OpenAI
Для перекладу цієї сторінки виконано машинний переклад. Ви можете переглянути оригінальну статтю англійською.

Налаштування SSO

Цей документ описує налаштування SSO для ChatGPT і API Platform

Оновлено: 2 days ago

Передумови

Щоб налаштувати SSO, ви повинні:

  1. Мати тарифний план OpenAI з консоллю Global Admin

  2. Бути Global Admin

Перш ніж продовжити, ознайомтеся з нашими сторінками документації Огляд SSO і Керування користувачами, щоб переконатися, що ви розумієте архітектуру нашого SSO.

Якщо ви раніше налаштовували SSO для організації API Platform або робочого простору ChatGPT, ваші налаштування SSO вже мають бути доступні для конфігурації на сторінці OpenAI Identity. Якщо робочий простір або організація, для яких ви хочете ввімкнути SSO, не відображаються у вашій консолі Global Admin, зверніться до support@openai.com.

⚠️ Ваші користувачі втратять доступ, якщо SSO буде налаштовано неправильно!

Неправильне налаштування може призвести до того, що ваші користувачі втратять доступ до організацій і робочих просторів, де SSO встановлено як обов’язковий. Ми рекомендуємо вам, як глобальному адміністратору, залишати SSO як Optional в Admin Portal.

Під час налаштування тримайте відкритими два окремі вікна з виконаним входом:

  1. Одне — у режимі інкогніто

  2. Одне — у вашому звичайному браузері

Це дає змогу протестувати процес входу та налаштування SSO/підтвердження домену в одному вікні, а за потреби — скасувати зміни через друге вікно.

Тестування SSO

Якщо ви хочете протестувати процес налаштування, не ризикуючи вплинути на своїх користувачів, ви можете зробити це через програму тут.

Успішне завершення підключення в цій тестовій програмі не буде пов’язане з вашою робочою організацією та не збереже з’єднання (тож ви зможете повторно використати ті самі параметри у своєму робочому середовищі, коли будете готові). Це означає, що її безпечно використовувати як sandbox або playground, поки ви ознайомлюєтеся з вимогами та усуваєте відсутні передумови.

Увімкнення SSO

Щоб почати, перейдіть на сторінку OpenAI Identity із консолі Global Admin. Ви також можете потрапити на цю сторінку за посиланням на сторінці "Identity & Provisioning" у розділі налаштувань "Manage Workspace" у ChatGPT або на вкладці Identity у налаштуваннях вашої організації API Platform.

Деякі з наведених нижче прикладів показуватимуть налаштування в Okta, але та сама логіка має застосовуватися до всіх SAML IdP.

Підтвердження домену

Щоб увімкнути SSO, ми вимагаємо, щоб ви спочатку підтвердили принаймні один домен.

Важливо: обов’язково ознайомтеся з подальшим впливом, який підтвердження домену може мати на користувачів із цим доменом.

Натисніть кнопку "+ Add Domain" і введіть свій DNS, щоб почати:

Verify a new domain dialog with example.com entered and Submit available

Після надсилання ми надамо вам ключ для підтвердження права власності на ваш домен. Перейдіть до свого DNS-провайдера та додайте запис TXT із наданим значенням:

Image

Щоб перевірка пройшла успішно, ваш запис TXT має бути доступний через DNS lookup.

Після виконання цього у вашого DNS-провайдера поверніться на сторінку налаштування та натисніть кнопку "Check". Якщо право власності на домен успішно підтверджено, ви побачите оновлений статус "Verified."

Domain management page with company.abc listed as Verified

До одного Admin Portal можна додати до 99 підтверджених доменів, і ми надаємо 7 днів, щоб завершити перевірку, перш ніж позначити домен як прострочений. Домени можна підтвердити лише в одному Admin Portal. Якщо вам потрібно підтвердити той самий домен в організації або робочому просторі, яких немає у вашому Admin Portal, зверніться до служби підтримки.

Налаштування вашої програми

Після успішного підтвердження домену ви можете продовжити налаштування SSO, налаштувавши програму IdP.

Щоб почати, натисніть кнопку "Set up SSO":

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Вибір вашого постачальника ідентифікації

Ви можете вибрати зі списку найпопулярніших IdP, які нативно підтримують інтеграції SAML. Якщо ви не бачите свого IdP у списку або хочете використовувати з’єднання OIDC, ви можете вибрати відповідну кнопку Custom connection, показану внизу:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Створення/підключення програми

Тепер ви можете скористатися покроковим майстром налаштування, щоб створити та підключити до нас вашу програму IdP. Залежно від IdP, який ви використовуєте, інструкції можуть трохи відрізнятися, але загальне налаштування залишається однаковим:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Зверніть увагу, що URL-адреси, надані на кроці створення, будуть унікальними для вашої організації:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Важливо: якщо ви вирішите скинути справне SSO-з’єднання, ці значення URL зміняться. Під час повторного налаштування SSO вам потрібно буде відповідно оновити їх у своїй програмі.

Після завершення налаштування URL ви можете перейти до визначення зіставлення атрибутів для користувачів, автентифікованих через вашу програму.

Зіставлення атрибутів

Зіставлення атрибутів, яке ви визначаєте у своїй програмі SSO, зрештою визначає, які облікові записи OpenAI проходять автентифікацію і як ваші користувачі відображаються в продуктах OpenAI. Наша поточна модель користувача підтримує три властивості:

  1. Адреса електронної пошти (обов’язкова у відповіді SAML, визначає, до якого облікового запису здійснюється доступ)

  2. Ім’я (необов’язкове, але рекомендоване)

  3. Прізвище (необов’язкове, але рекомендоване)

Примітка: ми не підтримуємо розшифрування відповідей SAML. Будь ласка, переконайтеся, що ви не шифруєте свою відповідь або assertion, щоб ми могли правильно визначити атрибути.

