Allgemein

Was sind die funktionalen Unterschiede zwischen SSO in einem Enterprise/Edu-Plan und SSO in einem Business-Plan?

Abgesehen davon, dass Business-SSO im Self-Service verfügbar ist, bestehen folgende funktionale Unterschiede:

• Keine SCIM-/AD-Gruppensynchronisierung im Business-Plan, daher müssen die Bereitstellung und Deaktivierung von Benutzern vollständig manuell erfolgen.

• Geltungsbereich: Business-SSO gilt nur für ChatGPT; es gilt nicht für platform.openai.com. Dies unterscheidet sich von SSO bei Enterprise/Edu, bei dem SSO optional sowohl ChatGPT als auch die Plattform abdecken kann.

• Kontomigration: Enterprise/Edu zwingt Benutzer:innen mit einer verifizierten Domain dazu, übereinstimmende private Konten zu migrieren oder zu löschen. Benutzer:innen im ChatGPT Business-Plan können die Kontomigration auf Ebene einzelner Benutzer:innen durchführen, aber Workspace-Admins des Business-Plans können sie nicht erzwingen.

Welche SSO-Protokolle unterstützt ChatGPT Business?

SAML und OIDC.

Was bedeuten IdP / SSO / SP?

• Identitätsanbieter (IdP): Bezeichnet den Dienst, den du zur Verwaltung digitaler Identitäten nutzt.

• Single Sign-On (SSO): Eine einzige zentral verwaltete IdP-Anmeldung ermöglicht es Benutzer:innen, auf alle verknüpften Apps zuzugreifen, ohne ihre Zugangsdaten erneut eingeben zu müssen.

• Dienstanbieter (SP) – ChatGPT: Die App (d. h. ChatGPT), die dem Token des IdP vertraut und dem/der Benutzer:in Zugriff gewährt.

Wo richte ich SSO für meinen Business-Workspace ein?

In deinen ChatGPT Business-Workspace-Einstellungen unter https://chatgpt.com/admin/identity findest du die entsprechenden Optionen. Du befindest dich auf der Registerkarte „Identität und Bereitstellung“, auf der du Folgendes für deinen Workspace einrichten kannst:

1. Verifizierte Domains

2. Identitätsverwaltung

Wie richte ich die Verzeichnissynchronisierung für SCIM-Bereitstellungen/-Aufhebungen der Bereitstellung für meinen Business-Plan-Workspace ein?

Führe ein Upgrade auf ChatGPT Enterprise durch, wenn du die Verzeichnissynchronisierung (SCIM) benötigst.

Muss ich eine Domain verifizieren, bevor ich SSO aktivieren kann?

Ja. Die Domain-Verifizierung weist nach, dass dir der E-Mail-Namespace gehört, den du mit deinem Identitätsanbieter (IdP) föderieren möchtest. Die SSO-Einrichtung ist deaktiviert, bis mindestens eine Domain verifiziert ist.

Fallen für die Verifizierung einer Domain zusätzliche Kosten an?

Nein, es entstehen keine zusätzlichen Kosten. Domain-Verifizierung ist in jedem ChatGPT Business-Abonnement enthalten.

Warum erhalte ich die Meldung „Domain bereits von einem anderen Workspace verifiziert“, wenn ich versuche, SSO zu aktivieren?

Im Business-Assistenten treten Fehler auf, wenn die Domain bereits zu einem Enterprise-Workspace (oder einem anderen Business-Workspace oder einer anderen SSO-Instanz der API-Plattform) gehört.

Das IT-Team deines Unternehmens kann über unser Kontaktformular das OpenAI-Vertriebsteam kontaktieren, um eine Konsolidierung von Workspaces zu besprechen. Siehe Wie du das OpenAI-Vertriebsteam kontaktieren kannst.

Kann ich Auftragnehmer oder externe Mitarbeitende einladen, die in meinem IdP nicht vorhanden sind?

Ja, du kannst Einladungen für externe Domains erlauben, um diese Nutzer und externen Mitarbeitenden in deinen ChatGPT Business Workspace einzuladen.

