Účel

Tato příručka má správcům a IT týmům poskytnout potřebné informace, které je třeba zvážit před konfigurací SSO ve vašich účtech ChatGPT nebo Platform. SSO je k dispozici zákazníkům Business, Enterprise a Edu.

Architektura na pozadí a terminologie

SSO je aktuálně podporováno prostřednictvím ověřování SAML jak pro ChatGPT, tak pro API Platform.

• Pracovní prostor označuje instanci ChatGPT

• Organizace označuje instanci API Platform

• Poskytovatel identity (IdP) označuje službu, kterou používáte ke správě digitální identity. Podporujeme připojení přes všechny IdP, které podporují SAML. Mezi nejběžnější IdP, se kterými jsme se připojovali, patří:

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

Úplný seznam podporovaných IdP najdete na stránce integrací WorkOS. Podporujeme všechny integrace třetích stran na této stránce, které lze připojit přes SAML nebo OIDC.

V současnosti má každý pracovní prostor ChatGPT přiřazenou odpovídající organizaci Platform. To znamená, že ID organizace (org-id), které najdete na své stránce Enterprise Platform „Obecné“, je stejné ID organizace (org-id), které je přiřazené k vašemu pracovnímu prostoru Enterprise ChatGPT. V důsledku toho váš pracovní prostor a organizace sdílejí stejnou vrstvu ověřování:

V důsledku této architektury je třeba upozornit na několik klíčových věcí:

1. Jedno ID organizace (org-id) může podporovat jen jednu konfiguraci IdP.

2. Ověření domény a nastavení SAML SSO jsou sdílená mezi ChatGPT a API Platform.

3. SSO je nutné povolit zvlášť v ChatGPT a v API Platform. Jakmile je ale nastavíte v jednom z nich, „nastavení“ druhého spočívá z velké části jen v přepnutí přepínače a případném přidání bookmark aplikace ve vašem IdP.

Začínáme se SSO

Před konfigurací SSO ve vašem účtu je důležité nejprve porozumět některým klíčovým konceptům funkce SSO od OpenAI.

Obecná terminologie identity

Provisioning
Když OpenAI v souvislosti s uživateli mluví o provisioningu, máme tím konkrétně na mysli provisioning pozvánek. Přímo nepodporujeme provisioning vytvoření uživatelských účtů. Pozvánky lze provisionovat prostřednictvím:

1. SCIM (podporováno v integraci ChatGPT SCIM i v integraci API Platform SCIM)

2. Stránky „Členové“ v ChatGPT nebo v API Platform

3. Automatické vytváření účtů

4. API pro pozvánky

Provisioning pozvánek je nezávislý krok oddělený od ověřování prováděného přes SSO.

Ověření identity – „Jste tím, za koho se vydáváte?“

Příklad: IdP ověří uživatele vůči naší službě, abychom při přihlášení věděli, že je tím, za koho se vydává.

Autorizace – „Co smíte dělat nebo vidět?“

Příklad: Poté, co vás váš IdP ověří, určíme, ve kterých pracovních prostorech ChatGPT jste členem.

Seznámení s nastavením OpenAI SSO

Ověření domény
To je předpoklad pro povolení SSO a automatického vytváření účtů. V zásadě: „Vlastníte tuto doménu?“

1. Při přihlašování přes chatgpt.com nebo platform.openai.com určuje ověřená doména, zda bude uživatel přesměrován na naši stránku s heslem, nebo ke svému IdP, pokud je zároveň nastavené SSO

2. Jakmile je doména ve vašem pracovním prostoru ověřena, každý uživatel pozvaný do pracovního prostoru s e-mailem z této domény bude při příštím přihlášení vyzván ke sloučení svého osobního účtu.

3. Ověřování v ChatGPT je založené na doméně A pracovním prostoru – když je doména ověřena a v pracovním prostoru je povoleno SSO, budou do SSO směrováni jen uživatelé v tomto pracovním prostoru, kteří sdílejí tuto doménu. Uživatelé, kteří sdílejí doménu, ale NEJSOU součástí pracovního prostoru (tj. uživatelé účtů Free, Plus, Pro nebo Team z vaší domény), se budou i nadále přihlašovat přes e-mail/heslo nebo Social.

4. Ověřování na Platform je založené na doméně – když je doména ověřena a je povoleno SSO, všichni uživatelé Platform pod touto doménou ztratí možnost přihlášení heslem. Více podrobností najdete níže v části „Ověření domény v ChatGPT vs. API Platform“.

