OpenAI

SSO-Überblick

Ein Überblick über SSO und dessen Interaktion zwischen ChatGPT und der Plattform

Aktualisiert: yesterday

Zweck

Dieser Leitfaden soll Admins und IT-Teams die nötigen Informationen bereitstellen, die du vor der Konfiguration von SSO in deinen ChatGPT- oder Plattform-Konten berücksichtigen solltest. SSO ist für Business-, Enterprise- und Edu-Kund:innen verfügbar.

Hintergrundarchitektur und Terminologie

SSO wird derzeit über SAML-Authentifizierung sowohl für ChatGPT als auch die API-Plattform unterstützt.

  • Workspace bezeichnet eine Instanz von ChatGPT

  • Organisation bezieht sich auf eine Instanz der API-Plattform

  • Identitätsanbieter (IdP) bezeichnet den Dienst, den du zur Verwaltung digitaler Identitäten nutzt. Wir bieten Support für Verbindungen über alle IdPs, die SAML unterstützen. Zu den häufigsten IdPs, mit denen wir verbunden sind, gehören:

    • Okta

    • Azure Active Directory/Entra ID

    • Google Workspace

    • Duo

Eine vollständige Liste der unterstützten IdPs findest du auf der Integrationsseite von WorkOS. Wir unterstützen alle Drittanbieter-Integrationen auf dieser Seite, die entweder per SAML oder OIDC verbunden werden können.

Derzeit hat jeder ChatGPT-Workspace eine zugehörige Plattformorganisation, die damit verknüpft ist. Das bedeutet, dass die Organisations-ID (org-id), die du auf der „Allgemein“-Seite deiner Enterprise-Plattform findest, dieselbe Organisations-ID (org-id) ist, die mit deinem Enterprise ChatGPT-Workspace verknüpft ist. Infolgedessen teilen sich dein Workspace und deine Organisation die gleiche Authentifizierungsebene:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Es gibt einige wichtige Punkte, die du aufgrund dieser Architektur beachten solltest:

  1. Eine einzelne Organisations-ID (org-id) kann nur eine einzige IdP-Konfiguration unterstützen.

  2. Domain-Verifizierungen und SAML-SSO-Einstellungen werden zwischen ChatGPT und der API-Plattform gemeinsam genutzt.

  3. SSO muss separat auf ChatGPT und der API-Plattform aktiviert werden. Sobald du es jedoch auf einem von ihnen konfiguriert hast, besteht die „Einrichtung“ des anderen im Wesentlichen darin, den Schalter umzulegen und gegebenenfalls eine Bookmark-App in deinem IdP hinzuzufügen.

Erste Schritte mit SSO

Bevor du SSO in deinem Konto konfigurierst, ist es wichtig, zunächst einige Schlüsselkonzepte der SSO-Funktionalität von OpenAI zu verstehen.

Allgemeine Identitätsterminologie

Bereitstellung
Wenn OpenAI im Zusammenhang mit Benutzer:innen von Bereitstellung spricht, meinen wir speziell die Bereitstellung von Einladungen. Wir unterstützen nicht direkt die Bereitstellung der Erstellung von Benutzerkonten. Einladungen können bereitgestellt werden durch:

  1. SCIM (unterstützt sowohl in der ChatGPT-SCIM-Integration als auch in der API-Plattform-SCIM-Integration)

  2. die „Mitglieder“-Seite von ChatGPT oder der API-Plattform

  3. Automatische Kontoerstellung

  4. Einladungs-API

Die Bereitstellung von Einladungen ist ein eigenständiger Schritt von der durch SSO durchgeführten Authentifizierung.

Authentifizierung – „Bist du, wer du vorgibst zu sein?“

Beispiel: Ein IdP authentifiziert Benutzer:innen für unseren Dienst, damit wir wissen, dass sie beim Anmelden diejenigen sind, die sie vorgeben zu sein.

Autorisierung – „Was darfst du tun oder sehen?“

Beispiel: Nachdem dein IdP dich authentifiziert hat, bestimmen wir, in welchem/welchen ChatGPT-Workspace(s) du Mitglied bist.

