Bitte sieh dir unsere Seite "SSO-Übersicht" an, um dich mit den wichtigsten Konzepten in diesem Dokument vertraut zu machen.
Bevor du deine Domains verifizierst, solltest du einige verschiedene Fragen berücksichtigen:
Wie möchtest du Einladungen für neue Benutzer:innen bereitstellen?
Wie möchtest du mit bestehenden Nutzer:innen von Consumer-Konten (Personal/Plus/Pro) umgehen?
Wie soll der Anmeldeablauf für deine Nutzer aussehen?
Wir sehen uns jede dieser Fragen genauer an, damit du die Option wählen kannst, die deinen Anforderungen am besten entspricht.
Neue Benutzer einladen
Derzeit bieten wir vier verschiedene Methoden für die Bereitstellung von Einladungen an Benutzer:innen an:
Wichtig: Wir unterscheiden zwischen Fällen, in denen Einladungs-E-Mails aktiv gesendet werden:
Ein neuer Benutzer wird zum ersten Mal über SCIM eingeladen
ODER direkte Einladungen in der App
Und Fälle, in denen eine Einladung im Hintergrund in unserem Backend mit der E-Mail-Adresse eines Benutzers verknüpft wird:
Ein SCIM-Benutzer wurde aus deiner IdP-Gruppe entfernt und anschließend wieder hinzugefügt
Automatische Kontoerstellung
Im letzteren Fall sehen Benutzer:innen die Einladungen nicht in ihrem Posteingang, werden aber dennoch ordnungsgemäß zum entsprechenden Workspace bzw. zur entsprechenden Organisation weitergeleitet, wenn sie versuchen, sich anzumelden.
SCIM
SCIM steht sowohl in ChatGPT als auch in der API-Plattform zur Verfügung. SCIM ermöglicht es Identitätsanbietern (z. B. Okta, Entra ID usw.) Benutzeridentitätsdaten mit OpenAI auszutauschen und die Bereitstellung von Einladungen (sowie die Deaktivierung von Benutzerkonten) auf Grundlage organisatorischer Änderungen zu automatisieren.
Auch wenn SCIM ebenfalls über deinen IdP konfiguriert wird, kann es unabhängig von SSO eingerichtet werden. Daher sind Domain-Verifizierung/SSO keine Voraussetzungen für SCIM.
Wenn du dich dafür entscheidest, sowohl SCIM als auch SSO zu verwenden, ist folgende Unterscheidung wichtig:
SCIM stellt nur Einladungen bereit
SSO übernimmt die Authentifizierung und die Erstellung von Benutzer:innen
Wir halten SCIM für die robusteste und skalierbarste Lösung für die gesamte Benutzerverwaltung. Je nach gewünschter Implementierung empfehlen wir im Allgemeinen die folgende Architektur als bewährte Vorgehensweise, wenn du sowohl ChatGPT als auch die API-Plattform bereitstellst:
Mit dieser Konfiguration kannst du sowohl Einladungen als auch den Zugriff (auf ChatGPT und die API-Plattform) separat verwalten. Diese Einrichtung hat den zusätzlichen Vorteil, dass alle notwendigen Änderungen zentral von deinen Administrationsteams direkt in deinem Identitätsanbieter vorgenommen werden können.
Wenn du SCIM über mehrere Anwendungen hinweg implementierst (d. h. ChatGPT vs. API-Plattform vs. andere Konten) sollten deine SCIM-Anwendungen jeweils einzigartig sein. Auch wenn deine Zielgruppe identisch ist, wird dringend empfohlen, dass jede SCIM-Implementierung auf eine eigene Anwendung in deinem IdP verweist.
Wenn du diese Anforderung nicht erfüllst, kann dies zu Inkonsistenzen führen, die letztendlich ungültige Mitgliedschaften zur Folge haben.
Direkte Einladungen von ChatGPT oder der API-Plattform
Admins können Benutzer direkt per E-Mail über die jeweiligen „Mitglieder“-Seiten von ChatGPT und der Plattform einladen. In ChatGPT unterstützt diese Methode auch Masseneinladungen über eine hochgeladene CSV-Datei:
Auch wenn dies in der Regel nicht skalierbar ist, empfehlen wir häufig, direkte Einladungen zu verwenden, wenn du in einem neuen Workspace oder einer neuen Organisation loslegst. Im Gegensatz zu SCIM gibt es keine potenzielle Verzögerung, bis die Einladungen die Posteingänge der Benutzer:innen erreichen. Daher ist dies die effektivste Option, um schnellen Zugriff zu gewähren, Berechtigungen zu ändern und allgemeine Tests durchzuführen.
