Цел
Това ръководство има за цел да предостави на администратори и ИТ екипи необходимата информация, която да вземат предвид преди да конфигурират SSO в своите акаунти за ChatGPT или Platform. SSO е налично за клиенти на Business, Enterprise и Edu.
Основна архитектура и терминология
В момента SSO се поддържа чрез SAML удостоверяване както за ChatGPT, така и за API Platform.
Работно пространство означава инстанция на ChatGPT
Организация означава инстанция на API Platform
Доставчик на идентичност (IdP) означава услугата, която използвате за управление на цифрова идентичност. Поддържаме връзки чрез всички IdP, които поддържат SAML. Някои от най-често срещаните IdP, с които сме се свързвали, включват:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
За пълния списък с поддържани IdP, вижте страницата с интеграции на WorkOS. Поддържаме всички интеграции на трети страни на тази страница, към които може да се свързвате чрез SAML или OIDC.
Понастоящем всяко работно пространство в ChatGPT има съответстваща организация в Platform, свързана с него. Това означава, че идентификаторът на организацията (org-id), който намирате на вашата Enterprise страница „General“ в Platform, е същият идентификатор на организацията (org-id), свързан с вашето Enterprise работно пространство в ChatGPT. В резултат вашето работно пространство и организация споделят един и същ слой за удостоверяване:
В резултат от тази архитектура има няколко ключови неща, които трябва да се отбележат:
Един идентификатор на организация (org-id) може да поддържа само една конфигурация на IdP.
Проверките на домейн и настройките за SAML SSO се споделят между ChatGPT и API Platform.
SSO трябва да се активира отделно за ChatGPT и за API Platform. След като обаче го конфигурирате за едното, „настройката“ на другото до голяма степен е просто да включите превключвателя и да добавите приложение тип bookmark във вашия IdP, ако желаете.
Първи стъпки със SSO
Преди да конфигурирате SSO във вашия акаунт, е важно първо да разберете някои ключови концепции за функционалността на SSO в OpenAI.
Обща терминология за идентичност
Provisioning
Когато OpenAI използва provisioning в контекста на потребители, имаме предвид конкретно provision-ване на покани. Не поддържаме директно provision-ване на създаването на потребителски акаунти. Поканите могат да се provision-ват чрез:
SCIM (поддържа се както в SCIM интеграцията за ChatGPT, така и в SCIM интеграцията за API Platform)
Страницата „Members“ на ChatGPT или на API Platform
Автоматично създаване на акаунт
API за покани
Provision-ването на покани е независима стъпка от удостоверяването, извършвано чрез SSO.
Удостоверяване – „Вие ли сте този, за когото се представяте?“
Пример: IdP удостоверява потребител към нашата услуга, за да знаем, че е този, за когото се представя при влизане.
Оторизация – „Какво имате право да правите или виждате?“
Пример: След като вашият IdP ви удостовери, ние определяме на кое(и) работно(и) пространство(а) в ChatGPT сте член.
Запознаване с настройките за OpenAI SSO
Проверка на домейн
Това е предварително условие за активиране на SSO и автоматично създаване на акаунт. По същество: „Притежавате ли този домейн?“
При влизане чрез chatgpt.com или platform.openai.com провереният домейн определя дали потребителят да бъде пренасочен към страницата ни за парола или към своя IdP, когато SSO също е настроено
След като домейн бъде потвърден във вашето работно пространство, всеки потребител, поканен в него с имейл от този домейн, ще бъде подканен да обедини личния си акаунт при следващото влизане.
Удостоверяването в ChatGPT се базира на домейн И работно пространство — когато домейн е потвърден и SSO е активирано за работното пространство, само потребителите в това работно пространство, които споделят домейна, ще бъдат насочвани към SSO. Потребители, които споделят домейна, но НЕ са част от работното пространство (т.е. потребители с акаунти Free, Plus, Pro или Team от вашия домейн), ще продължат да влизат чрез имейл/парола или Social.
Удостоверяването в Platform е базирано на домейн — когато домейн е потвърден и SSO е активирано, всички потребители на Platform под този домейн ще загубят възможността да влизат с парола. Вижте „Проверка на домейн в ChatGPT спрямо API Platform“ по-долу за повече подробности.
Поддомейните трябва да се потвърждават отделно от домейните от най-високо ниво
За да можем успешно да обработим проверката на вашия домейн, вашият TXT запис трябва да е четим чрез DNS заявка.
(Само за ChatGPT) Автоматично създаване на акаунт (AAC)
Когато е активирано за работно пространство в ChatGPT, нов потребител, чийто имейл съвпада с потвърдения(те) домейн(и), автоматично ще получи покана за Enterprise работното пространство при регистрация. Не препоръчваме да активирате AAC, ако използвате SCIM.
