Ön koşullar
SSO’yu ayarlamak için şunları yapmanız gerekir:
Global Admin Console içeren bir OpenAI planına sahip olmak
Global Admin olmak
Devam etmeden önce, SSO mimarimizi bildiğinizden emin olmak için lütfen SSO Genel Bakış ve Kullanıcı Yönetimi belgelerimizi inceleyin.
Daha önce bir API Platform kuruluşu veya ChatGPT çalışma alanı için SSO yapılandırdıysanız, SSO ayarlarınız OpenAI Identity sayfasında yapılandırılmaya hazır olmalıdır. SSO’yu etkinleştirmek istediğiniz çalışma alanı veya kuruluş Global Admin Console’da görünmüyorsa lütfen support@openai.com ile iletişime geçin.
⚠️ SSO doğru ayarlanmazsa kullanıcılarınızın erişimi engellenir!
Hatalı bir kurulum, SSO’nun zorunlu olduğu kuruluş ve çalışma alanlarında kullanıcılarınızın erişiminin engellenmesine neden olabilir. Global admin olarak Admin Portal’da SSO’yu Optional olarak tutmanızı öneririz.
Kurulum sırasında, oturum açılmış iki ayrı pencereyi açık tutun:
Biri gizli pencere üzerinden oturum açılmış
Biri standart tarayıcınız üzerinden oturum açılmış
Bu sayede bir pencerede oturum açma sürecini ve SSO/Alan Adı Doğrulama kurulumunuzu test edebilir, gerekirse ikinci pencere üzerinden değişiklikleri geri alabilirsiniz.
SSO’yu Test Etme
Kullanıcılarınız üzerinde bir etki riski olmadan kurulum sürecini test etmek isterseniz, bunu buradaki uygulama üzerinden yapabilirsiniz.
Bu test uygulamasında başarılı bir bağlantı tamamlamak, üretim kuruluşunuza bağlanmaz ve bağlantıyı kaydetmez (hazır olduğunuzda aynı parametreleri üretim örneğinizde yeniden kullanabilirsiniz). Bu, gereksinimlere alışırken ve eksik ön koşulları çözerken bunu güvenle bir sandbox veya deneme alanı olarak kullanabileceğiniz anlamına gelir.
SSO’yu Etkinleştirme
Başlamak için Global Admin Console’dan OpenAI Identity sayfasına gidin. Bu sayfaya ayrıca ChatGPT’de "Manage Workspace" ayarlarınız altındaki "Identity & Provisioning" sayfasındaki bağlantıdan veya API Platform kuruluş ayarlarınızdaki Identity sekmesinden de ulaşabilirsiniz.
Aşağıdaki örneklerin bazıları kurulumu Okta’da gösterecektir, ancak aynı mantık tüm SAML IdP’leri için geçerli olmalıdır.
Alan Adı Doğrulama
SSO’yu etkinleştirmek için önce en az bir alan adını doğrulamanız gerekir.
Önemli: Alan adı doğrulamasının bu alan addaki kullanıcılar üzerinde yaratabileceği sonraki etkileri incelemeyi unutmayın.
Başlamak için "+ Add Domain" düğmesine tıklayın ve DNS’inizi girin:
Gönderdikten sonra, alan adınızın sahipliğini doğrulamanız için size bir anahtar sağlarız. DNS sağlayıcınıza gidin ve sağlanan değerle bir TXT kaydı ekleyin:
Doğrulama kontrolünün başarılı olması için TXT kaydınıza DNS aramasıyla erişilebilmelidir.
Bunu DNS sağlayıcınızda tamamladıktan sonra kurulum sayfasına dönün ve "Check" düğmesine tıklayın. Alan adı sahipliğiniz başarıyla doğrulanırsa durumun "Verified" olarak güncellendiğini görürsünüz.
Admin Portal başına en fazla 99 doğrulanmış alan adı ekleyebilirsiniz ve bir alan adı süresi dolmuş olarak işaretlenmeden önce doğrulama kontrolünü tamamlamanız için 7 günlük bir süre sunarız. Alan adları yalnızca tek bir Admin Portal’da doğrulanabilir. Admin Portal’ınızda olmayan bir kuruluş veya çalışma alanında aynı alan adını doğrulamanız gerekiyorsa lütfen Destek ile iletişime geçin.
Uygulamanızı Yapılandırma
Alan adınızı başarıyla doğruladıktan sonra, IdP uygulamanızı yapılandırarak SSO kurulumuna devam edebilirsiniz.