Was passiert mit meinen SSO-Einstellungen, wenn ich diesen Business Workspace später auf ChatGPT Enterprise upgrade?

Um auf Enterprise upzugraden, wende dich über unser Formular „Vertrieb kontaktieren“ an unser OpenAI-Vertriebsteam. Siehe Wie du das OpenAI-Vertriebsteam kontaktieren kannst.

Was passiert, wenn sich alle über SSO authentifizieren und die Verbindung fehlschlägt – wie können wir wieder Zugriff erhalten?

In diesem Fall gibt es zwei Möglichkeiten:

1. Der Admin eines Business-Workspace wendet sich an unser Support-Team, um Unterstützung beim Deaktivieren von SSO zu erhalten. Der Admin sollte über eine Anmeldemethode per Passwort oder Social Login zur Anmeldung verfügen.

2. Wenn du externe Domains erlaubst, könntest du ein Backdoor-Administratorkonto mit einer externen Domain implementieren, sodass die SSO-Erzwingung für dieses Konto nicht gilt. Verwende dann dieses Benutzerkonto (das sich per Passwort oder Social Login authentifizieren sollte), um dich anzumelden, falls du ausgesperrt wirst.

Kann ich SSO- und Passwortanmeldungen kombinieren?

Ja. Wenn dein Business-Workspace SSO nur für ChatGPT verwendet, können Nutzer:innen, die auch auf die Plattform oder Intercom zugreifen müssen, einfach auf Passwort vergessen klicken, um ein reguläres Passwort festzulegen und sich dort weiterhin mit E-Mail-Adresse/Passwort anzumelden.

Welche Identitätsanbieter (IdPs) werden unterstützt?

ADP OpenID Connect, Auth0 SAML, CAS SAML, ClassLink SAML, Cloudflare SAML, CyberArk SAML, Duo SAML, Entra ID (Azure AD), Google SAML, JumpCloud SAML, Keycloak SAML, LastPass SAML, Login.gov OpenID Connect, Microsoft AD FS, miniOrange SAML, NetIQ SAML, Okta, OneLogin, Oracle, PingFederate, PingOne, Rippling, Salesforce, Shibboleth Generic SAML, Shibboleth, SimpleSAMLphp SAML, VMware Workspace One.

„Custom SAML“ und „Custom OIDC“ stehen im Assistenten ebenfalls zur Auswahl.

Erlaubt der ChatGPT Business-Plan mehr als eine verifizierte E-Mail-Domain pro Workspace?

Ja.

Kann ein ChatGPT-Business-Workspace, der sich noch in der kostenlosen Testphase befindet, SSO aktivieren, oder wird die Aktivierung blockiert, bis die Zahlung eingezogen wurde?

Für den ChatGPT Business-Plan gibt es derzeit keinen Ablauf für eine kostenlose Testphase. Neue Workspaces müssen den Kauf der $1-Launch-Promo mit erfasster Zahlung abschließen, bevor sie SSO aktivieren dürfen.

Ist SSO vollständig im Preis von 30 USD pro Benutzer:in/Monat des ChatGPT Business-Plans enthalten, oder gibt es versteckte Gebühren (z. B. eine Gebühr pro Verbindung), die wir offenlegen müssen?

Ja, für Business-SSO fällt über den Basispreis pro Benutzerlizenz des Plans „Business“ selbst hinaus keine separate Gebühr an. SSO ist ohne zusätzliche Kosten verfügbar.

Wie werden ablaufende Zertifikate gehandhabt?

Derzeit liegt die Verantwortung für die Verlängerung von Zertifikaten bei den Business-Workspace-Admins und ihren zugehörigen IT-Teams. Das OpenAI-Support-Team steht zur Verfügung, um zu unterstützen, falls Maßnahmen erforderlich sein sollten. Die Erneuerung/Rotation des Zertifikats soll jedoch im IdP des Kunden durchgeführt werden.

Welche Vorgehensweise wird empfohlen, wenn der einzige Workspace-Eigentümer, der SSO konfiguriert hat, das Unternehmen verlässt, bevor er den Zugriff übergeben hat?

