Voraussetzungen
Um SSO einzurichten, müssen folgende Voraussetzungen erfüllt sein:
Du verfügst über einen OpenAI-Plan mit einer Global Admin Console
Du bist ein Global Admin
Bevor du fortfährst, solltest du unsere Dokumentationsseiten zur SSO-Übersicht und Benutzerverwaltung lesen, um dich mit der SSO-Architektur vertraut zu machen.
Wenn du SSO schon einmal für eine API-Plattform-Organisation oder einen ChatGPT-Workspace eingerichtet hast, sollten deine SSO-Einstellungen bereits auf der Seite OpenAI-Identität zum Konfigurieren zur Verfügung stehen. Falls der Workspace oder die Organisation, für den oder die du SSO aktivieren möchtest, nicht in deiner Global Admin Console angezeigt wird, wende dich bitte an support@openai.com.
⚠️ Wenn SSO nicht korrekt eingerichtet ist, können alle Benutzer vom Zugriff ausgeschlossen werden.
Eine fehlerhafte Konfiguration kann dazu führen, dass deine Benutzer sich nicht bei Organisationen und Workspaces anmelden können, bei denen SSO erforderlich ist. Wir empfehlen dir, als Global Admin, SSO im Admin-Portal als optional beizubehalten.
Während der Einrichtung solltet du zwei separate angemeldete Fenster offen halten:
eines mit einer Anmeldung im Inkognito-Fenster
eines mit einer Anmeldung im regulären Browser
So kannst du den Anmeldeprozess sowie die SSO- und Domain-Verifizierung in einem Fenster testen und bei Bedarf die Änderungen im zweiten Fenster rückgängig machen.
SSO testen
Wenn du den Einrichtungsprozess testen möchtest, ohne Auswirkungen auf deine Benutzer:innen zu riskieren, kannst du dies über die hier verlinkte Anwendung tun.
Eine erfolgreich hergestellte Verbindung in dieser Testanwendung wird nicht mit deiner Produktionsorganisation verknüpft oder gespeichert. Du kannst dieselben Parameter später in deiner Produktionsinstanz erneut verwenden, sobald du bereit bist. Dadurch eignet sich die Anwendung als sichere Testumgebung, um dich mit den Anforderungen vertraut zu machen und fehlende Voraussetzungen zu identifizieren.
SSO aktivieren
Um loszulegen, navigiere über die Global Admin Console zur Seite OpenAI-Identität. Du kannst auch über den Link auf der Seite "Identität und Bereitstellung" unter deinen Einstellungen "Workspace verwalten" in ChatGPT oder auf der Registerkate Identität in den Organisationseinstellungen deiner API-Plattform auf diese Seite zugreifen.
Einige der unten stehenden Beispiele zeigen die Einrichtung in Okta. Diese Logik sollte jedoch auf alle SAML-IdPs anwendbar sein.
Domain-Verifizierung
Um SSO zu aktivieren, musst du zunächst mindestens eine Domain verifizieren.
Wichtig: Denke daran, die nachgelagerten Auswirkungen der Domain-Verifizierung auf Benutzer:innen mit dieser Domain zu prüfen.
Klicke dazu auf „+ Domain hinzufügen“ und gib deine DNS-Daten ein.
Nach dem Absenden stellen wir dir einen Schlüssel zur Verfügung, mit dem du den Besitz der Domain nachweisen kannst. Öffne dazu die Verwaltungsoberfläche deines DNS-Anbieters und füge einen TXT-Eintrag mit dem bereitgestellten Wert hinzu.
Damit die Verifizierung erfolgreich durchgeführt werden kann, muss der Eintrag per DNS-Abfrage erreichbar sein.
Nachdem du den Eintrag bei deinem DNS-Anbieter vorgenommen hast, kehre zur Einrichtungsseite zurück und klicke auf „Prüfen“. Wenn der Domainbesitz erfolgreich bestätigt wurde, wird der Status auf „Verifiziert“ aktualisiert.
Pro Admin-Portal können bis zu 99 verifizierte Domains hinzugefügt werden. Für die Verifizierung hast du sieben Tage Zeit, danach wird eine Domain als abgelaufen markiert. Domains können nur auf einem Admin-Portal verifiziert werden. Wenn du dieselbe Domain für eine Organisation oder einen Workspace verifizieren musst, die oder der nicht in deinem Admin-Portal verfügbar ist, wende dich bitte an den Support.
Deine Anwendung konfigurieren
Nachdem du deine Domain erfolgreich verifiziert hast, kannst du mit der SSO-Einrichtung fortfahren, indem du deine IdP-Anwendung konfigurierst.