Başlamak için "Set up SSO" düğmesine tıklayın:
Kimlik Sağlayıcınızı Seçme
SAML entegrasyonlarını yerel olarak destekleyen en popüler IdP’lerin listesinden seçim yapabilirsiniz. IdP’nizi listede görmüyorsanız veya bir OIDC bağlantısı kullanmak istiyorsanız, altta gösterilen uygun Custom connection düğmesini seçebilirsiniz:
Uygulamayı Oluşturma/Bağlama
Artık IdP uygulamanızı bizimle oluşturup bağlamanıza yardımcı olacak adım adım yapılandırma sihirbazını takip edebilirsiniz. Kullandığınız IdP’ye bağlı olarak talimatlarınız biraz değişebilir, ancak genel kurulum aynı kalır:
Oluşturma adımında sağlanan URL’lerin kuruluşunuza özgü olacağını unutmayın:
Önemli: Sağlıklı bir SSO bağlantısını sıfırlamayı seçerseniz bu URL değerleri değişecektir. SSO’yu yeniden kurarken bunları uygulamanızda uygun şekilde güncellediğinizden emin olmanız gerekir.
URL kurulumunu tamamladıktan sonra, uygulamanız aracılığıyla kimliği doğrulanan kullanıcılar için öznitelik eşlemesini tanımlamaya devam edebilirsiniz.
Öznitelik Eşleme
SSO uygulamanızda tanımladığınız öznitelik eşleme, sonuçta hangi OpenAI hesaplarının kimlik doğrulamasından geçeceğini ve kullanıcılarınızın OpenAI ürünlerinde nasıl görüneceğini belirler. Mevcut kullanıcı modelimiz üç özelliği destekler:
E-posta Adresi (SAML yanıtında zorunludur, hangi hesaba erişileceğini belirler)
Ad (isteğe bağlıdır, ancak önerilir)
Soyad (isteğe bağlıdır, ancak önerilir)
Not: SAML yanıtlarının şifresini çözmeyi desteklemiyoruz. Öznitelikleri doğru şekilde tanımlayabilmemiz için lütfen yanıtınızı veya assertion’ınızı şifrelemediğinizden emin olun.
IdP’nize bağlı olarak tam öznitelik eşlemesi değişecektir. Kurulum sihirbazında IdP’niz için gösterilen tam eşlemeye uymanızı öneririz; örneğin Okta için bu şöyle olur:
Yeni kullanıcıların e-posta adreslerinin görünen adları olarak geldiğini görüyorsanız, lütfen öznitelik eşlemenizi inceleyin ve yanıtlarınızı şifrelemediğinizi doğrulayın.
Alternatif olarak, yeni kullanıcılardan adlarını ve doğum günlerini girmeleri isteniyorsa bu, öznitelik yanıtınızdan uygun bir ad değeri tanımlayamadığımızı gösterir.
E-posta Değişiklikleri
Bazen bir kullanıcının e-posta adresi IdP’nizde güncellenebilir, örneğin:
Evlilik sonrası yasal ad değişikliği
Şirketlerinin satın alınması ve yeni bir alan adlarına sahip olmaları
vb.
Bu, SSO SAMLResponse içindeki emailaddress talebinin değerini değiştirirse, başarılı SSO sonrasında yeni e-posta adresine bağlı farklı bir OpenAI kullanıcısına erişilir (ve daha önce yoksa oluşturulur). Bu kullanıcının, orijinal kullanıcıdan ayrı olarak kuruluşa veya çalışma alanına davet edilmesi gerekir.
Birincil E-posta Adresleri
Bazı durumlarda, birden fazla farklı e-posta adresine sahip kullanıcılarınız olabilir. Bu; dağıtık posta sistemlerine sahip büyük şirketlerde veya farklı okullara sahip eğitim müşterilerinde yaygın bir senaryodur, örneğin:
Bu durumda, SAML yanıtınızın özniteliklerinde yalnızca tek bir e-posta adresi bulunduğundan emin olmanızı öneririz; birden fazla e-posta eklemek, bunu yeni veya mevcut bir kullanıcıyla ilişkilendirmeye çalıştığımızda karışıklığa neden olabilir.
Ayrıca, kullanıcıların sabit bir e-posta adresi varsa (ör. bir UPN), diğer e-posta adresleri değişse bile etkilenmeyecek istikrarlı bir OpenAI kullanıcı hesabına sahip olmalarını sağlamak için bunu öznitelik eşlemenizde kullanmanızı öneririz.
