本文將取代我哋現有嘅 Platform SSO 文件,請按此處查看。
先決條件
要設定 SSO,你必須:
擁有一個採用 Custom/Enterprise Billing Plan 嘅 API Platform 組織
係呢個組織嘅擁有者
至少有一個已驗證網域
繼續之前,請先閱覽我哋嘅 SSO 概覽 同 使用者管理 文件頁面,確保你熟悉我哋嘅 SSO 架構。
如果你最近購買咗 Enterprise ChatGPT 授權,並想喺 ChatGPT 工作區設定 SSO,請按照此處嘅指示操作。
如果你之前已喺 Enterprise ChatGPT 工作區設定 SSO,你嘅 SSO 設定應該已經移植過嚟,而且好可能已經生效。喺呢種情況下,你會喺API Platform Identity 頁面見到欄位已預先填好,而你只需要確保已為組織開啟「Single Sign On」按鈕。
⚠️ 如果 SSO 設定唔正確,你同所有使用者都會被鎖定喺系統之外!
錯誤設定可能導致你同所有使用者都無法登入。我哋建議你作為工作區擁有者,保持兩個已登入嘅獨立視窗開啟:
一個透過無痕視窗登入
一個透過你嘅標準瀏覽器登入
咁樣你就可以喺其中一個視窗測試登入流程同你嘅 SSO/網域驗證設定,並喺需要時透過第二個視窗還原變更。
測試 SSO
如果你想測試設定流程,而唔想冒住影響你 Enterprise 組織嘅風險,你可以透過此處嘅應用程式進行。
喺呢個測試應用程式成功完成連線後,唔會連結到你嘅正式 org,亦唔會儲存該連線(所以當你準備好之後,可以喺 Enterprise org 重用相同參數)。即係話,當你熟習相關要求同補齊任何缺少嘅先決條件時,可以安全咁將佢用作沙盒或試驗場。
啟用 SSO
首先,請前往你組織設定底下嘅「Identity」頁面。
如果你無法開啟呢個連結,好可能代表你嘅組織未有正確設定,或者你嘅使用者帳戶冇相應權限。如果你認為唔應該係咁,請聯絡 Support 團隊尋求協助。
網域驗證
要啟用 SSO,我哋要求你先驗證至少一個網域。
重要:請記得檢視一旦啟用 SSO,網域驗證可能會對使用該網域嘅使用者造成嘅下游影響。
撳「+ Add Domain」按鈕,然後輸入你嘅 DNS 開始:
提交後,我哋會提供一條金鑰,畀你驗證你擁有該網域。請前往你嘅 DNS 供應商,並加入一條帶有所提供值嘅 TXT 記錄:
你嘅 TXT 記錄必須可經 DNS 查詢存取,驗證檢查先會成功。
喺 DNS 供應商完成後,返回設定頁面並撳「Check」按鈕。如果你嘅網域擁有權已成功驗證,你會見到狀態更新為「Verified」。
每個 organization-id 最多可以加入 99 個已驗證網域,而我哋會提供 7 日期限畀你完成驗證檢查,之後先會將網域標記為已過期。
預設情況下,網域只會驗證到單一組織。不過,喺支援多組織網域驗證嘅設定中(例如已啟用 multi-org/multi-domain 支援時),同一個網域可以喺多個組織之間完成驗證。如果你唔肯定你嘅設定是否支援,請聯絡 Support。
設定你嘅應用程式
成功驗證網域後,你可以透過設定你嘅 IdP 應用程式繼續進行 SSO 設定。
首先,撳「Manage Single Sign On」按鈕:
選擇你嘅身分提供者
你可以從一系列原生支援 SAML 整合嘅熱門 IdP 清單中作出選擇。如果你喺清單中搵唔到你嘅 IdP,或者你想使用 OIDC 連線,你可以選擇底部顯示嘅相應自訂連線按鈕:
建立/連接應用程式
而家你可以跟住逐步設定精靈,協助建立並將你嘅 IdP 應用程式連接到我哋。視乎你使用嘅 IdP,你見到嘅指示可能會有少少差異,但整體設定方式都係一樣:
請注意,建立步驟中提供嘅 URL 會因應你嘅組織而有所不同:
重要:如果你選擇重設一個正常運作嘅 SSO 連線,呢啲 URL 值將會改變。重新設定 SSO 時,你需要確保亦有相應更新你應用程式入面嘅設定。
完成 URL 設定後,你可以繼續為經你應用程式驗證嘅使用者定義屬性對應。
屬性對應
你喺應用程式中定義嘅屬性對應,最終會決定你嘅使用者點樣被建立/喺 API Platform 中點樣顯示。我哋目前嘅使用者模型支援三項屬性:
電郵地址(SAML 回應中必填)
名字(非必填,但建議提供)
姓氏(非必填,但建議提供)
注意:我哋唔支援解密 SAML 回應。請確保你冇加密回應或聲明,以便我哋能夠正確識別屬性。
視乎你嘅 IdP,實際屬性對應會有所不同。我哋建議你遵循設定精靈中為你嘅 IdP 顯示嘅準確對應,例如 Okta 會係:
如果你見到新使用者嘅電郵地址被設為顯示名稱,請檢查你嘅屬性對應,並確認你並冇加密你嘅回應。
另外,如果新使用者被要求輸入姓名同生日,好可能表示我哋未能從你嘅屬性回應中識別到正確嘅姓名值。
電郵地址變更
有時,使用者嘅電郵地址可能會喺你嘅 IdP 入面更新,例如:
結婚後因法定姓名更改
其公司被收購,並有新網域
等等
最終會導致一個與新電郵地址綁定嘅新 OpenAI 使用者被建立。喺某啲情況下,舊有驗證設定檔可能會殘留,令新使用者無法成功登入。遇到呢種情況,請聯絡 Support 尋求協助。
主要電郵地址
喺某啲情況下,你嘅使用者可能有多個唔同嘅電郵地址。呢種情況喺擁有分散式郵件系統嘅大公司,或者有唔同學院嘅 Edu 客戶中都好常見,例如:
喺呢種情況下,我哋建議確保你嘅 SAML 回應屬性中只包含一個電郵地址,因為包含多個電郵地址可能會喺我哋嘗試將其關聯到新或現有使用者時造成混亂。
另外,如果使用者有固定電郵地址(例如 UPN),我哋建議你喺屬性對應中使用呢個地址,以確保佢哋擁有穩定嘅 OpenAI 使用者帳戶,而唔會喺其他電郵地址變更時受到影響。
配置 IdP 應用程式存取權
成功建立屬性對應後,精靈會引導你完成步驟,透過所需群組向適當使用者配置存取權。
請參閱我哋有關使用者管理嘅建議,以了解最佳做法。
設定 IdP 中繼資料
到咗設定流程呢一步,你有兩個獨立選項去定義你嘅 IdP 中繼資料:Dynamic Configuration 同 Manual Configuration。
Dynamic Configuration
呢個係建議採用、亦都最直接嘅選項。使用 Dynamic Configuration 時,你只需要提供與你應用程式相關嘅 Metadata URL(而家會根據你之前設定嘅 SSO URL 同 Entity ID 自動填入)。設定精靈會顯示畀你知喺 IdP 邊度可以搵到:
Manual Configuration
顧名思義,Manual Configuration 需要多少少工夫。視乎你嘅 IdP,你需要輸入相應嘅 SSO URL 同 IdP issuer,以及 x.509 憑證:
IdP 發起登入
如果你想使用者能夠撳佢哋儀表板上嘅圖塊並自動完成驗證,你可以喺設定流程中一併為應用程式設定由 IdP 發起嘅驗證。雖然實際流程會因應你嘅 IdP 而有所不同,但一般都會使用以下格式嘅 URL:
例如,Okta 會引導你使用呢個 URL 建立一個新 Bookmark Application:
而 Entra ID 就會畀你喺相應表格中輸入所提供嘅「Sign on URL」:
重要:如果你選擇重設一個正常運作嘅 SSO 連線,呢啲 URL 值將會改變。
即係話,當你設定新連線時,你亦需要相應更新你嘅 Sign on URL,否則使用者將無法透過佢哋嘅圖塊進行驗證。
完成設定
設定好你嘅 IdP 中繼資料後,你可以撳「Continue」繼續設定任何選用嘅書籤應用程式。最後一個必要設定步驟會喺「Test Single Sign-On」頁面:
撳「Continue to sign-in」之後,精靈會嘗試測試你嘅新連線。如果一切成功,即代表你已經為 API Platform 組織啟用 SSO。你而家應該會喺設定頁面見到反映:
你 IdP 群組中、喺 Enterprise 工作區有相應帳戶或邀請嘅使用者,而家應該可以透過 SSO 登入:
佢哋可以前往 platform.openai.com,輸入電郵地址,之後喺我哋將佢哋轉送到其 IdP 後完成驗證
佢哋可以使用你喺設定期間(可選)設定嘅 Bookmark Tile URL
如果你發現使用者無法成功驗證,而你喺還原變更時又遇到問題,請即時聯絡 Support 尋求協助。
請記住,喺 API Platform 啟用 SSO 會將網域驗證套用到所有使用該網域嘅使用者。即係話,即使該等使用者唔屬於你嘅 Enterprise 組織,佢哋仍然必須屬於你嘅 IdP 群組,先可以存取佢哋嘅個人組織。
登入疑難排解
如果你喺啟用 SSO 後遇到登入問題,可以參閱我哋嘅常見問題與疑難排解頁面,以協助識別常見錯誤。如果你喺嗰度搵唔到足夠答案,請隨時聯絡 Support。