OpenAI
Tato stránka byla přeložena strojově. Zobrazit původní článek v angličtině.

Přehled SSO

Obecný přehled SSO a jeho fungování napříč ChatGPT a Platform

Aktualizováno: 2 days ago

Účel

Tato příručka má správcům a IT týmům poskytnout potřebné informace, které je vhodné zvážit před konfigurací SSO v účtech ChatGPT nebo Platform. SSO je k dispozici zákazníkům Business, Enterprise a Edu.

Základní architektura a terminologie

SSO je v současnosti podporováno prostřednictvím ověření SAML pro ChatGPT i API Platform.

  • Pracovní prostor označuje instanci ChatGPT

  • Organizace označuje instanci API Platform

  • Poskytovatel identity (IdP) označuje službu, kterou používáte ke správě digitální identity. Podporujeme připojení přes všechny IdP, které podporují SAML. Mezi nejběžnější IdP, se kterými jsme se propojili, patří:

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

Úplný seznam podporovaných IdP najdete na stránce integrací WorkOS. Podporujeme všechny integrace třetích stran na této stránce, ke kterým se lze připojit přes SAML nebo OIDC.

Každý pracovní prostor ChatGPT má v současnosti přiřazenou odpovídající organizaci Platform. To znamená, že ID organizace (org-id), které najdete na stránce „Obecné“ pro Platform Enterprise, je stejné ID organizace (org-id), které je přiřazeno k vašemu pracovnímu prostoru ChatGPT Enterprise. V důsledku toho váš pracovní prostor a organizace sdílejí stejnou vrstvu ověření identity:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Z této architektury vyplývá několik důležitých poznámek:

  1. Jedno ID organizace (org-id) může podporovat pouze jednu konfiguraci IdP.

  2. Ověření domén a nastavení SAML SSO jsou sdílené mezi ChatGPT a API Platform.

  3. SSO je nutné povolit samostatně pro ChatGPT a pro API Platform. Jakmile je však nakonfigurujete v jedné z nich, „nastavení“ té druhé většinou znamená jen přepnout přepínač a případně přidat aplikaci záložky ve vašem IdP.

Začínáme se SSO

Před konfigurací SSO ve vašem účtu je důležité nejprve porozumět některým klíčovým konceptům funkce SSO od OpenAI.

Obecná terminologie k identitám

Zřizování Když OpenAI mluví o zřizování v kontextu uživatelů, máme konkrétně na mysli zřizování pozvánek. Přímé zřizování vytváření uživatelských účtů nepodporujeme. Pozvánky lze zřizovat prostřednictvím:

  1. SCIM (podporováno jak v integraci ChatGPT SCIM, tak v integraci API Platform SCIM)

  2. Stránka „Členové“ v ChatGPT nebo na API Platform

  3. Automatické vytvoření účtu

  4. Invites API

Zřizování pozvánek je samostatný krok nezávislý na ověření identity prováděném pomocí SSO.


Ověření identity – „Jste tím, za koho se vydáváte?“

Příklad: IdP ověří uživatele pro naši službu, abychom při přihlášení věděli, že je tím, za koho se vydává.


Autorizace – „Co smíte dělat nebo zobrazit?“

Příklad: Poté, co vás IdP ověří, určíme, kterých pracovních prostorů ChatGPT jste členem.

Seznámení s nastavením SSO OpenAI

Ověření domény Je předpokladem pro povolení SSO a automatického vytvoření účtu. V podstatě: „Vlastníte tuto doménu?“

  1. Při přihlášení přes chatgpt.com nebo platform.openai.com ověřená doména určuje, zda bude uživatel přesměrován na naši stránku pro heslo, nebo do svého IdP, pokud je zároveň nastaveno SSO.

  2. Jakmile je doména ve vašem pracovním prostoru ověřena, každý uživatel pozvaný do pracovního prostoru s e-mailem z této domény bude při příštím přihlášení vyzván ke sloučení svého osobního účtu.

  3. Ověření identity v ChatGPT je založeno na doméně I pracovním prostoru – když je doména ověřena a v pracovním prostoru je povoleno SSO, budou na SSO směrováni pouze uživatelé v tomto pracovním prostoru, kteří mají stejnou doménu. Uživatelé se stejnou doménou, kteří ale NEJSOU součástí pracovního prostoru (tj. uživatelé účtů Free, Plus, Pro nebo Team z vaší domény), se budou dál přihlašovat přes e-mail/heslo nebo sociální přihlášení.

  4. Ověření identity v Platform je založeno na doméně – když je doména ověřena a SSO je povoleno, všichni uživatelé Platform pod touto doménou ztratí možnost přihlašovat se heslem. Další podrobnosti najdete níže v části „Ověření domény v ChatGPT vs. API Platform“.

  5. Subdomény je nutné ověřit odděleně od domén nejvyšší úrovně.

Abychom mohli úspěšně zpracovat ověření vaší domény, musí být váš TXT záznam čitelný prostřednictvím vyhledání DNS.


