Цел
Това ръководство има за цел да предостави на администраторите и ИТ екипите необходимата информация, която да вземат предвид, преди да конфигурират SSO във вашите акаунти в ChatGPT или Platform. SSO е налично за клиенти на Business, Enterprise и Edu.
Основна архитектура и терминология
SSO в момента се поддържа чрез SAML удостоверяване както за ChatGPT, така и за API Platform.
Работно пространство означава инстанция на ChatGPT
Организация означава инстанция на API Platform
Доставчик на идентичност (IdP) означава услугата, която използвате за управление на цифрова идентичност. Поддържаме връзки чрез всички IdP, които поддържат SAML. Някои от най-често срещаните IdP, с които сме се свързвали, включват:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
За пълния списък с поддържани IdP вижте страницата с интеграции на WorkOS. Поддържаме всички интеграции на трети страни на тази страница, които могат да бъдат свързани чрез SAML или OIDC.
В момента всяко работно пространство на ChatGPT има съответна организация в Platform, свързана с него. Това означава, че Organization ID (org-id), който намирате в страницата „General“ на Platform за Enterprise, е същият Organization ID (org-id), свързан с вашето работно пространство Enterprise в ChatGPT. В резултат на това вашето работно пространство и организация споделят един и същ слой за удостоверяване:
В резултат на тази архитектура има няколко ключови неща, които трябва да се отбележат:
Един Organization ID (org-id) може да поддържа само една конфигурация на IdP.
Потвърждаванията на домейни и настройките за SAML SSO се споделят между ChatGPT и API Platform.
SSO трябва да бъде активирано отделно за ChatGPT спрямо API Platform. След като го конфигурирате в едната, „настройката“ на другата обаче до голяма степен се свежда до включване на превключвателя и добавяне на приложение отметка във вашия IdP, ако желаете.
Първи стъпки със SSO
Преди да конфигурирате SSO във вашия акаунт, е важно първо да разберете някои ключови понятия за функционалността SSO на OpenAI.
Обща терминология за идентичността
Провизиране Когато OpenAI говори за провизиране в контекста на потребители, имаме предвид конкретно провизиране на покани. Не поддържаме директно провизиране на създаването на потребителски акаунти. Поканите могат да се провизират чрез:
SCIM (поддържа се както в интеграцията на ChatGPT със SCIM, така и в интеграцията на API Platform със SCIM)
Страницата „Членове“ на ChatGPT или API Platform
Автоматично създаване на акаунт
API за покани
Провизирането на покани е отделна стъпка от удостоверяването, извършвано чрез SSO.
Удостоверяване – „Вие ли сте този, за когото се представяте?“
Пример: IdP удостоверява потребител пред нашата услуга, за да знаем, че при влизане той е този, за когото се представя.
Упълномощаване – „Какво ви е разрешено да правите или виждате?“
Пример: След като вашият IdP ви удостовери, определяме в кои работни пространства на ChatGPT членувате.
Запознаване с настройките за SSO на OpenAI
Потвърждаване на домейн Това е предварително условие за активиране на SSO и автоматично създаване на акаунти. Накратко: „Притежавате ли този домейн?“
При влизане чрез chatgpt.com или platform.openai.com потвърденият домейн определя дали потребителят да бъде препратен към нашата страница за парола, или към своя IdP, когато SSO също е настроено
След като домейн бъде потвърден във вашето работно пространство, всеки потребител, поканен в него с имейл от този домейн, ще бъде подканен да обедини личния си акаунт при следващото си влизане.
Удостоверяването в ChatGPT е базирано И на домейн, И на работно пространство — когато домейнът е потвърден и SSO е активирано за работното пространство, само потребителите в това работно пространство, които споделят домейна, ще бъдат насочвани към SSO. Потребителите, които споделят домейна, но НЕ са част от работното пространство (т.е. потребители с акаунти Free, Plus, Pro или Team от вашия домейн), ще продължат да влизат чрез имейл/парола или социално удостоверяване.
Удостоверяването в Platform е базирано на домейн — когато домейнът е потвърден и SSO е активирано, всички потребители на Platform под този домейн ще загубят възможността да влизат с парола. Вижте „Потвърждаване на домейн в ChatGPT спрямо API Platform“ по-долу за повече подробности.
Поддомейните трябва да се потвърждават отделно от домейните от най-високо ниво
За да можем успешно да обработим потвърждаването на домейна ви, вашият TXT запис трябва да бъде четим чрез DNS заявка.
(Само за ChatGPT) Автоматично създаване на акаунт (AAC) Когато е активирано за работно пространство на ChatGPT, нов потребител, чийто имейл съвпада с потвърдения домейн/домейни, автоматично ще получи покана за работното пространство Enterprise при регистрация. Не препоръчваме да активирате AAC, ако използвате SCIM.