5. Subdomény musí být ověřeny odděleně od domén nejvyšší úrovně

Abychom mohli vaše ověření domény úspěšně zpracovat, musí být váš TXT záznam čitelný prostřednictvím DNS lookupu.

(Pouze ChatGPT) Automatické vytváření účtů (AAC)
Je-li tato funkce povolena v pracovním prostoru ChatGPT, nový uživatel, jehož e-mail odpovídá ověřeným doménám, automaticky obdrží pozvánku do pracovního prostoru Enterprise při registraci. Nedoporučujeme povolovat AAC, pokud používáte SCIM.

(Pouze ChatGPT) Povolit pozvánky z externích domén
Toto nastavení určuje, zda lze do pracovního prostoru zvát uživatele z neověřených domén. Uživatelé z externích domén nebudou muset používat přihlášení přes SSO, protože nastavení SSO se vztahuje jen na uživatele patřící k ověřené doméně.

Povolit SSO
Toto nastavení určuje, zda se vaše nakonfigurované nastavení SSO vztahuje na pracovní prostor a/nebo organizaci.

Vynutit SSO

Když je vypnuto, toto nastavení umožňuje uživatelům s ověřenou doménou zvolit si přihlášení přes SSO nebo přes sociální přihlášení.

Globální správci mohou nastavit Vynutit SSO na Povinné pro ChatGPT i API Platform přímo na stránce Správa SSO v Admin Console. Když je zapnuto, toto nastavení zajistí, že uživatelé s ověřenou doménou se mohou do pracovního prostoru nebo organizace s povoleným SSO přihlašovat pouze přes SSO. Ověření heslem a sociální ověřování už pro pracovní prostor/organizaci neplatí, ale stále je lze použít v jiných pracovních prostorech/organizacích, kde jejich doména není ověřena.

Ověření domény v ChatGPT vs. API Platform

Jak bylo uvedeno dříve, ověření domény se uplatňuje napříč sdílenými instancemi ChatGPT a Platform. Existuje však zásadní rozdíl v tom, jak ověření domény ovlivňuje přihlášení do ChatGPT oproti Platform, pokud je povoleno SSO:

Způsob přihlašování vašich uživatelů

OpenAI podporuje tři různé metody ověřování:

1. Uživatelské jméno + heslo

2. Sociální ověřování přes Microsoft/Google/Apple

3. SSO

Mějte na paměti, že chování se bude lišit podle toho, zda se uživatel přihlašuje do ChatGPT nebo API Platform, zda je jeho doména ověřena a zda je v příslušných pracovních prostorech/organizacích vynuceno SSO.

Přihlášení iniciované SP

Všichni uživatelé mohou přejít přímo na chatgpt.com nebo platform.openai.com a přihlásit se. Při použití této možnosti lze různé metody ověřování spustit, jak je uvedeno níže:

Pokud uživatel patří do více pracovních prostorů, včetně jednoho, kde bylo pro jeho doménu povoleno SSO, bude vyzván k výběru pracovního prostoru, do kterého se chce přihlásit.

Přihlášení iniciované SP v ChatGPT

Pokud zjistíme, že zadaný e-mail patří do pracovního prostoru, kde je jeho doména ověřena, přesměrujeme uživatele k jeho IdP k ověření. V opačném případě bude uživatel vyzván k přihlášení zadáním hesla.

Pokud uživatel patří do více pracovních prostorů, včetně alespoň jednoho, kde bylo pro jeho doménu povoleno SSO, bude vyzván k výběru metody přihlášení:

Přihlášení iniciované SP v Platform

Jak bylo zmíněno dříve, když uživatel s ověřenou doménou zadá svůj e-mail na přihlašovací stránce Platform, bude vždy přesměrován ke svému IdP k ověření.

Proto je zásadní, abyste tomu před povolením SSO pro Platform správně rozuměli. Jinak je velmi snadné omylem zablokovat uživatele Platform na osobních účtech.

Přihlášení iniciované IdP

Při konfiguraci SSO na příslušných stránkách identity najdete jedinečnou adresu Tile URL pro ChatGPT i API Platform:

• ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef

• Platform: https://platform.openai.com/enterprise/conn_012abc/login

Tyto adresy Tile URL lze nakonfigurovat ve vašem IdP tak, aby se vaši uživatelé mohli automaticky přihlásit/ověřit jediným kliknutím.

Další kroky

Teď, když máte dobrý základ ohledně naší architektury, pokračujte prosím na naši stránku „Jak porozumět ideálnímu nastavení správy uživatelů“, kde určíte ideální implementaci pro svůj případ použití. Poté vás provedeme konfigurací SSO a SCIM ve vašem účtu.