Außerdem kannst du SCIM auch später jederzeit aktivieren und deine bestehenden Benutzer der SCIM-Anwendung zuordnen. Es besteht also kein Grund zur Sorge, dass direkt eingeladene Benutzer:innen von zukünftigen Automatisierungen ausgeschlossen würden, sofern dies nicht gewünscht ist.
Automatische Kontoerstellung (AAC)
Im Gegensatz zu den anderen Optionen ist AAC nur auf der Identitätsseite von ChatGPT verfügbar und setzt voraus, dass SSO zuvor aktiviert wurde:
Wie oben gezeigt, stellt AAC sicher, dass Benutzer:innen, die sich mit einer verifizierten E-Mail-Domain registrieren oder anmelden, automatisch zu deinem Enterprise-Workspace hinzugefügt werden. Die Benutzer erhalten keine E-Mail-Einladung, und der Prozess ist vollständig automatisiert. Das hat seine Vor- und Nachteile.
Wenn deine Richtlinie vorsieht, allen Benutzer:innen mit deiner verifizierten Domain freien Zugang zu gewähren, ist AAC eine gute Option, mit der du den zusätzlichen Aufwand für die Konfiguration und Verwaltung einer SCIM-Anwendung vermeidest.
Allerdings ist AAC nicht ideal, wenn du einen stärker eingeschränkten, genehmigungsbasierten Ansatz für den Benutzerzugriff benötigst.
⚠️ WARNUNG ⚠️
Es ist wichtig zu bedenken, dass die Aktivierung von AAC dazu führt, dass alle Consumer-Benutzer:innen (persönlich/Plus/Pro) unter deiner Domain in deinen Enterprise-Workspace zusammengeführt werden. Weitere Informationen findest du unten im Abschnitt „Umgang mit bestehenden Nutzer:innen“.
Beachte, dass die Benutzer:innen in diesem Szenario dennoch einen Platz in deinem Enterprise-Konto belegen, auch wenn sie nicht Mitglieder deiner IdP-Zugriffsgruppe sind und bei erzwungenem SSO nicht erfolgreich auf den Workspace zugreifen können.
Aus diesem Grund empfehlen wir in den meisten Fällen generell SCIM oder direkte Einladungen anstelle von AAC. Und um mögliche Verwirrung zu vermeiden, empfehlen wir dir, AAC deaktiviert zu lassen, wenn du vorhast, SCIM zu verwenden.
API-Plattform-Endpunkt für Administrator-Einladungen
Unsere API-Plattform unterstützt einen Einladungs-Endpunkt, mit dem du Benutzer:innen programmgesteuert zu deiner API-Organisation einladen kannst.
Im Vergleich zu SCIM besteht der Hauptvorteil des Endpunkts darin, dass du angeben kannst, zu welchen Projekt(en) die eingeladene Benutzer:in gehören soll:
Dies bietet eine zusätzliche Ebene an Granularität und Kontrolle, ohne dass einzelne direkte Einladungen manuell versendet werden müssen.
Umgang mit bestehenden Privatnutzer:innen
Wir definieren Privatnutzer:innen als Nutzer:innen mit einem privaten Abonnement, einem Plus- oder einem Pro-Abonnement. Häufig gibt es bereits bestehende Consumer-Benutzer:innen mit deiner verifizierten Domain, die schon vor deinem Enterprise-Vertrag Konten hatten. Da die Verifizierung deiner Domain und die Aktivierung von SSO nachgelagerte Auswirkungen auf diese Consumer-Benutzer:innen haben können, ist es wichtig, das gewünschte Ergebnis im Voraus festzulegen.
Auswirkungen auf ChatGPT-Privatnutzer:innen
Auf der ChatGPT-Seite werden die Auswirkungen auf Verbraucher:innen im Wesentlichen durch zwei Faktoren bestimmt:
Werden sie in den Enterprise-Workspace eingeladen?
Wenn AAC aktiviert ist, ist hierfür standardmäßig „Ja“ festgelegt.
Möchtest du SSO erzwingen?
