OpenAI
หน้านี้แปลด้วยระบบอัตโนมัติ ดูต้นฉบับภาษาอังกฤษ.

การกำหนดค่า SSO

เอกสารนี้อธิบายการกำหนดค่า SSO สำหรับ ChatGPT และ API Platform

อัปเดตล่าสุด: 15 days ago

ข้อกำหนดเบื้องต้น

ในการตั้งค่า SSO คุณต้อง:

  1. มีแผน OpenAI ที่มี Global Admin Console

  2. เป็น Global Admin

ก่อนดำเนินการต่อ โปรดอ่านหน้าเอกสาร ภาพรวม SSO และ การจัดการผู้ใช้ ของเรา เพื่อให้แน่ใจว่าคุณคุ้นเคยกับสถาปัตยกรรม SSO ของเรา

หากก่อนหน้านี้คุณเคยตั้งค่า SSO สำหรับองค์กร API Platform หรือเวิร์กสเปซ ChatGPT การตั้งค่า SSO ของคุณควรพร้อมให้กำหนดค่าแล้วที่หน้า OpenAI Identity หากเวิร์กสเปซหรือองค์กรที่คุณต้องการเปิดใช้ SSO ไม่ แสดงใน Global Admin Console ของคุณ โปรดติดต่อ support@openai.com

⚠️ ผู้ใช้ของคุณจะถูกล็อกไม่ให้เข้าใช้งาน หากตั้งค่า SSO ไม่ถูกต้อง!

การตั้งค่าที่ไม่ถูกต้องอาจทำให้ผู้ใช้ของคุณถูกล็อกไม่ให้เข้าใช้งาน org และเวิร์กสเปซที่ตั้งค่า SSO เป็นแบบบังคับ เราแนะนำให้คุณในฐานะ global admin คงค่า SSO เป็น Optional ใน Admin Portal ไว้เสมอ

ระหว่างการตั้งค่า ให้เปิดหน้าต่างที่เข้าสู่ระบบไว้สองหน้าต่างแยกกัน:

  1. หน้าต่างหนึ่งเข้าสู่ระบบผ่านหน้าต่างไม่ระบุตัวตน

  2. อีกหน้าต่างหนึ่งเข้าสู่ระบบผ่านเบราว์เซอร์ปกติของคุณ

วิธีนี้ช่วยให้คุณทดสอบกระบวนการเข้าสู่ระบบและการตั้งค่า SSO/การยืนยันโดเมนของคุณในหน้าต่างหนึ่ง และย้อนกลับการเปลี่ยนแปลงได้หากจำเป็นผ่านอีกหน้าต่างหนึ่ง

การทดสอบ SSO

หากคุณต้องการทดสอบกระบวนการตั้งค่าโดยไม่เสี่ยงส่งผลกระทบต่อผู้ใช้ของคุณ คุณสามารถทำได้ผ่านแอปพลิเคชัน ที่นี่

การเชื่อมต่อสำเร็จบนแอปพลิเคชันทดสอบนี้จะไม่เชื่อมโยงกลับไปยัง org ที่ใช้งานจริงของคุณ และจะไม่บันทึกการเชื่อมต่อไว้ (ดังนั้นคุณจึงสามารถใช้พารามิเตอร์เดิมซ้ำในอินสแตนซ์ใช้งานจริงของคุณได้เมื่อพร้อม) ซึ่งหมายความว่าปลอดภัยที่จะใช้เป็น sandbox หรือ playground ขณะทำความคุ้นเคยกับข้อกำหนดและจัดการข้อกำหนดเบื้องต้นที่ยังขาดอยู่

การเปิดใช้ SSO

ในการเริ่มต้น ให้ไปที่หน้า OpenAI Identity จาก Global Admin Console คุณยังสามารถไปยังหน้านั้นได้จากลิงก์ในหน้า "Identity & Provisioning" ภายใต้การตั้งค่า "Manage Workspace" ใน ChatGPT หรือแท็บ Identity ในการตั้งค่าองค์กร API Platform ของคุณ