(Само за ChatGPT) Разрешаване на покани от външни домейни
Тази настройка контролира дали потребители с непотвърдени домейни могат да бъдат канени в работното пространство. От потребителите от външни домейни няма да се изисква да влизат чрез SSO, тъй като настройките за SSO се прилагат само за потребители, принадлежащи към потвърдения домейн.
Активиране на SSO
Тази настройка определя дали конфигурираните от вас настройки за SSO се прилагат за работното пространство и/или организацията.
Налагане на SSO
Когато е деактивирана, тази настройка позволява на потребители с потвърден домейн да избират между влизане чрез SSO или чрез social login.
Глобалните администратори могат да зададат Enforce SSO като Required както за ChatGPT, така и за API Platform директно от страницата Manage SSO в Admin Console. Когато е активирана, тази настройка прави така, че потребители с потвърден домейн да могат да влизат в работното пространство или организацията с активирано SSO само чрез SSO. Удостоверяване с парола и social login вече не са валидни за работното пространство/организацията, но все още могат да се използват в други работни пространства/организации, където техният домейн не е потвърден.
Проверка на домейн в ChatGPT спрямо API Platform
Както беше обсъдено по-рано, проверката на домейн се прилага за споделените инстанции на ChatGPT и Platform. Има обаче съществена разлика в това как проверката на домейн влияе върху влизането в ChatGPT спрямо Platform, ако SSO е активирано:
SSO в API Platform е изцяло базирано на домейн. Това означава, че след като даден домейн бъде потвърден в която и да е организация и SSO бъде активирано, ВСИЧКИ потребители с този домейн ще загубят възможността да влизат с пароли. Ако нямат начин за Social удостоверяване, те ще загубят достъп до съответните си организации, освен ако не принадлежат към групата за достъп в IdP.
Обратно, от страна на ChatGPT ще бъдат засегнати само потребителите, които принадлежат към работното пространство, в което домейнът е потвърден. Потребителите, които не са в групата за достъп на IdP, все пак ще могат да влизат в работни пространства, използвайки методите, обсъдени в следващия раздел.
Изживяване при влизане за вашите потребители
OpenAI поддържа три различни метода за удостоверяване:
Потребителско име + парола
Social удостоверяване чрез Microsoft/Google/Apple
SSO
Имайте предвид, че поведението ще варира в зависимост от това дали потребителят влиза в ChatGPT или API Platform, дали домейнът му е потвърден и дали съответните му работни пространства/организации са наложили SSO.
Влизане, инициирано от SP
Всички потребители могат да отидат директно на chatgpt.com или platform.openai.com, за да влязат. При използване на тази опция различните методи за удостоверяване могат да бъдат задействани, както е показано по-долу:
Ако потребителят принадлежи към няколко работни пространства, включително такова, където SSO е активирано за неговия домейн, ще бъде подканен да избере в кое работно пространство да влезе.
Влизане в ChatGPT, инициирано от SP
Ако установим, че въведеният имейл принадлежи на работно пространство, в което домейнът му е потвърден, ще препратим потребителя към неговия IdP за удостоверяване. В противен случай потребителят ще бъде насочен да влезе, като въведе паролата си.
Ако потребителят принадлежи към няколко работни пространства, включително поне едно, където SSO е активирано за неговия домейн, ще бъде подканен да избере кой метод да използва за влизане:
Забележка: ако „Enforce SSO“ е активирано за конкретно работно пространство, потребителите с потвърдения(ите) домейн(и) могат да влизат само чрез SSO. Social и Password удостоверяване няма да бъдат налични.
Влизане в Platform, инициирано от SP
Както беше споменато по-рано, когато потребител с потвърден домейн въведе имейла си на страницата за вход в Platform, той винаги ще бъде насочван към своя IdP за удостоверяване.
Ето защо е критично важно да сте сигурни, че разбирате това, преди да активирате SSO за Platform. В противен случай е много лесно по погрешка да блокирате достъпа на потребители на Platform с лични акаунти.
Влизане, инициирано от IdP
Когато конфигурирате SSO от съответните страници за идентичност, ще намерите уникален Tile URL, предоставен както за ChatGPT, така и за API Platform:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login
Тези Tile URL адреси могат да бъдат конфигурирани във вашия IdP, за да позволят на потребителите ви автоматично да влизат/се удостоверяват с едно щракване.
Следващи стъпки
След като вече имате добра основа за нашата архитектура, моля, преминете към страницата „Разбиране на идеалната ви настройка за управление на потребители“, за да определите идеалната реализация за вашия случай на употреба. След това ще ви преведем през конфигурирането на SSO и SCIM във вашия акаунт.