Das daraus resultierende Verhalten ist unten zu sehen:
| Ausstehende Einladung? | SSO erzwungen? | Ergebnis |
| ✅ | ✅ | Consumer-Benutzerkonten werden zwangsweise in Enterprise zusammengeführt und können sich nur per SSO anmelden. |
| ✅ | ❌ | Consumer-Benutzerkonten müssen mit Enterprise zusammengeführt werden; Benutzer:innen können sich per SSO oder sozialer Authentifizierung authentifizieren. |
| ❌ | ✅ | Keine Auswirkungen: Consumer-Benutzer:innen behalten über Passwort- oder Social-Authentifizierung Zugriff auf ihre persönlichen Workspaces. |
| ❌ | ❌ | Keine Auswirkungen: Consumer-Benutzer:innen behalten über Passwort- oder Social-Authentifizierung Zugriff auf ihre persönlichen Workspaces. |
Wenn dein Ziel darin besteht, letztlich alle Consumer-Konten zu verhindern, wende dich bitte an deinen Account Director, um mögliche Optionen zu besprechen.
Kontozusammenführung
Die Voraussetzungen zum Auslösen einer automatischen Kontozusammenführung des Consumer-Kontos mit einem Enterprise-Konto lauten wie folgt:
Die Domain des/der Benutzer:in ist verifiziert
Der:die Benutzer:in hat eine Einladung zum Enterprise-Workspace erhalten, in dem deren Domain verifiziert wurde
⚠️ Denke daran, dass diese Bedingung immer zutrifft, wenn du AAC aktiviert hast – für alle Benutzer:innen mit deiner verifizierten Domain.
Wenn diese Bedingungen erfüllt sind, sollte der/die Nutzer:in beim nächsten Anmelden bei ChatGPT oder beim Aktualisieren von ChatGPT das folgende Modal sehen:
Wie im Bild hervorgehoben wird, veranlassen wir vor der Zusammenführung automatisch eine Rückerstattung für alle bestehenden Plus- oder Pro-Abonnements. Nutzer haben die Möglichkeit, ihren bestehenden Chatverlauf und ihre GPTs zu übertragen oder ihren Chatverlauf per E-Mail zu exportieren und ihren Enterprise-Workspace als „sauberen Start“ zu beginnen.
Sobald das Verbraucherkonto zusammengeführt wurde, kann es nicht mehr wiederhergestellt werden. Wenn deine Nutzer:innen die Option „Bestehenden Chatverlauf und GPTs übertragen“ ausgewählt haben, dies jedoch nicht in ihrem Enterprise-Workspace angezeigt wurde, wende dich bitte an den Support.
Auswirkungen auf Consumer-Benutzer:innen der API-Plattform
Da SSO auf der Plattform weiterhin domainbasiert ist (im Gegensatz zu ChatGPT, wo SSO spezifisch für den Workspace ist, in dem es aktiviert wurde), sind deine Benutzer:innen betroffen, sobald du deine Domain verifizierst und SSO in einer beliebigen Organisation aktivierst.
Die Consumer-Benutzer verlieren die Möglichkeit, sich mit Passwörtern zu authentifizieren, da wir die Domain-Übereinstimmung erkennen und sie an deinen IdP weiterleiten. Wenn sie Mitglieder deines IdP sind, können sie sich erfolgreich authentifizieren. Alternativ können sie sich mit einer Social-OAuth-Option anmelden, sofern diese für sie verfügbar ist. Wenn nicht, hast du sie praktisch vom Zugriff auf ihre Verbraucherkonten ausgeschlossen.
Eine ausführlichere Anleitung zu diesem Workflow findest du in den Abläufen im Abschnitt Benutzeranmeldung.
Empfohlene Muster für Identität und Provisionierung
Nachdem wir nun das grundlegende Verhalten im Zusammenhang mit unserer Identitätsauthentifizierung und der Bereitstellung von Einladungen dargelegt haben, kann es hilfreich sein, einige der gängigeren Implementierungsmuster zu betrachten, die Enterprise-Nutzern zur Verfügung stehen:
Anmeldevorgang für Benutzer:innen
Wir haben bereits die Auswirkungen ausstehender Einladungen und des Erzwingens von SSO besprochen. Dieser Abschnitt soll daher helfen, den erwarteten Ablauf bzw. die Prüfungen zu veranschaulichen, die wir durchführen, wenn Nutzer:innen ihre E-Mail-Adresse eingeben, um sich anzumelden.
ChatGPT-Anmeldeprozess
Hinweis: Dieses Diagramm schließt Anmeldeversuche über eine Social-Methode oder über die Tile-URL aus.
Login-Ablauf der API-Plattform
Hinweis: Dieses Diagramm schließt Anmeldeversuche über eine Social-Methode oder über die Tile-URL aus.
Nächste Schritte
Da du nun eine Vorstellung von deiner idealen Implementierung hast, kannst du der entsprechenden Dokumentation folgen, um SCIM oder SSO zu aktivieren: