我們會以這份文件來取代這裡的既有平台 SSO 文件。
必要條件
為了設定單一登入 (SSO),你必須:
擁有一個具有 Custom/Enterprise 計費方案的 API 平台組織
成為本組織的擁有者
至少擁有一個已驗證的網域
在繼續之前,請審閱我們的 SSO 概觀和使用者管理文件頁面,以確保你熟悉我們的單一登入架構。
如果你最近購買了 Enterprise ChatGPT 授權,並希望在 ChatGPT 工作區中設定單一登入 (SSO),請依照這裡的說明進行操作。
如果你之前在 Enterprise ChatGPT 工作區設定了 SSO,那麼你的 SSO 設定應該已移轉過來並可能已啟用。在此狀況下,你會看到欄位已在你的 API 平台身分頁面上預先填入,只需確保組織的「單一登入」按鈕已切換為開啟。
⚠️ 如果單一登入未正確設定,你和所有使用者將會遭到鎖定!
不正確的設定可能會導致你和所有使用者遭到鎖定。我們建議你,身為工作區的擁有者,保持兩個獨立的登入視窗開啟:
有人透過無痕視窗登入
有人透過你的標準瀏覽器登入
這讓你可以在一個視窗中測試登入程序和你的單一登入/網域驗證設定,並在需要時透過第二個視窗來還原變更。
測試單一登入
如果你想在不影響 Enterprise 組織的情況下測試設定程序,可以透過應用程式這裡進行。
在此測試應用程式上完成成功的連線不會繫結回你的生產組織,也不會儲存該連線 (因此一旦準備好,你可以在 Enterprise 組織中重複使用相同的參數)。這表示在你熟悉要求並解決任何缺少的先決條件時,使用它作為沙箱或 Playground 是安全的。
啟用單一登入
若要開始,請前往「組織」設定下的「身分」頁面。
如果此連結無法為你解決問題,這可能表示你的組織尚未正確配置,或者你的使用者帳戶沒有正確的權限。如果你認為情況並非如此,請聯絡支援團隊尋求協助。
網域驗證
為了啟用單一登入,我們會要求先驗證至少一個網域。
重要事項:啟用 SSO 後,請務必評估網域驗證可能對該網域的使用者產生的後續影響。
按一下「+ 新增網域」按鈕並輸入你的 DNS 以開始:
一旦提交,我們會提供一個金鑰供驗證網域的擁有權。前往你的 DNS 提供者,並新增一個包含所提供值的 TXT 記錄:
你的 TXT 記錄必須能夠透過 DNS 查詢來連線,才能使驗證檢查成功。
在你的 DNS 提供者中完成此操作後,返回設定頁面並按一下「檢查」按鈕。如果你的網域擁有權已成功驗證,你會看到狀態更新為「已驗證」。
你可以為每個組織 ID 新增最多 99 個已驗證的網域,我們提供 7 天的時間讓你完成驗證檢查,然後才會將網域標記為過期。
在預設的情況下,網域會是在單一組織中進行驗證的。不過,在有支援多組織網域驗證的設定中(例如:在啟用了多組織/多網域支援選項之後),相同的網域可能會在多個組織中進行驗證。如果你不確定當前的設定選項是否有支援這項功能,請與客服支援團隊聯絡。
設定應用程式
在成功驗證網域後,你可以透過設定 IdP 應用程式來進行單一登入設定。
若要開始,請按一下「管理單一登入」按鈕:
選取身分驗證提供者
你可以從原生支援 SAML 整合的最受歡迎 IdP 清單中選取。如果你在列表中看不到你的 IdP,或想使用 OIDC 連接,則可以選擇底部顯示的適當自訂連接按鈕:
建立/連接應用程式
你現在可以按照逐步設定精靈的指引,協助建立並將你的 IdP 應用程式與我們連接。根據你使用的 IdP,指示可能會略有不同,但整體設定保持不變:
請注意,建立步驟中提供的 URL 將專屬於貴組織:
重要事項:如果你選擇重設狀況良好的單一登入連線,則這些 URL 值將會變更。再次設定單一登入時,請確保在應用程式中相應地更新設定。
完成 URL 設定後,你可以繼續定義透過你的應用程式進行驗證的使用者屬性對應。
屬性對應
你在應用程式中定義的屬性對應最終決定了使用者在 API 平台中的建立及顯示方式。我們目前的使用者模型支援三個屬性:
電子郵件地址 (在 SAML 回應中為必填)
名字 (可選,但建議填寫)
姓氏 (可選,但建議填寫)
