Σκοπός
Αυτός ο οδηγός προορίζεται να παρέχει στους Διαχειριστές και τις Ομάδες Πληροφορικής τις απαραίτητες πληροφορίες που πρέπει να εξετάσουν πριν ρυθμίσουν το SSO στους λογαριασμούς τους ChatGPT ή Platform. Το SSO είναι διαθέσιμο για πελάτες Business, Enterprise και Edu.
Αρχιτεκτονική υποβάθρου και ορολογία
Το SSO υποστηρίζεται επί του παρόντος μέσω ελέγχου ταυτότητας SAML τόσο για το ChatGPT όσο και για το API Platform.
Το χώρος εργασίας αναφέρεται σε μια παρουσία του ChatGPT
Το Organization αναφέρεται σε μια παρουσία του API Platform
Το Identity Provider (IdP) αναφέρεται στην υπηρεσία που χρησιμοποιείτε για τη διαχείριση της ψηφιακής ταυτότητας. Υποστηρίζουμε συνδέσεις μέσω όλων των IdP που υποστηρίζουν SAML. Μερικοί από τους πιο συνηθισμένους IdP με τους οποίους έχουμε συνδεθεί περιλαμβάνουν:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Για την πλήρη λίστα των υποστηριζόμενων IdP, ανατρέξτε στη Σελίδα Integrations της WorkOS. Υποστηρίζουμε όλες τις ενσωματώσεις τρίτων σε αυτή τη σελίδα που μπορούν να συνδεθούν είτε μέσω SAML είτε μέσω OIDC.
Επί του παρόντος, κάθε χώρος εργασίας ChatGPT έχει έναν αντίστοιχο οργανισμό Platform συνδεδεμένο με αυτόν. Αυτό σημαίνει ότι το Organization ID (org-id) που βρίσκετε στη σελίδα «General» του Enterprise Platform είναι το ίδιο Organization ID (org-id) που συνδέεται με τον χώρο εργασίας σας Enterprise ChatGPT. Ως αποτέλεσμα, ο χώρος εργασίας και ο οργανισμός σας μοιράζονται το ίδιο επίπεδο ελέγχου ταυτότητας:
Υπάρχουν μερικά βασικά σημεία που πρέπει να σημειωθούν ως αποτέλεσμα αυτής της αρχιτεκτονικής:
Ένα μόνο Organization ID (org-id) μπορεί να υποστηρίζει μόνο μία διαμόρφωση IdP.
Οι επαληθεύσεις τομέα και οι ρυθμίσεις SAML SSO είναι κοινές μεταξύ του ChatGPT και του API Platform.
Το SSO πρέπει να ενεργοποιηθεί ξεχωριστά στο ChatGPT και στο API Platform. Ωστόσο, μόλις το ρυθμίσετε στο ένα, η «ρύθμιση» του άλλου είναι σε μεγάλο βαθμό απλώς η ενεργοποίηση του διακόπτη και η προσθήκη μιας εφαρμογής σελιδοδείκτη στο IdP σας, αν το επιθυμείτε.
Ξεκινώντας με το SSO
Πριν ρυθμίσετε το SSO στον λογαριασμό σας, είναι σημαντικό να κατανοήσετε πρώτα ορισμένες βασικές έννοιες σχετικά με τη λειτουργία SSO της OpenAI.
Γενική ορολογία ταυτότητας
Provisioning
Όταν η OpenAI αναφέρεται στο provisioning στο πλαίσιο των χρηστών, αναφερόμαστε συγκεκριμένα στην παροχή προσκλήσεων. Δεν υποστηρίζουμε άμεσα provisioning για τη δημιουργία λογαριασμών χρηστών. Οι προσκλήσεις μπορούν να παρασχεθούν μέσω:
SCIM (υποστηρίζεται τόσο στο ChatGPT SCIM Integration όσο και στο API Platform SCIM Integration)
Η σελίδα «Members» του ChatGPT ή του API Platform
Αυτόματη δημιουργία λογαριασμού
Invites API
Η παροχή προσκλήσεων είναι ένα ανεξάρτητο βήμα από τον έλεγχο ταυτότητας που εκτελείται από το SSO.
Έλεγχος ταυτότητας – «Είστε αυτός που λέτε ότι είστε;»
Παράδειγμα: ένα IdP ελέγχει την ταυτότητα ενός χρήστη στην υπηρεσία μας ώστε να γνωρίζουμε ότι είναι αυτός που λέει ότι είναι όταν συνδέεται.
Εξουσιοδότηση – «Τι επιτρέπεται να κάνετε ή να δείτε;»
Παράδειγμα: Αφού το IdP σας ελέγξει την ταυτότητά σας, καθορίζουμε σε ποιον(-ους) χώρο(-ους) εργασίας ChatGPT είστε μέλος.
Γνωριμία με τις ρυθμίσεις SSO της OpenAI
Επαλήθευση τομέα
Αυτή είναι προαπαιτούμενο για την ενεργοποίηση του SSO και της Αυτόματης Δημιουργίας Λογαριασμού. Βασικά, «Αυτός ο τομέας σας ανήκει;»
Κατά τη σύνδεση μέσω του chatgpt.com ή του platform.openai.com, ένας επαληθευμένος τομέας καθορίζει αν ένας χρήστης θα προωθηθεί στη σελίδα κωδικού πρόσβασης ή στο IdP του όταν έχει επίσης ρυθμιστεί το SSO
Μόλις ένας τομέας επαληθευτεί στον χώρο εργασίας σας, οποιοσδήποτε χρήστης προσκληθεί στον χώρο εργασίας με email από αυτόν τον τομέα θα κληθεί να συγχωνεύσει τον προσωπικό του λογαριασμό την επόμενη φορά που θα συνδεθεί.
Ο έλεγχος ταυτότητας του ChatGPT βασίζεται σε τομέα ΚΑΙ χώρο εργασίας - όταν ένας τομέας επαληθευτεί και το SSO είναι ενεργοποιημένο στον χώρο εργασίας, μόνο οι χρήστες σε αυτόν τον χώρο εργασίας που μοιράζονται τον τομέα θα δρομολογούνται στο SSO. Οι χρήστες που μοιράζονται τον τομέα αλλά ΔΕΝ είναι μέρος του χώρου εργασίας (δηλ. χρήστες λογαριασμών Free, Plus, Pro ή Team από τον τομέα σας) θα συνεχίσουν να συνδέονται μέσω email/κωδικού πρόσβασης ή Social.
Ο έλεγχος ταυτότητας Platform βασίζεται σε τομέα -- όταν ένας τομέας επαληθευτεί και το SSO είναι ενεργοποιημένο, όλοι οι χρήστες Platform κάτω από αυτόν τον τομέα θα χάσουν τη δυνατότητα σύνδεσης με κωδικό πρόσβασης. Δείτε παρακάτω την ενότητα «Επαλήθευση τομέα στο ChatGPT έναντι του API Platform» για περισσότερες λεπτομέρειες.
Οι υποτομείς πρέπει να επαληθεύονται ξεχωριστά από τους τομείς ανώτατου επιπέδου
Για να μπορέσουμε να επεξεργαστούμε επιτυχώς την επαλήθευση του τομέα σας, η εγγραφή TXT πρέπει να είναι αναγνώσιμη μέσω αναζήτησης DNS.
(Μόνο για ChatGPT) Automatic Account Creation (AAC)
Όταν είναι ενεργοποιημένη σε έναν χώρο εργασίας ChatGPT, ένας νέος χρήστης του οποίου το email ταιριάζει με τον(-ους) επαληθευμένο(-ους) τομέα(-είς) θα λαμβάνει αυτόματα πρόσκληση στον χώρο εργασίας Enterprise όταν εγγράφεται. Δεν συνιστούμε να ενεργοποιείτε το AAC αν χρησιμοποιείτε SCIM.
(Μόνο για ChatGPT) Να επιτρέπονται προσκλήσεις εξωτερικών τομέων
Αυτή η ρύθμιση ελέγχει αν χρήστες με μη επαληθευμένους τομείς μπορούν να προσκληθούν στον χώρο εργασίας. Οι χρήστες από εξωτερικούς τομείς δεν θα απαιτείται να συνδέονται μέσω SSO, καθώς οι ρυθμίσεις SSO εφαρμόζονται μόνο σε χρήστες που ανήκουν στον επαληθευμένο τομέα.
Ενεργοποίηση SSO
Αυτή η ρύθμιση καθορίζει αν οι διαμορφωμένες ρυθμίσεις SSO εφαρμόζονται στον χώρο εργασίας ή/και στον οργανισμό.
Επιβολή SSO
Όταν είναι απενεργοποιημένη, αυτή η ρύθμιση επιτρέπει στους χρήστες με επαληθευμένο τομέα να επιλέγουν αν θα συνδεθούν μέσω SSO ή μέσω σύνδεσης social.
Οι Global Admins μπορούν να ορίσουν την Επιβολή SSO σε Required τόσο για το ChatGPT όσο και για το API Platform απευθείας από τη σελίδα Manage SSO στην Κονσόλα Διαχείρισης. Όταν είναι ενεργοποιημένη, αυτή η ρύθμιση σημαίνει ότι οι χρήστες με επαληθευμένο τομέα μπορούν να συνδέονται στον χώρο εργασίας ή τον οργανισμό με ενεργοποιημένο SSO μόνο μέσω SSO. Ο κωδικός πρόσβασης και ο social έλεγχος ταυτότητας δεν ισχύουν πλέον για τον χώρο εργασίας/οργανισμό, αλλά μπορούν ακόμη να χρησιμοποιούνται σε άλλους χώρους εργασίας/οργανισμούς όπου ο τομέας τους δεν είναι επαληθευμένος.
Επαλήθευση τομέα στο ChatGPT έναντι του API Platform
Όπως αναφέρθηκε νωρίτερα, η επαλήθευση τομέα εφαρμόζεται σε όλες τις κοινόχρηστες παρουσίες ChatGPT και Platform. Ωστόσο, υπάρχει μια κρίσιμη διαφορά στο πώς η επαλήθευση τομέα επηρεάζει τις συνδέσεις στο ChatGPT σε σχέση με το Platform, αν το SSO είναι ενεργοποιημένο:
Το SSO στην Πλατφόρμα API βασίζεται εξ ολοκλήρου στον τομέα. Αυτό σημαίνει ότι μόλις ένας τομέας επαληθευτεί σε οποιονδήποτε οργανισμό και ενεργοποιηθεί το SSO, ΟΛΟΙ οι χρήστες με αυτόν τον τομέα θα χάσουν τη δυνατότητα σύνδεσης με κωδικούς πρόσβασης. Αν δεν διαθέτουν μέσο κοινωνικής ταυτοποίησης, τότε θα αποκλειστούν από τους αντίστοιχους οργανισμούς τους, εκτός αν ανήκουν στην ομάδα πρόσβασης του IdP.
Αντίθετα, από την πλευρά του ChatGPT, θα επηρεαστούν μόνο οι χρήστες που ανήκουν στον χώρο εργασίας όπου έχει επαληθευτεί ο τομέας. Οι χρήστες που δεν ανήκουν στην ομάδα πρόσβασης του IdP θα εξακολουθούν να μπορούν να συνδέονται σε χώρους εργασίας χρησιμοποιώντας τις μεθόδους που αναφέρονται στην επόμενη ενότητα.
Εμπειρία σύνδεσης για τους χρήστες σας
Η OpenAI υποστηρίζει τρεις διαφορετικές μεθόδους ελέγχου ταυτότητας:
Όνομα χρήστη + Κωδικός πρόσβασης
Social Authentication μέσω Microsoft/Google/Apple
SSO
Λάβετε υπόψη ότι η συμπεριφορά διαφέρει ανάλογα με το αν ο χρήστης συνδέεται στο ChatGPT ή στο API Platform, αν ο τομέας του είναι επαληθευμένος και αν οι αντίστοιχοι χώροι εργασίας/οργανισμοί τους έχουν επιβάλει SSO.
Σύνδεση με έναρξη από SP
Όλοι οι χρήστες μπορούν να μεταβούν απευθείας είτε στο chatgpt.com είτε στο platform.openai.com για να συνδεθούν. Όταν χρησιμοποιείτε αυτήν την επιλογή, οι διαφορετικές μέθοδοι ελέγχου ταυτότητας μπορούν να ενεργοποιηθούν όπως φαίνεται παρακάτω:
Αν ο χρήστης ανήκει σε πολλούς χώρους εργασίας, συμπεριλαμβανομένου ενός όπου έχει ενεργοποιηθεί SSO για τον τομέα του, θα του ζητηθεί να επιλέξει σε ποιον χώρο εργασίας θα συνδεθεί.
Σύνδεση ChatGPT με έναρξη από SP
Αν διαπιστώσουμε ότι το email που εισήχθη ανήκει σε χώρο εργασίας όπου ο τομέας του είναι επαληθευμένος, θα προωθήσουμε τον χρήστη στο IdP του για έλεγχο ταυτότητας. Διαφορετικά, ο χρήστης θα οδηγηθεί να συνδεθεί εισάγοντας τον κωδικό πρόσβασής του.
Αν ο χρήστης ανήκει σε πολλούς χώρους εργασίας, συμπεριλαμβανομένου τουλάχιστον ενός όπου έχει ενεργοποιηθεί SSO για τον τομέα του, θα του ζητηθεί να επιλέξει ποια μέθοδο θα χρησιμοποιήσει για να συνδεθεί:
Σημείωση: αν έχει ενεργοποιηθεί το «Επιβολή SSO» για έναν συγκεκριμένο χώρο εργασίας, οι χρήστες με τους επαληθευμένους τομείς μπορούν να συνδέονται μόνο μέσω SSO. Η κοινωνική ταυτοποίηση και η ταυτοποίηση με κωδικό πρόσβασης δεν θα είναι διαθέσιμες.
Σύνδεση Platform με έναρξη από SP
Όπως αναφέρθηκε προηγουμένως, όταν ένας χρήστης με επαληθευμένο τομέα εισάγει το email του στη σελίδα σύνδεσης του Platform, θα οδηγείται πάντα στο IdP του για έλεγχο ταυτότητας.
Γι’ αυτό είναι κρίσιμο να διασφαλίσετε ότι το κατανοείτε πριν ενεργοποιήσετε το SSO για το Platform. Διαφορετικά, είναι πολύ εύκολο να αποκλείσετε κατά λάθος χρήστες Platform σε προσωπικούς λογαριασμούς.
Σύνδεση με έναρξη από IdP
Κατά τη ρύθμιση του SSO από τις αντίστοιχες σελίδες ταυτότητας, θα βρείτε ένα μοναδικό Tile URL που παρέχεται τόσο για το ChatGPT όσο και για το API Platform:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login
Αυτά τα Tile URL μπορούν να ρυθμιστούν μέσα στο IdP σας ώστε να επιτρέπουν στους χρήστες σας να συνδέονται/να ελέγχουν αυτόματα την ταυτότητά τους με ένα μόνο κλικ.
Επόμενα βήματα
Τώρα που έχετε μια καλή βάση της αρχιτεκτονικής μας, προχωρήστε στη σελίδα μας «Κατανόηση της ιδανικής ρύθμισης διαχείρισης χρηστών σας» για να προσδιορίσετε την ιδανική υλοποίηση για την περίπτωσή σας. Στη συνέχεια, θα σας καθοδηγήσουμε στο πώς να ρυθμίσετε το SSO και το SCIM μέσα στον λογαριασμό σας.