ตัวอย่างบางส่วนด้านล่างจะแสดงการตั้งค่าใน Okta แต่หลักการเดียวกันนี้ควรใช้ได้กับ SAML IdP ทั้งหมด

การยืนยันโดเมน

ในการเปิดใช้ SSO เรากำหนดให้คุณต้องยืนยันอย่างน้อยหนึ่งโดเมนก่อน

สำคัญ: โปรดตรวจสอบผลกระทบปลายน้ำที่การยืนยันโดเมนอาจมีต่อผู้ใช้ที่ใช้โดเมนนั้น

คลิกปุ่ม "+ Add Domain" และป้อน DNS ของคุณเพื่อเริ่มต้น:

Verify a new domain dialog with example.com entered and Submit available

เมื่อส่งแล้ว เราจะให้คีย์แก่คุณเพื่อยืนยันความเป็นเจ้าของโดเมนของคุณ ไปที่ผู้ให้บริการ DNS ของคุณ แล้วเพิ่มระเบียน TXT ด้วยค่าที่ให้ไว้:

Image

ระเบียน TXT ของคุณต้องเข้าถึงได้ผ่านการค้นหา DNS เพื่อให้การตรวจสอบยืนยันสำเร็จ

หลังจากทำขั้นตอนนี้ในผู้ให้บริการ DNS ของคุณแล้ว ให้กลับไปที่หน้าตั้งค่าและคลิกปุ่ม "Check" หากยืนยันความเป็นเจ้าของโดเมนของคุณสำเร็จ คุณจะเห็นสถานะอัปเดตเป็น "Verified"

Domain management page with company.abc listed as Verified

คุณสามารถเพิ่มโดเมนที่ยืนยันแล้วได้สูงสุด 99 โดเมนต่อ Admin Portal และเราจะให้เวลา 7 วันแก่คุณในการยืนยันให้เสร็จก่อนทำเครื่องหมายว่าโดเมนหมดอายุ โดเมนสามารถยืนยันได้กับ Admin Portal เดียวเท่านั้น หากคุณต้องการยืนยันโดเมนเดียวกันกับองค์กรหรือเวิร์กสเปซที่ไม่ได้อยู่ใน Admin Portal ของคุณ โปรดติดต่อฝ่ายสนับสนุน

การกำหนดค่าแอปพลิเคชันของคุณ

หลังจากยืนยันโดเมนของคุณสำเร็จแล้ว คุณสามารถดำเนินการตั้งค่า SSO ต่อโดยกำหนดค่าแอปพลิเคชัน IdP ของคุณ

เพื่อเริ่มต้น ให้คลิกปุ่ม "Set up SSO":

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

การเลือกผู้ให้บริการข้อมูลประจำตัวของคุณ

คุณสามารถเลือกจากรายการ IdP ยอดนิยมที่รองรับการผสานรวม SAML โดยตรงได้ หากคุณไม่เห็น IdP ของคุณในรายการ หรือหากคุณต้องการใช้การเชื่อมต่อ OIDC คุณสามารถเลือกปุ่มการเชื่อมต่อแบบกำหนดเองที่เหมาะสมซึ่งแสดงอยู่ด้านล่าง:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

การสร้าง/เชื่อมต่อแอปพลิเคชัน

ตอนนี้คุณสามารถทำตามตัวช่วยการกำหนดค่าแบบทีละขั้นตอนเพื่อช่วยสร้างและเชื่อมต่อแอปพลิเคชัน IdP ของคุณกับเราได้ ทั้งนี้คำแนะนำอาจแตกต่างกันเล็กน้อยขึ้นอยู่กับ IdP ที่คุณใช้ แต่การตั้งค่าทั่วไปยังคงเหมือนเดิม:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