IdP Uygulama Erişimi Sağlama
Öznitelik eşlemenizi başarıyla oluşturduktan sonra sihirbaz, istenen gruplar aracılığıyla uygun kullanıcılara erişim sağlama adımlarında size rehberlik edecektir.
En iyi uygulamalar için lütfen Kullanıcı Yönetimi önerilerimizi inceleyin.
IdP Meta Verilerini Ayarlama
Kurulumun bu noktasında, IdP meta verilerinizi tanımlamak için iki ayrı seçeneğiniz vardır: Dynamic Configuration ve Manual Configuration.
Dynamic Configuration
Bu önerilen ve en basit seçenektir. Dynamic Configuration ile yalnızca uygulamanızla ilişkili Metadata URL’yi sağlamanız gerekir (bu URL artık daha önce yapılandırdığınız SSO URL ve Entity ID ile doldurulmuştur). Kurulum sihirbazı bunun IdP’nizde nerede bulunduğunu size gösterecektir:
Manual Configuration
Adından da anlaşılacağı gibi Manual Configuration biraz daha fazla çalışma gerektirir. IdP’nize bağlı olarak ilgili SSO URL’sini ve IdP issuer bilgisini x.509 sertifikasıyla birlikte girmeniz gerekir:
IdP Tarafından Başlatılan Oturum Açma
Kullanıcılarınızın panolarındaki bir kutucuğa tıklayıp otomatik olarak kimlik doğrulamasından geçmesini istiyorsanız, kurulum sürecinin bir parçası olarak uygulamanıza yönelik IdP tarafından başlatılan kimlik doğrulamayı yapılandırabilirsiniz. Tam süreç IdP’nize göre değişse de genel süreç, şu biçimde sağlanan bir URL kullanır:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Örnek olarak Okta, bu URL ile yeni bir Bookmark Application oluşturmanız için size rehberlik eder:
Entra ID ise sağlanan "Sign on URL" değerini uygun forma girmenize olanak tanır:
Önemli: Sağlıklı bir SSO bağlantısını sıfırlamayı seçerseniz bu URL değerleri değişecektir.
Bu, yeni bağlantıyı yapılandırdığınızda Sign on URL’nizi de buna göre güncellemeniz gerekeceği anlamına gelir; aksi takdirde kullanıcılar kutucukları üzerinden kimlik doğrulaması yapamaz.
Kurulumu Tamamlama
IdP meta verilerinizi yapılandırdıktan sonra, isteğe bağlı yer imi uygulamalarını ayarlamaya devam etmek için "Continue" seçeneğine tıklayabilirsiniz. Son zorunlu yapılandırma adımı "Test Single Sign-On" sayfasında olacaktır:
"Continue to sign-in" seçeneğine tıkladıktan sonra sihirbaz yeni bağlantınızı test etmeye çalışacaktır. Her şey başarılı olursa SSO’yu etkinleştirmiş olursunuz. Artık bunun yapılandırma sayfanıza yansıdığını görmelisiniz:
IdP grubunuzdaki, karşılık gelen hesaplara veya davetlere sahip kullanıcılar artık SSO ile oturum açabilmelidir:
chatgpt.com veya platform.openai.com adresine gidip e-postalarını girebilir, ardından onları IdP’lerine yönlendirmemizden sonra kimlik doğrulaması yapabilirler
Kurulum sırasında (isteğe bağlı olarak) yapılandırdığınız Bookmark Tile URL’sini kullanabilirler
Kullanıcılarınızın başarıyla kimlik doğrulayamadığını fark ederseniz ve değişiklikleri geri alırken sorun yaşarsanız derhal yardım için lütfen Destek ile iletişime geçin.
API Platform’da SSO’yu etkinleştirmenin, alan adı doğrulamasını o alan addaki tüm kullanıcılara uyguladığını unutmayın. Bu, kullanıcılar Enterprise kuruluşunuza ait olmasa bile kişisel kuruluşlarına erişebilmek için yine de IdP grubunuzun parçası olmaları gerekeceği anlamına gelir.
Oturum Açma Sorunlarını Giderme
SSO’yu etkinleştirdikten sonra oturum açarken sorun yaşıyorsanız, yaygın hataları belirlemek için yardım almak üzere SSS ve Sorun Giderme sayfamızı inceleyebilirsiniz. Orada yeterli bir yanıt bulamazsanız Destek ile iletişime geçmekten çekinmeyin.