Formål
Denne vejledning har til formål at give administratorer og IT-teams de nødvendige oplysninger, som de bør overveje, før de konfigurerer SSO i deres ChatGPT- eller Platform-konti. SSO er tilgængeligt for Business-, Enterprise- og Edu-kunder.
Baggrundsarkitektur og terminologi
SSO understøttes i øjeblikket via SAML-godkendelse for både ChatGPT og API-platformen.
Arbejdsområde henviser til en instans af ChatGPT
Organisation henviser til en API Platform-instans
Identitetsudbyder (IdP) henviser til den tjeneste, du bruger til at administrere digital identitet. Vi understøtter forbindelser via alle IdP'er, der understøtter SAML. Nogle af de mest almindelige IdP'er, vi har oprettet forbindelse til, omfatter:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Du kan se den fulde liste over understøttede IdP'er på WorkOS' Integrationsside. Vi understøtter alle tredjepartsintegrationerne på denne side, som kan oprettes forbindelse til via enten SAML eller OIDC.
I øjeblikket har hvert ChatGPT-arbejdsområde en tilsvarende Platform-organisation knyttet til sig. Det betyder, at det organisations-id (org-id), du finder på Enterprise Platform-siden "Generelt", er det samme organisations-id (org-id), der er knyttet til dit Enterprise ChatGPT-arbejdsområde. Som følge heraf deler dit arbejdsområde og din organisation det samme godkendelseslag:

Der er nogle få vigtige ting at bemærke som følge af denne arkitektur:
Ét enkelt organisations-id (org-id) kan kun understøtte én enkelt IdP-konfiguration.
Domænebekræftelser og SAML SSO-indstillinger deles mellem ChatGPT og API-platformen.
SSO skal aktiveres separat på ChatGPT kontra API-platformen. Når du først har konfigureret det på den ene, består den andens "opsætning" dog i vid udstrækning blot i at slå det til og, hvis ønsket, tilføje en bogmærkeapp i din IdP.
Kom godt i gang med SSO
Før du konfigurerer SSO på din konto, er det vigtigt først at forstå nogle centrale begreber i OpenAI's SSO-funktionalitet.
Generel identitetsterminologi
Provisionering Når OpenAI henviser til provisionering i forbindelse med brugere, mener vi specifikt provisionering af invitationer. Vi understøtter ikke direkte provisionering af oprettelse af brugerkonti. Invitationer kan provisioneres via:
SCIM (understøttes i både ChatGPT SCIM-integration og API Platform SCIM-integration)
Siden "Medlemmer" i ChatGPT eller API-platformen
Automatisk kontooprettelse
Invitations-API
Provisionering af invitationer er et uafhængigt trin i forhold til den godkendelse, der udføres af SSO.
Godkendelse – »Er du den, du siger, du er?«
Eksempel: En IdP godkender en bruger til vores tjeneste, så vi ved, at brugeren er den, vedkommende udgiver sig for at være, når vedkommende logger ind.
Autorisation – »Hvad har du tilladelse til at gøre eller se?«
Eksempel: Når din IdP har godkendt dig, afgør vi, hvilke ChatGPT-arbejdsområder du er medlem af.
Lær OpenAI SSO-indstillingerne at kende
Domænebekræftelse Dette er en forudsætning for at aktivere SSO og automatisk kontooprettelse. Kort sagt: »Ejer du dette domæne?«
Ved login via chatgpt.com eller platform.openai.com afgør et bekræftet domæne, om en bruger skal sendes videre til vores adgangskodeside eller til sin IdP, når SSO også er konfigureret
Når et domæne er bekræftet i dit arbejdsområde, bliver enhver bruger, der inviteres til arbejdsområdet med en e-mail fra det domæne, bedt om at flette sin personlige konto næste gang, vedkommende logger ind.
ChatGPT-godkendelse er baseret på både domæne OG arbejdsområde – når et domæne er bekræftet, og SSO er aktiveret for arbejdsområdet, bliver kun brugere i det arbejdsområde, der deler domænet, sendt til SSO. Brugere, der deler domænet, men IKKE er en del af arbejdsområdet (dvs. brugere fra dit domæne med Free-, Plus-, Pro- eller Team-konti), fortsætter med at logge ind via e-mail/adgangskode eller social login.
Platform-godkendelse er domænebaseret – når et domæne er bekræftet, og SSO er aktiveret, mister alle Platform-brugere under det domæne muligheden for at logge ind med adgangskode. Se "Domænebekræftelse på ChatGPT kontra API-platformen" nedenfor for flere oplysninger.
Underdomæner skal bekræftes separat fra topdomæner
For at vi kan behandle din domænebekræftelse korrekt, skal din TXT-post kunne læses via et DNS-opslag.
(Kun ChatGPT) Automatisk kontooprettelse (AAC) Når dette er aktiveret for et ChatGPT-arbejdsområde, modtager en ny bruger, hvis e-mail matcher de bekræftede domæner, automatisk en invitation til Enterprise-arbejdsområdet, når vedkommende tilmelder sig. Vi anbefaler ikke at aktivere AAC, hvis du bruger SCIM.
(Kun ChatGPT) Tillad invitationer fra eksterne domæner Denne indstilling styrer, om brugere med ikke-bekræftede domæner kan inviteres til arbejdsområdet. Brugere fra eksterne domæner behøver ikke at logge ind via SSO, da SSO-indstillingerne kun gælder for brugere, der tilhører det bekræftede domæne.
Aktivér SSO Denne indstilling afgør, om dine konfigurerede SSO-indstillinger gælder for arbejdsområdet og/eller organisationen.
Gennemtving SSO
Når denne indstilling er deaktiveret, kan brugere med et bekræftet domæne vælge mellem at logge ind via SSO eller via social login.
Globale administratorer kan indstille Gennemtving SSO til Påkrævet for både ChatGPT og API-platformen direkte fra siden Administrer SSO i administratorkonsollen. Når denne indstilling er aktiveret, kan brugere med et bekræftet domæne kun logge ind på det SSO-aktiverede arbejdsområde eller den SSO-aktiverede organisation via SSO. Adgangskodegodkendelse og social godkendelse er ikke længere gyldige for arbejdsområdet/organisationen, men kan stadig bruges i andre arbejdsområder/organisationer, hvor deres domæne ikke er bekræftet.
Domænebekræftelse på ChatGPT kontra API-platformen
Som nævnt tidligere anvendes domænebekræftelse på tværs af de delte ChatGPT- og Platform-instanser. Der er dog en afgørende forskel på, hvordan domænebekræftelse påvirker login til ChatGPT kontra Platform, hvis SSO er aktiveret:
SSO på API-platformen er udelukkende domænebaseret. Det betyder, at når et domæne er blevet bekræftet i en hvilken som helst organisation, og SSO er aktiveret, mister ALLE brugere med det domæne muligheden for at logge ind med adgangskoder. Hvis de ikke har adgang til social godkendelse, bliver de låst ude af deres respektive organisationer, medmindre de tilhører IdP-adgangsgruppen.
Omvendt påvirkes kun de brugere på ChatGPT-siden, der tilhører det arbejdsområde, hvor domænet er blevet bekræftet. Brugere, der ikke er i IdP'ens adgangsgruppe, kan stadig logge ind på arbejdsområder med de metoder, der beskrives i næste afsnit.
Loginoplevelse for dine brugere
OpenAI understøtter tre forskellige godkendelsesmetoder:
Brugernavn + adgangskode
Social godkendelse via Microsoft/Google/Apple
SSO
Husk, at adfærden varierer afhængigt af, om brugeren logger ind på ChatGPT eller API-platformen, om brugerens domæne er bekræftet, og om de relevante arbejdsområder/organisationer har gennemtvunget SSO.
SP-initieret login
Alle brugere kan gå direkte til enten chatgpt.com eller platform.openai.com for at logge ind. Når denne mulighed bruges, kan de forskellige godkendelsesmetoder udløses som vist nedenfor:

Hvis brugeren tilhører flere arbejdsområder, herunder et hvor SSO er aktiveret for vedkommendes domæne, bliver brugeren bedt om at vælge, hvilket arbejdsområde der skal logges ind på.
ChatGPT SP-initieret login
Hvis vi konstaterer, at den indtastede e-mail tilhører et arbejdsområde, hvor domænet er bekræftet, sender vi brugeren videre til vedkommendes IdP for at blive godkendt. Ellers bliver brugeren sendt videre til login ved at indtaste sin adgangskode.
Hvis brugeren tilhører flere arbejdsområder, herunder mindst ét hvor SSO er aktiveret for brugerens domæne, bliver brugeren bedt om at vælge, hvilken metode der skal bruges til login:

Bemærk: Hvis "Gennemtving SSO" er aktiveret for et bestemt arbejdsområde, kan brugere med de bekræftede domæner kun logge ind via SSO. Social godkendelse og adgangskodegodkendelse er ikke tilgængelige.
Platform SP-initieret login
Som nævnt tidligere bliver en bruger med et bekræftet domæne altid sendt videre til sin IdP for at blive godkendt, når brugeren indtaster sin e-mail på Platform-login-siden.
Derfor er det afgørende at sikre, at du forstår dette, før du aktiverer SSO for Platform. Ellers er det meget nemt ved en fejl at låse Platform-brugere på personlige konti ude.
IdP-initieret login
Når du konfigurerer SSO fra de respektive identitetssider, finder du en unik felt-URL til både ChatGPT og API-platformen:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login
Disse felt-URL'er kan konfigureres i din IdP, så dine brugere automatisk kan logge ind/godkendes med ét klik.
Næste trin
Nu hvor du har et godt grundlag for at forstå vores arkitektur, kan du gå videre til siden "Forstå din ideelle opsætning af brugerstyring" for at finde den ideelle implementering til dit use case. Derefter guider vi dig gennem konfigurationen af SSO og SCIM på din konto.