Um loszulegen, klicke auf die Schaltfläche "SSO einrichten":
Einen Identitätsanbieter auswählen
Du kannst einen der gängigsten Identitätsanbieter (IdP) aus einer Liste auswählen, die SAML-Integrationen nativ unterstützen. Falls dein IdP nicht in der Liste enthalten ist oder du eine OIDC-Verbindung nutzen möchtest, wähle am unteren Rand der Seite die entsprechende Custom-Connection-Option aus:
Anwendung erstellen und verbinden
Im nächsten Schritt kannst du dem Schritt-für-Schritt-Konfigurationsassistenten folgen, um deine IdP-Anwendung zu erstellen und mit uns zu verbinden. Je nach verwendetem IdP können sich die einzelnen Schritte leicht unterscheiden, der grundlegende Ablauf bleibt jedoch immer derselbe:
Beachte bitte, dass die im Erstellungsprozess angegebenen URLs organisationsspezifisch sind.
Wichtig: Wenn du eine funktionierende SSO-Verbindung zurücksetzt, ändern sich auch die entsprechenden URL-Werte.Wenn du SSO erneut einrichtest, musst du sicherstellen, dass du diese entsprechend in deiner Anwendung aktualisierst.
Nach Abschluss der URL-Konfiguration kannst du mit der Definition der Attributzuordnung für Benutzer fortfahren, die sich über deine Anwendung authentifizieren.
Attributzuordnung
Die von dir in der SSO-Anwendung festgelegte Attributzuordnung bestimmt, welche OpenAI-Konten authentifiziert werden und wie deine Benutzer in OpenAI-Produkten erscheinen. Unser aktuelles Benutzermodell unterstützt drei Attribute:
E-Mail-Adresse (in der SAML-Antwort erforderlich; bestimmt, welches Konto aufgerufen wird)
Vorname (optional, aber empfohlen)
Nachname (optional, aber empfohlen)
Hinweis: Wir unterstützen keine Entschlüsselung von SAML-Antworten. Stelle daher sicher, dass weder die Antwort noch die Assertion verschlüsselt sind, damit die Attribute korrekt erkannt werden können.
Je nach verwendetem Identitätsanbieter kann sich die konkrete Attributzuordnung unterscheiden. Wir empfehlen, die im Einrichtungsassistenten dargestellte Zuordnung für deinen IdP exakt zu übernehmen. Für Okta sieht diese beispielsweise wie folgt aus:
Wenn neue Benutzer mit ihrer E-Mail-Adresse als Anzeigename angelegt werden, überprüfe bitte die Attributzuordnung und stelle sicher, dass die Antworten nicht verschlüsselt sind.
Wenn neue Benutzer hingegen aufgefordert werden, ihren Namen und ihr Geburtsdatum einzugeben, deutet dies darauf hin, dass aus der Attributantwort kein gültiger Name ermittelt werden konnte.
Änderungen von E-Mail-Adressen
In manchen Fällen kann sich die E-Mail-Adresse eines Benutzers bei deinem Identitätsanbieter ändern, zum Beispiel:
aufgrund einer Namensänderung nach einer Heirat
nach einer Unternehmensübernahme mit neuer Domain
aus anderen Gründen
Wenn sich dadurch der Wert des emailaddress-Anspruchs in der SSO-SAMLResponse ändert, wird bei erfolgreichem SSO auf einen anderen OpenAI-Benutzer zugegriffen, der mit der neuen E-Mail-Adresse verknüpft ist (außerdem wird dieser angelegt, wenn er zuvor nicht vorhanden war). Dieser Benutzer muss separat vom ursprünglichen Benutzer in die Organisation oder den Workspace eingeladen werden.
Primäre E-Mail-Adressen
In einigen Organisationen verfügen Benutzer über mehrere unterschiedliche E-Mail-Adressen. Dies ist vor allem in größeren Unternehmen mit verteilten Mail-Systemen oder im Bildungsbereich mit mehreren Einrichtungen üblich. Beispiele hierfür sind:
In diesem Fall empfehlen wir, in der SAML-Antwort nur eine einzelne E-Mail-Adresse als Attribut zu übermitteln. Die Übermittlung mehrerer E-Mail-Adressen kann zu Unklarheiten führen, wenn versucht wird, sie einem neuen oder bestehenden Benutzer zuzuordnen.