OpenAI-SSO-Einstellungen kennenlernen

Domain-Verifizierung
Dies ist eine Voraussetzung für die Aktivierung von SSO und die automatische Kontenerstellung. Grundsätzlich geht es um die Frage: „Besitzt du diese Domain?“

  1. Beim Anmelden über chatgpt.com oder platform.openai.com entscheidet eine verifizierte Domain, ob ein:e Benutzer:in zu unserer Passwortseite oder zu seinem/ihrem IdP weitergeleitet wird, wenn SSO ebenfalls eingerichtet ist.

  2. Sobald eine Domain in deinem Workspace verifiziert ist, werden alle Benutzer:innen, die mit einer E-Mail von dieser Domain in den Workspace eingeladen werden, bei der nächsten Anmeldung aufgefordert, ihr persönliches Konto zusammenzuführen.

  3. Die ChatGPT-Authentifizierung ist domain- UND workspacebasiert – wenn eine Domain verifiziert und SSO im Workspace aktiviert ist, werden nur Benutzer:innen in diesem Workspace, die die Domain teilen, zum SSO weitergeleitet. Benutzer:innen, die die Domain teilen, aber NICHT Teil des Workspace sind (d. h. Benutzer:innen mit Free-, Plus-, Pro- oder Team-Konten aus deiner Domain werden sich weiter per E-Mail/Passwort oder über soziale Netzwerke anmelden.

  4. Die Plattform-Authentifizierung ist domainbasiert – wenn eine Domain verifiziert und SSO aktiviert ist, verlieren alle Plattform-Benutzer:innen unter dieser Domain die Möglichkeit, sich mit einem Passwort anzumelden. Sieh dir unten „Domain-Verifizierung auf ChatGPT vs. API-Plattform“ für weitere Details an.

  5. Subdomains müssen separat von Top-Level-Domains verifiziert werden.

Damit wir deine Domain-Verifizierung erfolgreich durchführen können, muss dein TXT-Eintrag über eine DNS-Abfrage lesbar sein.

(Nur ChatGPT) Automatische Kontoerstellung (AAC)
Bei Aktivierung in einem ChatGPT-Workspace erhalten neue Benutzer:innen, deren E-Mail-Adresse mit der verifizierten Domain übereinstimmt, bei der Registrierung automatisch eine Einladung zum Enterprise-Workspace. Wir raten davon ab, AAC zu aktivieren, wenn du SCIM verwendest.

(Nur ChatGPT) Einladungen für externe Domains erlauben
Diese Einstellung steuert, ob Benutzer:innen mit nicht verifizierten Domains in den Workspace eingeladen werden können. Benutzer:innen aus externen Domains müssen sich nicht über SSO anmelden, da die SSO-Einstellungen nur für Benutzer:innen gelten, die zur verifizierten Domain gehören.

SSO aktivieren
Diese Einstellung legt fest, ob deine konfigurierten SSO-Einstellungen auf den Workspace und/oder die Organisation angewendet werden.

SSO erzwingen

Wenn diese Einstellung deaktiviert ist, können Benutzer:innen mit einer verifizierten Domain wählen, ob sie sich über SSO oder über Social Login anmelden möchten.

Globale Administratoren können die Einstellung „SSO erzwingen“ sowohl für ChatGPT als auch für die API-Plattform direkt auf der Seite „SSO verwalten“ in der Admin-Konsole auf „Erforderlich“ setzen. Bei Aktivierung dieser Einstellung können sich Benutzer:innen mit einer verifizierten Domain nur über SSO in den SSO-aktivierten Workspace oder die Organisation anmelden. Passwort- und Social-Media-Authentifizierung sind für den Workspace/die Organisation nicht mehr gültig, können jedoch weiterhin in anderen Workspaces/Organisationen verwendet werden, in denen ihre Domain nicht verifiziert ist.

Domain-Verifizierung bei ChatGPT im Vergleich zur API-Plattform

Wie bereits besprochen, wird die Domain-Verifizierung über die gemeinsamen ChatGPT- und Plattforminstanzen durchgeführt. Es gibt jedoch einen entscheidenden Unterschied, wie die Domain-Verifizierung Anmeldungen bei ChatGPT im Vergleich zur Plattform beeinflusst, wenn SSO aktiviert ist:

SSO auf der API-Plattform ist vollständig domainbasiert. Sobald also eine Domain in irgendeiner Organisation verifiziert und SSO aktiviert wurde, verlieren alle Benutzer:innen mit dieser Domain die Möglichkeit, sich mit Passwörtern anzumelden. Falls sie keine Möglichkeit zur Social-Media-Authentifizierung haben, werden sie von ihren jeweiligen Organisationen ausgeschlossen, es sei denn, sie gehören zur IdP-Zugriffsgruppe.

Umgekehrt sind auf der ChatGPT-Seite nur Benutzer:innen betroffen, die zu dem Workspace gehören, in dem die Domain verifiziert wurde. Benutzer:innen, die nicht in der Gruppe des IdP sind, können sich dennoch mit den im weiteren Abschnitt besprochenen Methoden in Workspaces anmelden.

Anmeldeerlebnis für deine Benutzer:innen

OpenAI unterstützt drei verschiedene Authentifizierungsmethoden:

  1. Benutzername + Passwort

  2. Social-Media-Authentifizierung über Microsoft/Google/Apple

  3. SSO

Denk daran, dass das Verhalten davon abhängt, ob sich Benutzer:innen bei ChatGPT oder der API-Plattform anmelden, ob ihre Domain verifiziert ist und ob ihre jeweiligen Workspaces/Organisationen SSO durchgesetzt haben.

SP-initiierte Anmeldung

Alle Benutzer:innen können direkt zu chatgpt.com oder platform.openai.com navigieren, um sich anzumelden. Bei Verwendung dieser Option können die verschiedenen Authentifizierungsmethoden wie unten gezeigt ausgelöst werden:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Wenn Benutzer:innen zu mehreren Workspaces gehören, einschließlich eines, in dem SSO für ihre Domain aktiviert wurde, werden sie aufgefordert, auszuwählen, in welchen Workspace sie sich anmelden möchten.

SP-initiierte ChatGPT-Anmeldung

Wenn wir feststellen, dass die eingegebene E-Mail zu einem Workspace gehört, dessen Domain verifiziert ist, leiten wir Benutzer:innen zu ihrem IdP weiter, um sich zu authentifizieren. Andernfalls werden Benutzer:innen aufgefordert, sich durch Eingabe ihres Passworts anzumelden.

Wenn Benutzer:innen mehreren Workspaces angehören, darunter mindestens einem, bei dem SSO für ihre Domain aktiviert wurde, werden sie aufgefordert, auszuwählen, welche Methode sie zur Anmeldung verwenden möchte:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Hinweis: Wenn „SSO erzwingen“ für einen bestimmten Workspace aktiviert wurde, können Benutzer:innen mit den verifizierten Domains sich nur über SSO anmelden. Social-Media- und Passwortauthentifizierung werden nicht verfügbar sein.

SP-initiierte Plattform-Anmeldung

Wie bereits erwähnt, werden Benutzer:innen mit einer verifizierten Domain, die ihre E-Mail-Adresse auf der Plattform-Anmeldeseite eingeben, immer zu seinem IdP weitergeleitet, um sich zu authentifizieren.

Deshalb ist es entscheidend, dein Verständnis sicherzustellen, bevor du SSO für die Plattform aktivierst. Andernfalls kann es leicht passieren, dass Plattformbenutzer:innen versehentlich von ihren persönlichen Konten ausgesperrt werden.

IdP-initiierte Anmeldung

Beim Konfigurieren von SSO auf den jeweiligen Identitätsseiten findest du eine eindeutige Kachel-URL sowohl für ChatGPT als auch für die API-Plattform:

Diese Kachel-URLs können innerhalb deines IdP konfiguriert werden, um deinen Benutzer:innen zu ermöglichen, sich mit einem einzigen Klick automatisch anzumelden oder zu authentifizieren.

Nächste Schritte

Da du nun eine gute Grundlage unserer Architektur hast, gehe bitte zu unserer Seite „Dein ideales Benutzerverwaltungssystem verstehen“, um die ideale Implementierung für deinen Anwendungsfall zu bestimmen. Im Folgenden erklären wir dir Schritt für Schritt, wie du SSO und SCIM in deinem Konto konfigurierst.

War dieser Artikel hilfreich?