบอีเมลแบบกระจาย หรือสำหรับลูกค้า Edu ที่มีหลายสถาบัน เช่น

ในสถานการณ์นี้ เราแนะนำให้ตรวจสอบให้แน่ใจว่า SAML response ของคุณมีที่อยู่อีเมลเพียงรายการเดียวในแอตทริบิวต์ เนื่องจากการใส่อีเมลหลายรายการอาจทำให้เกิดความสับสนเมื่อเราพยายามเชื่อมโยงกับผู้ใช้ใหม่หรือผู้ใช้เดิม

นอกจากนี้ หากผู้ใช้มีที่อยู่อีเมลแบบคงที่ (เช่น UPN) เราแนะนำให้นำสิ่งนี้มาใช้ในการแมปแอตทริบิวต์ของคุณ เพื่อให้แน่ใจว่าพวกเขาจะมีบัญชีผู้ใช้ OpenAI ที่เสถียรซึ่งจะไม่ได้รับผลกระทบเมื่อที่อยู่อีเมลอื่นของพวกเขามีการเปลี่ยนแปลง

Provision การเข้าถึงแอปพลิเคชัน IdP

เมื่อคุณสร้างการแมปแอตทริบิวต์สำเร็จแล้ว วิซาร์ดจะแนะนำคุณผ่านขั้นตอนในการ provision การเข้าถึงให้กับผู้ใช้ที่เหมาะสมผ่านกลุ่มที่ต้องการ

โปรดอ่านคำแนะนำของเราเกี่ยวกับ การจัดการผู้ใช้ สำหรับแนวทางปฏิบัติที่ดีที่สุด

การตั้งค่าเมทาดาทา IdP

ณ จุดนี้ในการตั้งค่า คุณมีตัวเลือกแยกกันสองแบบในการกำหนดเมทาดาทาของ IdP: การกำหนดค่าแบบไดนามิก และการกำหนดค่าแบบแมนนวล

การกำหนดค่าแบบไดนามิก

นี่คือตัวเลือกที่แนะนำและตรงไปตรงมาที่สุด ด้วยการกำหนดค่าแบบไดนามิก คุณเพียงต้องระบุ Metadata URL (ซึ่งขณะนี้ถูกเติมโดย SSO URL และ Entity ID ที่คุณกำหนดค่าไว้ก่อนหน้านี้) ที่เกี่ยวข้องกับแอปพลิเคชันของคุณ วิซาร์ดการตั้งค่าจะแสดงให้คุณเห็นว่าคุณสามารถค้นหาค่านี้ได้จากจุดใดใน IdP ของคุณ:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

การกำหนดค่าแบบแมนนวล

ตามชื่อที่บอก การกำหนดค่าแบบแมนนวลต้องใช้ความพยายามมากกว่าเล็กน้อย ขึ้นอยู่กับ IdP ของคุณ คุณจะต้องป้อน SSO URL และ IdP issuer ที่สอดคล้องกัน พร้อมด้วยใบรับรอง x.509:

Step 5 SSO setup with Manual configuration selected for identity provider metadata

การเข้าสู่ระบบแบบเริ่มจาก IdP

หากคุณต้องการให้ผู้ใช้ของคุณสามารถคลิกไทล์บนแดชบอร์ดของตนและได้รับการยืนยันตัวตนโดยอัตโนมัติ คุณสามารถกำหนดค่า auth แบบเริ่มจาก IdP ให้กับแอปพลิเคชันของคุณเป็นส่วนหนึ่งของกระบวนการตั้งค่าได้ แม้ว่าขั้นตอนที่แน่นอนจะแตกต่างกันไปตาม IdP ของคุณ แต่กระบวนการทั่วไปจะใช้ URL ที่ให้มาในรูปแบบดังนี้:

https://platform.openai.com/enterprise/conn_01ABC02DEF/login

ตัวอย่างเช่น Okta จะแนะนำคุณในการสร้าง Bookmark Application ใหม่ด้วย URL นี้:

Okta Create Bookmark App step with Application label set to Platform and URL set to the OpenAI login link

ขณะที่ Entra ID จะให้คุณป้อน "Sign on URL" ที่ให้มาในฟอร์มที่เหมาะสม:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields populated for an enterprise app

สำคัญ: หากคุณเลือกรีเซ็ตการเชื่อมต่อ SSO ที่ใช้งานได้อยู่ ค่า URL เหล่านี้จะเปลี่ยนไป

ซึ่งหมายความว่าเมื่อคุณกำหนดค่าการเชื่อมต่อใหม่ คุณจะต้องอัปเดต Sign on URL ให้สอดคล้องกันด้วย มิฉะนั้นผู้ใช้จะไม่สามารถยืนยันตัวตนผ่านไทล์ของตนได้

การตั้งค่าให้เสร็จสมบูรณ์

เมื่อคุณกำหนดค่าเมทาดาทา IdP ของคุณแล้ว คุณสามารถคลิก "Continue" เพื่อดำเนินการตั้งค่าแอปบุ๊กมาร์กเพิ่มเติมที่เป็นตัวเลือก ขั้นตอนการกำหนดค่าบังคับขั้นสุดท้ายจะอยู่ในหน้า "Test Single Sign-On":

OpenAI Configure Single Sign-On step 8 with Continue to sign-in button to test Okta SSO

หลังจากกด "Continue to sign-in" วิซาร์ดจะพยายามทดสอบการเชื่อมต่อใหม่ของคุณ หากทุกอย่างสำเร็จ แสดงว่าคุณได้เปิดใช้งาน SSO สำหรับองค์กร API Platform ของคุณแล้ว คุณควรเห็นสิ่งนี้แสดงบนหน้าการกำหนดค่าของคุณ:

SSO connection activated for Okta on the Platform app with valid metadata and an authorized test session

ผู้ใช้ในกลุ่ม IdP ของคุณที่มีบัญชีหรือคำเชิญในเวิร์กสเปซ Enterprise ที่สอดคล้องกัน ควรจะสามารถเข้าสู่ระบบด้วย SSO ได้แล้ว:

  • พวกเขาสามารถไปที่ platform.openai.com ป้อนอีเมลของตน แล้วจึงยืนยันตัวตนหลังจากที่เราส่งต่อไปยัง IdP ของพวกเขา

  • พวกเขาสามารถใช้ URL ของ Bookmark Tile ที่คุณกำหนดค่าไว้ (หากเลือกทำ) ระหว่างการตั้งค่า

หากคุณพบว่าผู้ใช้ของคุณไม่สามารถยืนยันตัวตนได้สำเร็จ และคุณประสบปัญหาในการย้อนกลับการเปลี่ยนแปลง โปรดติดต่อ Support ทันทีเพื่อขอความช่วยเหลือ

โปรดจำไว้ว่าการเปิดใช้งาน SSO บน API Platform จะใช้การยืนยันโดเมนครอบคลุมผู้ใช้ทั้งหมดที่มีโดเมนนั้น ซึ่งหมายความว่า แม้ว่าผู้ใช้จะไม่ได้อยู่ในองค์กร Enterprise ของคุณ พวกเขาก็ยังจำเป็นต้องเป็นส่วนหนึ่งของกลุ่ม IdP ของคุณเพื่อเข้าถึงองค์กรส่วนตัวของตน

การแก้ไขปัญหาการเข้าสู่ระบบ

หากหลังจากเปิดใช้งาน SSO แล้ว คุณยังพบปัญหาในการเข้าสู่ระบบ คุณสามารถอ่านหน้า คำถามที่พบบ่อยและการแก้ไขปัญหา ของเราเพื่อช่วยระบุข้อผิดพลาดที่พบบ่อย หากคุณไม่พบคำตอบที่เพียงพอในนั้น โปรดอย่าลังเลที่จะติดต่อ Support

บทความนี้มีประโยชน์หรือไม่