โปรดทราบว่า URL ที่ให้ไว้ในขั้นตอนการสร้างจะไม่ซ้ำกันสำหรับองค์กรของคุณ:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

สำคัญ: หากคุณเลือกรีเซ็ตการเชื่อมต่อ SSO ที่ใช้งานได้ ค่า URL เหล่านี้จะเปลี่ยน เมื่อคุณตั้งค่า SSO อีกครั้ง คุณจะต้องตรวจสอบให้แน่ใจว่าได้อัปเดตค่าเหล่านี้ในแอปพลิเคชันของคุณให้สอดคล้องกัน

เมื่อคุณตั้งค่า URL เสร็จแล้ว คุณสามารถดำเนินการกำหนดการแมปแอตทริบิวต์สำหรับผู้ใช้ที่ยืนยันตัวตนผ่านแอปพลิเคชันของคุณต่อได้

การแมปแอตทริบิวต์

การแมปแอตทริบิวต์ที่คุณกำหนดในแอปพลิเคชัน SSO ของคุณจะเป็นตัวกำหนดในท้ายที่สุดว่าบัญชี OpenAI ใดจะได้รับการยืนยันตัวตน และผู้ใช้ของคุณจะแสดงอย่างไรในผลิตภัณฑ์ OpenAI ปัจจุบันโมเดลผู้ใช้ของเรารองรับ 3 คุณสมบัติ:

  1. ที่อยู่อีเมล (จำเป็นใน SAML response และเป็นตัวกำหนดว่าจะเข้าถึงบัญชีใด)

  2. ชื่อจริง (ไม่บังคับ แต่แนะนำ)

  3. นามสกุล (ไม่บังคับ แต่แนะนำ)

หมายเหตุ: เราไม่รองรับการถอดรหัส SAML Responses โปรดตรวจสอบให้แน่ใจว่าคุณไม่ได้เข้ารหัส response หรือ assertion เพื่อให้เราสามารถระบุแอตทริบิวต์ได้อย่างถูกต้อง

การแมปแอตทริบิวต์ที่แน่นอนจะแตกต่างกันไปตาม IdP ของคุณ เราแนะนำให้ยึดตามการแมปที่แสดงไว้สำหรับ IdP ของคุณในตัวช่วยตั้งค่าอย่างเคร่งครัด เช่น สำหรับ Okta จะเป็นดังนี้:

Image

หากคุณเห็นว่าผู้ใช้ใหม่เข้ามาโดยตั้งที่อยู่อีเมลเป็นชื่อที่แสดง โปรดตรวจสอบการแมปแอตทริบิวต์ของคุณและยืนยันว่าคุณไม่ได้เข้ารหัส response ของคุณ

อีกทางหนึ่ง หากผู้ใช้ใหม่ถูกขอให้ป้อนชื่อและวันเกิด นี่น่าจะบ่งชี้ว่าเราไม่ได้ระบุค่าชื่อที่ถูกต้องจาก response แอตทริบิวต์ของคุณ

การเปลี่ยนแปลงอีเมล

ในบางครั้ง ที่อยู่อีเมลของผู้ใช้อาจได้รับการอัปเดตใน IdP ของคุณ เช่น

  • การเปลี่ยนชื่อตามกฎหมายหลังการแต่งงาน

  • บริษัทของพวกเขาถูกซื้อกิจการและมีโดเมนใหม่

  • ฯลฯ

หากสิ่งนี้เปลี่ยนค่าของ claim emailaddress ใน SSO SAMLResponse ระบบจะเข้าถึงผู้ใช้ OpenAI คนละรายที่ผูกกับที่อยู่อีเมลใหม่ (และจะสร้างขึ้นหากยังไม่มีอยู่ก่อน) เมื่อ SSO สำเร็จ ผู้ใช้รายนี้จะต้องได้รับเชิญเข้า Org หรือ Workspace แยกจากผู้ใช้เดิม

