Propósito
Esta guía está destinada a proporcionar a los administradores y equipos de TI la información necesaria para considerar antes de configurar SSO en tus cuentas de ChatGPT o de la Plataforma. SSO está disponible para los clientes de Business, Enterprise y Edu.
Antecedentes de arquitectura y terminología
Actualmente, SSO es compatible mediante autenticación SAML tanto para ChatGPT como para la plataforma API.
Espacio de trabajo se refiere a una instancia de ChatGPT
Organización se refiere a una instancia de la Plataforma API
Proveedor de Identidad (IdP) se refiere al servicio que usas para gestionar la identidad digital. Admitimos conexiones a través de todos los IdP que soportan SAML. Algunos de los IdP más comunes con los que nos hemos conectado son:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Para ver la lista completa de IdP compatibles, consulta la Página de integraciones de WorkOS. Admitimos todas las integraciones de terceros de esta página que se pueden conectar mediante SAML u OIDC.
Actualmente, cada espacio de trabajo de ChatGPT tiene una organización de la Plataforma correspondiente asociada. Esto significa que el ID de la organización (org-id) que encuentras en la página "General" de la plataforma Enterprise es el mismo ID de la organización (org-id) vinculado a tu espacio de trabajo de ChatGPT Enterprise. Como resultado, tu espacio de trabajo y tu organización comparten la misma capa de autenticación:
Hay algunas cosas clave que debes tener en cuenta como resultado de esta arquitectura:
Un único ID de organización (org-id) solo puede admitir una única configuración de IdP.
Las verificaciones de dominio y la configuración de SSO SAML se comparten entre ChatGPT y la Plataforma API.
SSO debe habilitarse por separado en ChatGPT y en la plataforma de API. Sin embargo, una vez que lo hayas configurado en uno, la "configuración" del otro es básicamente solo activar el interruptor y añadir una aplicación de marcadores en tu IdP si así lo deseas.
Comenzando con SSO
Antes de configurar SSO en tu cuenta, es importante primero comprender algunos conceptos clave sobre la funcionalidad de SSO de OpenAI.
Terminología general de identidad
Aprovisionamiento
Cuando OpenAI habla de aprovisionamiento en el contexto de los usuarios, nos referimos específicamente al aprovisionamiento de invitaciones. No ofrecemos soporte directo para el aprovisionamiento de la creación de cuentas de usuario. Las invitaciones se pueden realizar a través del aprovisionamiento:
SCIM (compatible tanto en la Integración SCIM de ChatGPT como en la Integración SCIM de API Platform)
La página de "Miembros" de ChatGPT o la Plataforma API
Creación automática de cuentas
API de Invitaciones
El aprovisionamiento de invitaciones es un paso independiente de la autenticación que realiza SSO.
Autenticación – “¿Eres quien dices ser?”
Ejemplo: un IdP autentica a un usuario en nuestro servicio para que sepamos que es quien dice ser al iniciar sesión.
Autorización – “¿Qué puedes hacer o ver?”
Ejemplo: Después de que tu IdP te autentique, determinamos en qué espacio(s) de trabajo de ChatGPT eres miembro.
Conocer la configuración del SSO de OpenAI
Verificación de dominio
Este es un requisito previo para habilitar SSO y la creación automática de cuentas. Básicamente, “¿Tú posees este dominio?”
Al iniciar sesión a través de chatgpt.com o platform.openai.com, un dominio verificado determina si se redirige a un usuario a nuestra página de contraseña o a su IdP cuando el SSO también está configurado.
Una vez que un dominio esté verificado en tu espacio de trabajo, cualquier usuario invitado al espacio de trabajo con un correo electrónico de ese dominio recibirá un mensaje para fusionar su cuenta personal la próxima vez que inicie sesión.
La autenticación de ChatGPT se basa en el dominio y el espacio de trabajo: cuando un dominio está verificado y el SSO está habilitado en el espacio de trabajo, solo los usuarios de ese espacio de trabajo que comparten el dominio serán dirigidos al SSO. Usuarios que comparten el dominio pero NO forman parte del espacio de trabajo (es decir, Los usuarios de cuentas Free, Plus, Pro o Team de tu dominio continuarán iniciando sesión mediante correo electrónico/contraseña o redes sociales.
La autenticación de la plataforma se basa en dominios: cuando un dominio se verifica y el SSO está habilitado, todos los usuarios de la plataforma bajo ese dominio perderán la capacidad de iniciar sesión con contraseña. Consulta "Verificación de dominio en ChatGPT vs. la plataforma API" más abajo para más detalles.
Los subdominios deben verificarse por separado de los dominios de nivel superior.
Para que podamos procesar con éxito la verificación de tu dominio, tu registro TXT debe ser legible a través de una consulta DNS.
(Solo ChatGPT) Creación automática de cuentas (AAC)
Cuando se habilita en un espacio de trabajo de ChatGPT, un nuevo usuario cuyo correo electrónico coincida con el(los) dominio(s) verificado(s) recibirá automáticamente una invitación al espacio de trabajo de Enterprise al registrarse. No recomendamos habilitar la AAC si estás utilizando SCIM.
(Solo ChatGPT) Permitir invitaciones de dominios externos
Esta configuración controla si los usuarios con dominios no verificados pueden ser invitados al espacio de trabajo. Los usuarios de dominios externos no tendrán que iniciar sesión a través de SSO, ya que las configuraciones de SSO solo se aplican a los usuarios que pertenecen al dominio verificado.
Habilitar SSO
Esta configuración determina si tus configuraciones de SSO se aplican al espacio de trabajo o a la organización.
Habilitar SSO
Cuando está deshabilitada, esta configuración permite a los usuarios con un dominio verificado elegir entre iniciar sesión mediante SSO o inicio de sesión social.
Los administradores globales pueden configurar Enforce SSO como obligatorio tanto para ChatGPT como para la plataforma API directamente desde la página de gestión de SSO en la consola de administración. Cuando está habilitada, esta configuración permite que los usuarios con un dominio verificado solo puedan iniciar sesión en el espacio de trabajo o la organización habilitados para SSO a través de SSO. La autenticación por contraseña y social ya no es válida para el espacio de trabajo o la organización, pero aún se puede usar en otros espacios de trabajo u organizaciones donde su dominio no está verificado.
Verificación de dominio en ChatGPT frente a la plataforma API
Como se mencionó anteriormente, la verificación de dominio se aplica en las instancias compartidas de ChatGPT y Platform. Sin embargo, hay una diferencia crítica en cómo la verificación de dominio afecta los inicios de sesión en ChatGPT en comparación con la Plataforma si el SSO está habilitado:
SSO en la plataforma API es totalmente basado en dominios. Esto significa que una vez que un dominio se haya verificado en cualquier organización y se haya habilitado el SSO, TODOS los usuarios con ese dominio perderán la capacidad de iniciar sesión con contraseñas. Si no tienen un medio de autenticación social, serán bloqueados de sus respectivas organizaciones a menos que pertenezcan al grupo de acceso IdP.
Por el contrario, en el lado de ChatGPT, solo se verán afectados los usuarios que pertenecen al espacio de trabajo donde se ha verificado el dominio. Los usuarios que no estén en el grupo de acceso del IdP aún podrán iniciar sesión en los espacios de trabajo usando los métodos discutidos en la siguiente sección.
Experiencia de inicio de sesión para tus usuarios
OpenAI admite tres métodos diferentes de autenticación:
Nombre de usuario + Contraseña
Autenticación social mediante Microsoft/Google/Apple
SSO
Ten en cuenta que el comportamiento variará según si el usuario inicia sesión en ChatGPT o en la Plataforma API, si su dominio está verificado y si sus respectivos espacios de trabajo u organizaciones han implementado SSO.
Inicio de sesión iniciado por el SP
Todos los usuarios pueden navegar directamente a chatgpt.com o platform.openai.com para iniciar sesión. Al usar esta opción, los diferentes métodos de autenticación se pueden activar como se muestra a continuación:
Si el usuario pertenece a varios espacios de trabajo, incluyendo uno donde se ha habilitar SSO para su dominio, se le pedirá que seleccione a qué espacio de trabajo desea acceder.
Inicio de sesión iniciado por SP de ChatGPT
Si encontramos que el correo electrónico ingresado pertenece a un espacio de trabajo con un dominio verificado, redirigiremos al usuario a su IdP para autenticarse. De lo contrario, se dirigirá al usuario a iniciar sesión introduciendo su contraseña.
Si el usuario pertenece a varios espacios de trabajo, incluyendo al menos uno donde se habilitó SSO para su dominio, se le mostrará un mensaje para seleccionar qué método usar para iniciar sesión:
Nota: si se ha habilitado "Enforce SSO" para un espacio de trabajo en particular, los usuarios con los dominios verificados solo pueden iniciar sesión a través de SSO. La autenticación social y por contraseña no estará disponible.
Inicio de sesión iniciado por SP en la plataforma
Como se mencionó anteriormente, cuando un usuario con un dominio verificado ingresa su correo electrónico en la página de inicio de sesión de la Plataforma, siempre será dirigido a su IdP para autenticarse.
Por eso es crucial asegurar que comprendas bien antes de habilitar SSO para la plataforma. De lo contrario, es muy fácil bloquear por error a los usuarios de la plataforma en cuentas personales.
Inicio de sesión iniciado por IdP
Al configurar SSO desde sus respectivas páginas de identidad, encontrarás una URL de mosaico única proporcionada tanto para ChatGPT como para la plataforma API:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login
Estas URL de mosaico se pueden configurar en tu IdP para que los usuarios inicien sesión o se autentiquen automáticamente con un solo clic.
Siguientes pasos
Ahora que tienes una buena base de nuestra arquitectura, por favor visita nuestra página "Comprender tu Configuración Ideal de Gestión de Usuarios" para determinar la implementación ideal para tu caso de uso. A continuación, te explicaremos cómo configurar SSO y SCIM en tu cuenta.