(Само за ChatGPT) Разрешаване на покани към външни домейни Тази настройка контролира дали потребители с непотвърдени домейни могат да бъдат канени в работното пространство. Потребителите от външни домейни няма да бъдат задължени да влизат чрез SSO, тъй като настройките за SSO се прилагат само за потребители, принадлежащи към потвърдения домейн.
Активиране на SSO Тази настройка определя дали конфигурираните от вас настройки за SSO се прилагат към работното пространство и/или организацията.
Налагане на SSO
Когато е деактивирана, тази настройка позволява на потребителите с потвърден домейн да избират дали да влизат чрез SSO, или чрез социално влизане.
Глобалните администратори могат да зададат Enforce SSO като задължително както за ChatGPT, така и за API Platform директно от страницата Manage SSO в Admin Console. Когато е активирана, тази настройка прави така, че потребителите с потвърден домейн да могат да влизат в работното пространство или организацията с активирано SSO само чрез SSO. Удостоверяването с парола и социалното удостоверяване вече не са валидни за работното пространство/организацията, но все още могат да се използват в други работни пространства/организации, където домейнът им не е потвърден.
Потвърждаване на домейн в ChatGPT спрямо API Platform
Както беше обсъдено по-рано, потвърждаването на домейн се прилага в споделените инстанции на ChatGPT и Platform. Има обаче критична разлика в начина, по който потвърждаването на домейн влияе върху влизанията в ChatGPT спрямо Platform, ако SSO е активиран:
SSO в API Platform е изцяло базиран на домейн. Това означава, че след като домейн бъде потвърден в която и да е организация и SSO бъде активиран, ВСИЧКИ потребители с този домейн ще загубят възможността да влизат с пароли. Ако нямат възможност за социално удостоверяване, те ще бъдат блокирани извън съответните си организации, освен ако не принадлежат към групата за достъп на IdP.
Обратно, от страна на ChatGPT ще бъдат засегнати само потребителите, които принадлежат към работното пространство, в което домейнът е потвърден. Потребителите, които не са в групата за достъп на IdP, все още ще могат да влизат в работни пространства чрез методите, разгледани в следващия раздел.
Изживяване при влизане за вашите потребители
OpenAI поддържа три различни метода за удостоверяване:
Потребителско име + парола
Социално удостоверяване чрез Microsoft/Google/Apple
SSO
Имайте предвид, че поведението ще се различава според това дали потребителят влиза в ChatGPT или в API Platform, дали домейнът му е потвърден и дали за съответните му работни пространства/организации е наложено SSO.
Влизане, инициирано от SP
Всички потребители могат да отидат директно на chatgpt.com или platform.openai.com, за да влязат. При използване на тази опция различните методи за удостоверяване могат да се задействат, както е показано по-долу:
Ако потребителят принадлежи към няколко работни пространства, включително такова, в което SSO е активиран за неговия домейн, ще бъде подканен да избере в кое работно пространство да влезе.
Влизане в ChatGPT, инициирано от SP
Ако установим, че въведеният имейл принадлежи към работно пространство, в което домейнът му е потвърден, ще препратим потребителя към неговия IdP за удостоверяване. В противен случай потребителят ще бъде насочен да влезе, като въведе паролата си.
Ако потребителят принадлежи към няколко работни пространства, включително поне едно, в което SSO е активирано за неговия домейн, ще бъде подканен да избере кой метод да използва за влизане:
Забележка: ако „Enforce SSO“ е активирано за конкретно работно пространство, потребителите с потвърдения домейн/домейни могат да влизат само чрез SSO. Социалното удостоверяване и удостоверяването с парола няма да бъдат налични.
Влизане в Platform, инициирано от SP
Както беше споменато по-рано, когато потребител с потвърден домейн въведе имейла си на страницата за влизане в Platform, той винаги ще бъде насочван към своя IdP за удостоверяване.
Ето защо е изключително важно да сте сигурни, че разбирате това, преди да активирате SSO за Platform. В противен случай е много лесно по погрешка да блокирате достъпа на потребители на Platform с лични акаунти.
Влизане, инициирано от IdP
Когато конфигурирате SSO от съответните страници за идентичност, ще намерите уникален URL адрес на плочка, предоставен както за ChatGPT, така и за API Platform:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login
Тези URL адреси на плочки могат да бъдат конфигурирани във вашия IdP, за да позволят на потребителите ви автоматично да влизат/се удостоверяват с едно щракване.
Следващи стъпки
След като вече имате добра основа за нашата архитектура, моля, продължете към страницата ни „Разбиране на идеалната настройка за управление на потребителите“, за да определите идеалната реализация за вашия случай на употреба. След това ще ви преведем през конфигурирането на SSO и SCIM във вашия акаунт.