(Pouze ChatGPT) Automatické vytvoření účtu (AAC) Když je tato funkce povolena v pracovním prostoru ChatGPT, nový uživatel, jehož e-mail odpovídá ověřeným doménám, při registraci automaticky obdrží pozvánku do pracovního prostoru Enterprise. Pokud používáte SCIM, nedoporučujeme AAC povolovat.


(Pouze ChatGPT) Povolit pozvánky z externích domén Toto nastavení řídí, zda lze do pracovního prostoru zvát uživatele s neověřenými doménami. Uživatelé z externích domén se nebudou muset přihlašovat přes SSO, protože nastavení SSO platí pouze pro uživatele patřící k ověřené doméně.


Povolit SSO Toto nastavení určuje, zda se nakonfigurovaná nastavení SSO použijí na pracovní prostor a/nebo organizaci.


Vynucovat SSO

Když je toto nastavení zakázáno, umožňuje uživatelům s ověřenou doménou vybrat si mezi přihlášením přes SSO a sociálním přihlášením.

Globální správci mohou nastavit Vynucovat SSO jako povinné pro ChatGPT i API Platform přímo ze stránky Spravovat SSO v konzoli správce. Když je toto nastavení povoleno, uživatelé s ověřenou doménou se mohou do pracovního prostoru nebo organizace s povoleným SSO přihlásit pouze přes SSO. Ověření heslem a sociální ověření už nejsou pro daný pracovní prostor/organizaci platné, ale lze je nadále používat v jiných pracovních prostorech/organizacích, kde jejich doména není ověřena.

Ověření domény v ChatGPT vs. API Platform

Jak bylo uvedeno dříve, ověření domény se použije napříč sdílenými instancemi ChatGPT a Platform. Pokud je však povoleno SSO, existuje zásadní rozdíl v tom, jak ověření domény ovlivňuje přihlašování do ChatGPT oproti Platform:

SSO na API Platform je zcela založené na doméně. To znamená, že jakmile je doména ověřena v libovolné organizaci a je povoleno SSO, VŠICHNI uživatelé s touto doménou ztratí možnost přihlašovat se heslem. Pokud nemají možnost sociálního ověření identity, nebudou se moci do svých příslušných organizací dostat, pokud nepatří do přístupové skupiny IdP.

Na straně ChatGPT se naopak změna dotkne pouze uživatelů, kteří patří do pracovního prostoru, kde byla doména ověřena. Uživatelé, kteří nejsou v přístupové skupině IdP, se budou i nadále moci přihlašovat do pracovních prostorů pomocí metod popsaných v další části.

Přihlašování z pohledu vašich uživatelů

OpenAI podporuje tři různé metody ověření identity:

  1. Uživatelské jméno + heslo

  2. Sociální ověření identity přes Microsoft/Google/Apple

  3. SSO

Mějte na paměti, že chování se bude lišit podle toho, zda se uživatel přihlašuje do ChatGPT nebo API Platform, zda je jeho doména ověřena a zda je v příslušných pracovních prostorech či organizacích vynuceno SSO.

Přihlášení iniciované SP

Všichni uživatelé mohou přejít přímo na chatgpt.com nebo platform.openai.com a přihlásit se. Při použití této možnosti lze jednotlivé metody ověření identity spustit takto:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Pokud uživatel patří do více pracovních prostorů, včetně některého, kde bylo pro jeho doménu povoleno SSO, bude vyzván, aby vybral pracovní prostor, do kterého se chce přihlásit.

Přihlášení do ChatGPT iniciované SP

Pokud zjistíme, že zadaný e-mail patří do pracovního prostoru, kde je jeho doména ověřena, přesměrujeme uživatele do jeho IdP k ověření identity. V opačném případě bude uživatel přesměrován k přihlášení zadáním hesla.

Pokud uživatel patří do více pracovních prostorů, včetně alespoň jednoho, kde bylo pro jeho doménu povoleno SSO, bude vyzván, aby vybral metodu přihlášení:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Poznámka: pokud bylo pro konkrétní pracovní prostor povoleno „Vynucovat SSO“, uživatelé s ověřenými doménami se mohou přihlašovat pouze prostřednictvím SSO. Sociální ověření ani ověření heslem nebude k dispozici.

Přihlášení k Platform iniciované SP

Jak již bylo zmíněno, když uživatel s ověřenou doménou zadá e-mail na přihlašovací stránce Platform, bude vždy přesměrován do svého IdP k ověření identity.

Proto je zásadní si vše dobře ujasnit ještě před povolením SSO pro Platform. Jinak je velmi snadné omylem zablokovat uživatele Platform v osobních účtech.

Přihlášení iniciované IdP

Při konfiguraci SSO z příslušných stránek identity najdete jedinečnou adresu URL dlaždice pro ChatGPT i API Platform:

Tyto adresy URL dla dlaždic lze nakonfigurovat v IdP, aby se vaši uživatelé mohli jedním kliknutím automaticky přihlásit a ověřit.

Další kroky

Nyní, když máte dobrý základ v naší architektuře, přejděte prosím na stránku „Jak porozumět ideálnímu nastavení správy uživatelů“, kde určíte ideální implementaci pro svůj případ použití. Poté vás provedeme konfigurací SSO a SCIM ve vašem účtu.

Byl tento článek užitečný?