注意:我們不支援解密 SAML 回應。請確保你未加密回應或判斷提示,以便我們能正確識別屬性。
根據你的 IdP,具體的屬性對應會有所不同。我們建議你遵循設定精靈中為你 IdP 所描述的精確對應。Okta 將會是:
如果你看到新使用者的電子郵件地址被設為其顯示名稱,請審閱你的屬性對應,並確認你沒有加密回應。
或者,如果要求新使用者輸入其姓名和生日,這可能表示我們無法從你的屬性回應中識別出正確的姓名值。
電子郵件變更
有時候,使用者的電子郵件地址可能會在你的 IdP 中更新,例如:
婚後的法律姓名變更
他們的公司在被收購後有了一個新的網域
等等。
這樣最終會導致全新的 OpenAI 使用者被綁定一組全新的電子郵件地址。在特定的情況下,系統中可能會殘留先前未徹底清除的驗證設定檔,進而導致全新的使用者無法成功登入帳戶。若是碰到這種狀況的話,請與客服支援團隊聯絡以尋求協助。
主要電子郵件地址
在某些情況下,可能會有使用者擁有多個不同的電子郵件地址。這是大型公司中常見的情況,這些公司擁有分散的郵件系統,或是擁有不同學校的教育客戶,例如:
在這種情況下,我們建議確保你的 SAML 回應在其屬性中僅包含單一電子郵件地址,因為包含多個電子郵件地址可能會在我們嘗試將其繫結至新使用者或現有使用者時造成混淆。
此外,如果使用者有靜態的電子郵件地址 (例如 UPN),我們建議在屬性對應中使用此地址,以確保他們擁有穩定的 OpenAI 使用者帳戶,即使其他電子郵件地址發生變更也不會受到影響。
部署 IdP 應用程式存取權
一旦你成功建立屬性對應,精靈會引導你逐步完成透過所需群組為適當使用者部署存取權的步驟。
請審閱我們的使用者管理建議以瞭解最佳做法。
設定 IdP 中繼資料
在此設定階段,你有兩個分開的選項來定義 IdP 的中繼資料:動態設定和手動設定。
動態設定
這是推薦且最為直覺的選項。使用動態設定時,你只需提供與你應用程式相關聯的中繼資料 URL (現在會填入你先前設定的單一登入 URL 和實體 ID)。設定精靈會顯示你可以在 IdP 中找到此資訊的位置:
手動設定
顧名思義,手動設定需要更多操作。根據你的 IdP,你需要輸入相應的單一登入 URL 和 IdP 發行者,以及 x.509 憑證:
IdP 起始的登入
若你希望使用者能在其儀表板上按一下圖塊並自動驗證,則可以在設定程序中對你的應用程式設定 IdP 起始的驗證。雖然具體程序會因你的 IdP 而有所不同,但一般程序會使用提供的 URL,格式如下:
例如,Okta 會引導你逐步建立一個新的書籤應用程式,並使用此 URL:
Entra ID 將允許你在適當的表單中輸入提供的「登入 URL」:
重要:如果你選擇重設狀況良好的單一登入連接,則這些 URL 值將會變更。
這表示設定新連接時,你也需要相應地更新登入 URL,否則使用者將無法透過其圖塊進行驗證。
完成設定
一旦你設定了 IdP 的中繼資料後,可以按一下「繼續」來設定任何可選的書籤應用程式。最後一個必要設定步驟將在「測試單一登入」頁面上:
在按一下「繼續登入」後,精靈將嘗試測試你的新連線。如果一切順利,你將有效地為你的 API 平台組織啟用單一登入 (SSO)。你現在應該會發現此變更已反映在設定頁面:
你 IdP 群組中的使用者,若在 Enterprise 工作區上有相應的帳戶或邀請,現在應該可以使用單一登入來登入:
他們可以前往 platform.openai.com,輸入電子郵件,然後在我們將其重新導向至他們的 IdP 後進行驗證
他們可以使用你在設定期間中設定 (可選) 的書籤圖塊 URL
如果你發現使用者無法成功驗證,並且在還原變更時遇到困難,請聯絡支援團隊以獲得即時協助。
請記住,在 API 平台上啟用單一登入 (SSO) 會將網域驗證應用於所有使用該網域的使用者。這表示即使使用者不屬於您的 Enterprise 組織,仍然需要成為您 IdP 群組的成員才能存取他們的個人組織。
疑難排解登入
如果在啟用 SSO 後遇到登入問題,你可以審閱我們的常見問答集和疑難排解頁面,協助識別常見錯誤。如果你在那裡找不到充分的答案,請隨時聯絡支援團隊。