Wenn Benutzer über eine stabile, unveränderliche E-Mail-Adresse (z. B. eine UPN) verfügen, empfehlen wir, diese in der Attributzuordnung zu verwenden. So stellst du sicher, dass das OpenAI-Benutzerkonto stabil bleibt und nicht von späteren Änderungen anderer E-Mail-Adressen betroffen ist.
Zugriff über die IdP-Anwendung bereitstellen
Nachdem du die Attributzuordnung erfolgreich eingerichtet hast, führt dich der Assistent durch die Schritte, um den gewünschten Benutzern über die entsprechenden Gruppen Zugriff zu gewähren.
Beachte hierzu bitte auch unsere Empfehlungen zur Benutzerverwaltung, in denen bewährte Vorgehensweisen beschrieben sind.
IdP-Metadaten festlegen
In diesem Schritt der Einrichtung hast du zwei Möglichkeiten, die Metadaten deines Identitätsanbieters zu definieren: dynamische und manuelle Konfiguration.
Dynamische Konfiguration
Dies ist die empfohlene und zugleich einfachste Option. Bei der dynamischen Konfiguration musst du lediglich die Metadata-URL angeben, die deiner Anwendung zugeordnet ist. Diese wird automatisch aus der zuvor konfigurierten SSO-URL und der Entity-ID generiert. Der Einrichtungsassistent zeigt dir, wo du diese Angaben bei deinem Identitätsanbieter findest:
Manuelle Konfiguration
Wie der Name bereits sagt, ist für die manuelle Konfiguration etwas mehr Aufwand erforderlich. Je nach verwendetem Identitätsanbieter musst du die entsprechende SSO-URL und den IdP-Issuer angeben sowie ein X.509-Zertifikat hinterlegen.
IdP-initiierte Ánmeldung
Wenn sich Benutzer über eine Kachel in ihrem Dashboard anmelden und dabei automatisch authentifiziert werden sollen, kannst du im Rahmen der Einrichtung eine IdP-initiierte Authentifizierung konfigurieren. Der genaue Ablauf hängt vom verwendeten IdP ab. Grundsätzlich wird jedoch eine bereitgestellte URL in folgendem Format verwendet:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API-Plattform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Okta führt dich beispielsweise durch die Erstellung einer neuen Bookmark-Anwendung mit dieser URL:
Entra ID ermöglicht es hingegen, die bereitgestellte „Sign-on-URL“ direkt in das entsprechende Formular einzutragen:
Wichtig: Wenn du eine funktionierende SSO-Verbindung zurücksetzt, ändern sich auch die entsprechenden URL-Werte.
Bei der erneuten Einrichtung von SSO musst du diese Werte daher auch in deiner Anwendung aktualisieren. Andernfalls können sich Benutzer:innen nicht mehr über ihre Kacheln anmelden.
Einrichtung abschließen
Nachdem du die Metadaten deines Identitätsanbieters konfiguriert hast, klicke auf „Weiter“, um bei Bedarf weitere Bookmark-Anwendungen einzurichten. Der letzte verpflichtende Schritt erfolgt auf der Seite „Single Sign-on prüfen“.
Nach einem Klick auf „Weiter“ testet der Assistent die neue Verbindung. Wenn der Test erfolgreich ist, hast du SSO aktiviert. Der entsprechende Status wird auf der Konfigurationsseite angezeigt:
Benutzer, die deiner entsprechenden IdP-Gruppe angehören und über ein Konto oder eine Einladung verfügen, können sich nun per SSO anmelden:
Hierzu rufen sie chatgpt.com oder platform.openai.com auf, geben ihre E-Mail-Adresse ein und authentifizieren sich anschließend über ihren IdP.
Alternativ können sie die Bookmark-URL nutzen, die du während der Einrichtung optional konfiguriert hast.
Sollten Benutzer Probleme bei der Anmeldung haben oder Schwierigkeiten auftreten, die Änderungen rückgängig zu machen, wende dich bitte umgehend an den Support.
Beachte außerdem, dass die Aktivierung von SSO auf der API-Plattform domainweit für alle Benutzer mit dieser Domain gilt. Das bedeutet, dass auch Benutzer, die nicht zu deiner Enterprise-Organisation gehören, Mitglied der entsprechenden IdP-Gruppe sein müssen, um auf ihre persönlichen Organisationen zugreifen zu können.
Anmeldeprobleme beheben
Wenn nach der Aktivierung von SSO Probleme bei der Anmeldung auftreten, findest du auf unserer FAQ- und Fehlerbehebungsseite Unterstützung zur Identifikation häufiger Fehler. Solltest du dort keine passende Lösung finden, wende dich bitte an den Support.