ที่อยู่อีเมลหลักหลายรายการ

ในบางกรณี คุณอาจมีผู้ใช้ที่มีที่อยู่อีเมลหลายรายการที่แตกต่างกัน ซึ่งเป็นสถานการณ์ที่พบบ่อยในบริษัทขนาดใหญ่ที่มีระบบอีเมลแบบกระจาย หรือสำหรับลูกค้า Edu ที่มีหลายโรงเรียน เช่น

ในสถานการณ์นี้ เราแนะนำให้ตรวจสอบให้แน่ใจว่า SAML response ของคุณมีที่อยู่อีเมลเพียงรายการเดียวในแอตทริบิวต์ เนื่องจากการมีอีเมลหลายรายการอาจทำให้เกิดความสับสนเมื่อเราพยายามเชื่อมโยงกับผู้ใช้ใหม่หรือผู้ใช้เดิม

นอกจากนี้ หากผู้ใช้มีที่อยู่อีเมลแบบคงที่ (เช่น UPN) เราแนะนำให้ใช้ค่านี้ในการแมปแอตทริบิวต์ของคุณ เพื่อให้มั่นใจว่าพวกเขาจะมีบัญชีผู้ใช้ OpenAI ที่เสถียรและจะไม่ได้รับผลกระทบเมื่อที่อยู่อีเมลอื่นของพวกเขาอาจมีการเปลี่ยนแปลง

จัดสรรสิทธิ์เข้าถึงแอปพลิเคชัน IdP

เมื่อคุณสร้างการแมปแอตทริบิวต์สำเร็จแล้ว ตัวช่วยตั้งค่าจะพาคุณผ่านขั้นตอนในการจัดสรรสิทธิ์เข้าถึงให้ผู้ใช้ที่เหมาะสมผ่านกลุ่มที่ต้องการ

โปรดดูคำแนะนำของเราเกี่ยวกับการจัดการผู้ใช้สำหรับแนวทางปฏิบัติที่ดีที่สุด

การตั้งค่าเมทาดาทา IdP

ณ จุดนี้ในการตั้งค่า คุณมี 2 ตัวเลือกแยกกันสำหรับการกำหนดเมทาดาทาของ IdP ได้แก่ Dynamic Configuration และ Manual Configuration

Dynamic Configuration

นี่คือตัวเลือกที่แนะนำและตรงไปตรงมาที่สุด ด้วย Dynamic Configuration คุณเพียงต้องระบุ Metadata URL (ซึ่งตอนนี้กรอกโดย SSO URL และ Entity ID ที่คุณกำหนดค่าไว้ก่อนหน้านี้) ที่เชื่อมโยงกับแอปพลิเคชันของคุณ ตัวช่วยตั้งค่าจะแสดงให้คุณเห็นว่าคุณสามารถค้นหาสิ่งนี้ได้ที่ไหนใน IdP ของคุณ:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Manual Configuration

ตามชื่อที่บอกไว้ Manual Configuration ต้องใช้ความพยายามมากขึ้นเล็กน้อย ขึ้นอยู่กับ IdP ของคุณ คุณจะต้องป้อน SSO URL และผู้ออก IdP ที่สอดคล้องกัน พร้อมด้วยใบรับรอง x.509:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

การเข้าสู่ระบบที่เริ่มต้นโดย IdP

หากคุณต้องการให้ผู้ใช้ของคุณสามารถคลิกไทล์บนแดชบอร์ดของตนและได้รับการยืนยันตัวตนโดยอัตโนมัติ คุณสามารถกำหนดค่า auth ที่เริ่มต้นโดย IdP ไปยังแอปพลิเคชันของคุณเป็นส่วนหนึ่งของกระบวนการตั้งค่าได้ แม้ว่าขั้นตอนที่แน่นอนจะแตกต่างกันไปตาม IdP ของคุณ แต่กระบวนการทั่วไปจะใช้ URL ที่ให้ไว้ในรูปแบบดังนี้:

ตัวอย่างเช่น Okta จะแนะนำคุณในการสร้าง Bookmark Application ใหม่ด้วย URL นี้:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

ขณะที่ Entra ID จะให้คุณป้อน "Sign on URL" ที่ให้ไว้ลงในแบบฟอร์มที่เหมาะสม:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

สำคัญ: หากคุณเลือกรีเซ็ตการเชื่อมต่อ SSO ที่ใช้งานได้ ค่า URL เหล่านี้จะเปลี่ยน

ซึ่งหมายความว่าเมื่อคุณกำหนดค่าการเชื่อมต่อใหม่ คุณจะต้องอัปเดต Sign on URL ให้สอดคล้องกันด้วย มิฉะนั้นผู้ใช้จะไม่สามารถยืนยันตัวตนผ่านไทล์ของตนได้

การตั้งค่าให้เสร็จสมบูรณ์

เมื่อคุณกำหนดค่าเมทาดาทาของ IdP เรียบร้อยแล้ว คุณสามารถคลิก "Continue" เพื่อดำเนินการตั้งค่าแอปบุ๊กมาร์กเพิ่มเติมที่เป็นตัวเลือก ขั้นตอนการกำหนดค่าบังคับสุดท้ายจะอยู่ในหน้า "Test Single Sign-On":

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

หลังจากกด "Continue to sign-in" ตัวช่วยตั้งค่าจะพยายามทดสอบการเชื่อมต่อใหม่ของคุณ หากทุกอย่างสำเร็จ แสดงว่าคุณได้เปิดใช้ SSO แล้ว คุณควรเห็นสิ่งนี้แสดงอยู่ในหน้าการกำหนดค่าของคุณ:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

ผู้ใช้ในกลุ่ม IdP ของคุณที่มีบัญชีหรือคำเชิญที่ตรงกันควรสามารถเข้าสู่ระบบด้วย SSO ได้แล้ว:

  • พวกเขาสามารถไปที่ chatgpt.com หรือ platform.openai.com ป้อนอีเมลของตน จากนั้นยืนยันตัวตนหลังจากที่เราส่งต่อไปยัง IdP ของพวกเขา

  • พวกเขาสามารถใช้ URL ของ Bookmark Tile ที่คุณกำหนดค่าไว้ระหว่างการตั้งค่าได้ (หากกำหนด)

หากคุณพบว่าผู้ใช้ของคุณไม่สามารถยืนยันตัวตนได้สำเร็จ และคุณมีปัญหาในการย้อนกลับการเปลี่ยนแปลง โปรดติดต่อฝ่ายสนับสนุนเพื่อขอความช่วยเหลือโดยด่วน

โปรดจำไว้ว่าการเปิดใช้ SSO บน API Platform จะใช้การยืนยันโดเมนกับผู้ใช้ทุกคนที่ใช้โดเมนนั้น ซึ่งหมายความว่า แม้ว่าผู้ใช้จะไม่ได้อยู่ในองค์กร Enterprise ของคุณ พวกเขาก็ยังต้องเป็นส่วนหนึ่งของกลุ่ม IdP ของคุณเพื่อเข้าถึงองค์กรส่วนตัวของตน

การแก้ไขปัญหาการเข้าสู่ระบบ

หากหลังจากเปิดใช้ SSO แล้วคุณพบปัญหาในการเข้าสู่ระบบ คุณสามารถดูหน้า คำถามที่พบบ่อยและการแก้ไขปัญหา ของเราเพื่อขอความช่วยเหลือในการระบุข้อผิดพลาดทั่วไป หากคุณไม่พบคำตอบที่เพียงพอที่นั่น โปรดอย่าลังเลที่จะติดต่อฝ่ายสนับสนุน

บทความนี้มีประโยชน์หรือไม่