Залежно від вашого IdP, точне зіставлення атрибутів відрізнятиметься. Ми рекомендуємо дотримуватися точного зіставлення, показаного для вашого IdP у майстрі налаштування, наприклад, для Okta це буде так:

Image

Якщо ви бачите, що нові користувачі створюються з електронною адресою, установленою як їхнє відображуване ім’я, перегляньте зіставлення атрибутів і переконайтеся, що ви не шифруєте свої відповіді.

Або, якщо нових користувачів просять ввести ім’я та дату народження, це, імовірно, вказує на те, що ми не визначаємо коректне значення імені з вашої відповіді атрибутів.

Зміни електронної адреси

Іноді адреса електронної пошти користувача може оновитися у вашому IdP, наприклад:

  • Юридична зміна імені після шлюбу

  • Їхню компанію придбали, і вони мають новий домен

  • тощо

Якщо це змінює значення claim emailaddress у SSO SAMLResponse, після успішного SSO буде відкрито іншого користувача OpenAI, пов’язаного з новою адресою електронної пошти (і створено, якщо його раніше не існувало). Цього користувача потрібно буде окремо запросити до Org або Workspace, незалежно від початкового користувача.

Основні адреси електронної пошти

У деяких випадках у вас можуть бути користувачі з кількома різними адресами електронної пошти. Це поширений сценарій у великих компаніях, які мають розподілені поштові системи, або для клієнтів Edu з різними навчальними закладами, наприклад:

У такій ситуації ми рекомендуємо переконатися, що ваша відповідь SAML містить лише одну адресу електронної пошти в атрибутах, оскільки включення кількох адрес може спричинити плутанину, коли ми намагатимемося пов’язати її з новим або наявним користувачем.

Крім того, якщо користувачі мають статичну адресу електронної пошти (наприклад, UPN), ми рекомендуємо використовувати її у вашому зіставленні атрибутів, щоб гарантувати їм стабільний обліковий запис користувача OpenAI, на який не вплинуть зміни інших їхніх адрес електронної пошти.

Надання доступу до програми IdP

Після того як ви успішно створите зіставлення атрибутів, майстер проведе вас через кроки надання доступу відповідним користувачам через потрібні групи.

Ознайомтеся з нашими рекомендаціями щодо керування користувачами, щоб дотримуватися найкращих практик.

Налаштування метаданих IdP

На цьому етапі налаштування у вас є два окремі варіанти визначення метаданих вашого IdP: Dynamic Configuration і Manual Configuration.

Dynamic Configuration

Це рекомендований і найпростіший варіант. У Dynamic Configuration вам потрібно лише надати Metadata URL (який тепер заповнюється URL SSO та Entity ID, які ви налаштували раніше), пов’язаний із вашою програмою. Майстер налаштування покаже, де це можна знайти у вашому IdP:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Manual Configuration

Як випливає з назви, Manual Configuration потребує трохи більше роботи. Залежно від вашого IdP вам потрібно буде ввести відповідний SSO URL та issuer IdP, а також сертифікат x.509:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

Вхід, ініційований IdP

Якщо ви хочете, щоб ваші користувачі могли натискати плитку на своїй інформаційній панелі та автоматично проходити автентифікацію, ви можете налаштувати автентифікацію, ініційовану IdP, для своєї програми як частину процесу налаштування. Хоча точний процес залежатиме від вашого IdP, загалом він використовуватиме наданий URL у такому форматі:

Наприклад, Okta проведе вас через створення нової Bookmark Application із цією URL-адресою:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Тоді як Entra ID дозволить вам ввести наданий "Sign on URL" у відповідну форму:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Важливо: якщо ви вирішите скинути справне SSO-з’єднання, ці значення URL зміняться.

Це означає, що під час налаштування нового з’єднання вам також потрібно буде відповідно оновити свій Sign on URL, інакше користувачі не зможуть проходити автентифікацію через свої плитки.

Завершення налаштування

Після налаштування метаданих вашого IdP ви можете натиснути "Continue", щоб перейти до налаштування будь-яких необов’язкових програм-закладок. Останній обов’язковий крок налаштування буде на сторінці "Test Single Sign-On":

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Після натискання "Continue to sign-in" майстер спробує протестувати ваше нове з’єднання. Якщо все пройде успішно, SSO буде фактично ввімкнено. Тепер ви маєте побачити це на сторінці конфігурації:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Користувачі у вашій групі IdP з відповідними обліковими записами або запрошеннями тепер повинні мати змогу входити через SSO:

  • Вони можуть перейти на chatgpt.com або platform.openai.com, ввести свою електронну адресу, а потім пройти автентифікацію після того, як ми перенаправимо їх до їхнього IdP

  • Вони можуть використовувати URL плитки закладки, який ви (необов’язково) налаштували під час інсталяції

Якщо виявиться, що ваші користувачі не можуть успішно проходити автентифікацію і у вас виникнуть труднощі з відкатом змін, негайно зверніться до служби підтримки.

Пам’ятайте, що ввімкнення SSO на API Platform застосовує підтвердження домену до всіх користувачів із цим доменом. Це означає, що навіть якщо користувачі не належать до вашої організації Enterprise, вони все одно повинні бути частиною вашої групи IdP, щоб отримати доступ до своїх особистих організацій.

Усунення проблем із входом

Якщо після ввімкнення SSO у вас виникають проблеми з входом, ви можете переглянути нашу сторінку FAQ і усунення проблем, щоб визначити поширені помилки. Якщо ви не знайдете там достатньої відповіді, будь ласка, зверніться до служби підтримки.

Чи була ця стаття корисною?