Der aktuelle Ablauf verhindert das Verlassen: Der einzige Workspace-Eigentümer muss die Eigentümerschaft auf ein anderes Mitglied übertragen, bevor er den Workspace verlassen kann.

Wenn sich Benutzer:innen zuerst mit einem Passwort und später per SSO (mit derselben E-Mail-Adresse) anmelden, werden ihre Unterhaltungen dann automatisch zusammengeführt oder werden doppelte Konten erstellt?

Wenn die SSO-Assertion dieselbe E-Mail-Adresse zurückgibt, verknüpft ChatGPT die Anmeldung mit dem bestehenden Profil – der Unterhaltungsverlauf bleibt erhalten und es wird kein doppeltes Konto erstellt. Ein neues (leeres) Konto wird nur erstellt, wenn die SSO-Antwort eine andere E-Mail-Adresse übermittelt. Sobald diese Zuordnung korrigiert ist, ist das ursprüngliche Konto des Benutzers (mit dem gesamten Verlauf) weiterhin vorhanden.

SSO-Szenarien und erwartetes Verhalten

Die Organisation besitzt Enterprise- und Business-Workspaces auf derselben verifizierten Domain.

Wenn der Einrichtungsassistent für den Business-Plan die Domain prüft, wird einfach angezeigt, dass die Domain „bereits verifiziert“ ist. Es zeigt nicht, welcher Workspace (Enterprise oder ein anderer) sie besitzt – nur, dass jemand anderes die Verifizierung bereits abgeschlossen hat.

Zwei separate Business-Workspaces verwenden dieselbe Domain.

Nur ein Business-Workspace kann die Domain-Verifizierung besitzen.

Das IT-Team deines Unternehmens kann über unser Kontaktformular das OpenAI-Vertriebsteam kontaktieren, um eine Konsolidierung von Workspaces zu besprechen. Siehe Wie du das OpenAI-Vertriebsteam kontaktieren kannst.

ChatGPT-SSO aktiviert, während Plattform-SSO noch deaktiviert ist.

SSO in ChatGPT und SSO in der API-Plattform müssen in ihren jeweiligen Admin-Portalen (ChatGPT und API) konfiguriert werden.

Business-Workspace-Downgrade oder -Kündigung bei aktiviertem SSO

Die Lösung hier ist, dass jede:r Nutzer:in die „Passwort vergessen“-Funktion nutzen müsste, um wieder Zugriff zu erhalten, da dies die einzige Option ist.

SCIM-verwaltete Benutzer in Enterprise treten einem Business Workspace bei.

Dieses Szenario ist möglich und wird unterstützt. SCIM stellt die ursprüngliche Einladung für die konfigurierte Organisation bzw. den konfigurierten Workspace bereit. Sobald der Benutzer im OpenAI-System existiert, steht nichts im Wege, den Benutzer in andere Business-/Enterprise-Workspaces einzuladen. Dieses erwartete Verhalten wird sich durch die Einführung von Self-Service-SSO für Team-Pläne nicht ändern.

Unternehmen mit mehreren Domains (z. B. acme.com und acme-intl.com)

Business-Workspaces können mehr als eine E-Mail-Domain bestätigen. Füge jede Domain in demselben Portal hinzu und schließe die Bestätigung für jede Domain ab, die du mit SSO verwenden möchtest.

Die Domain wurde bereits auf der API-Plattform verifiziert, aber nicht auf ChatGPT.

Das IT-Team deines Unternehmens kann über unser Kontaktformular das OpenAI-Vertriebsteam kontaktieren, um eine Konsolidierung von Workspaces zu besprechen. Siehe Wie du das OpenAI-Vertriebsteam kontaktieren kannst.

Admin verlässt den Bereich, bevor die Domainprüfung abgeschlossen ist.

Stelle sicher, dass es eine weitere Person mit Admin- oder Eigentümerzugriff auf den Workspace gibt, die die Domain-Verifizierung abschließen kann.