Este documento está destinado a ayudar a los administradores a implementar SSO, y posiblemente SCIM, de la manera que mejor funcione para su caso de uso.

Revisa nuestra página “Resumen de SSO” para familiarizarte con los conceptos clave tratados en este documento.

Antes de verificar tus dominios, es importante considerar algunas preguntas diferentes:

¿Cómo te gustaría aprovisionar invitaciones para nuevos usuarios?
¿Cómo te gustaría gestionar a los usuarios particulares existentes (personal/Plus/Pro)?
¿Cómo quieres que sea el flujo de inicio de sesión para tus usuarios?

Analizaremos cada una de estas preguntas con más detalle para ayudar a garantizar que se elija la opción que mejor se ajuste a las necesidades.

Invitar a nuevos usuarios

Actualmente, ofrecemos cuatro métodos diferentes para gestionar invitaciones a usuarios:

Sistema para la gestión de identidades entre dominios (SCIM)
Invitaciones directas desde la aplicación
[Solo ChatGPT] Creación automática de cuentas (AAC)
[Solo plataforma] Punto de acceso de API

Cabe señalar que sí diferenciamos entre los casos en los que se envían activamente correos electrónicos de invitación:

Se invita a un usuario nuevo por primera vez a través de SCIM
O invitaciones directas desde la aplicación

Y casos en los que una invitación se asocia silenciosamente con el correo electrónico de un usuario en nuestro backend:

Un usuario de SCIM fue eliminado de tu grupo del IdP y luego fue agregado nuevamente
Creación automática de cuentas

En este último caso, los usuarios no verán las invitaciones en su bandeja de entrada, pero aun así se les dirigirá correctamente al espacio de trabajo/organización correspondiente cuando intenten iniciar sesión.

SCIM

SCIM está disponible tanto en ChatGPT como en la Plataforma API. SCIM permite a los proveedores de identidad (p. ej., Okta, Entra ID, entre otros) para intercambiar datos de identidad de usuarios con OpenAI, automatizando el aprovisionamiento de invitaciones (y el desaprovisionamiento de cuentas de usuario) según los cambios organizacionales.

Aunque SCIM también se configura a través de tu IdP, puede configurarse de manera independiente de SSO. Por lo tanto, la verificación de dominio y SSO no son requisitos para SCIM.

Si decides utilizar tanto SCIM como SSO, es importante hacer la siguiente distinción:

SCIM solo aprovisiona invitaciones
El SSO gestiona la autenticación y la creación de usuarios

Consideramos que SCIM es la solución más robusta y escalable para la gestión general de usuarios. En función de la implementación ideal que tengas en mente, por lo general recomendamos la siguiente arquitectura como práctica recomendada si vas a realizar el despliegue tanto en ChatGPT como en la plataforma de la API:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Con esta configuración, puedes gestionar fácilmente tanto las invitaciones como el acceso (a ChatGPT y a la plataforma API) por separado. Esta configuración tiene la ventaja adicional de que tus equipos de administración pueden hacer cualquier cambio necesario de forma centralizada, directamente en tu IdP.

Si estás implementando SCIM en varias aplicaciones (es decir, ChatGPT vs. la plataforma API vs. otras cuentas), tus aplicaciones SCIM deben ser únicas. Aunque la base de usuarios objetivo sea idéntica, se recomienda encarecidamente que cada implementación de SCIM haga referencia a una aplicación única en tu IDP.

Si no cumples con este requisito, puede generar problemas de inconsistencia que, al final, resulten en membresías inválidas.

Invitaciones directas desde ChatGPT o la plataforma API

Los administradores pueden invitar a usuarios directamente por correo electrónico desde las páginas de "Miembros" correspondientes de ChatGPT y Plataforma. En ChatGPT, este método también permite invitaciones masivas mediante un archivo CSV cargado:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Aunque por lo general no es escalable, a menudo recomendamos usar invitaciones directas cuando estás empezando en un nuevo espacio de trabajo u organización. A diferencia de SCIM, no existe una posible demora para que las invitaciones lleguen a las bandejas de entrada de los usuarios, por lo que es la opción más eficaz para proporcionar acceso rápido, modificar permisos y realizar pruebas generales.

Además, siempre puedes habilitar SCIM más adelante y organizar a tus usuarios existentes dentro de la aplicación SCIM. Por lo tanto, no hay riesgo de que los usuarios invitados directamente queden excluidos de futuras automatizaciones, salvo que así se desee.

Creación automática de cuentas (AAC)

A diferencia de las otras opciones, AAC solo está disponible en la página de identidad de ChatGPT y requiere que SSO se haya habilitado primero:

Automatic account creation setting for verified-domain users turned off

Como se muestra arriba, la AAC garantiza que los usuarios que se registren o inicien sesión con un dominio de correo electrónico verificado se agregarán automáticamente a tu espacio de trabajo de Enterprise. Los usuarios no recibirán una invitación por correo electrónico y el proceso está completamente automatizado. Esto tiene sus pros y sus contras.

Si tu política es permitir el acceso abierto a cualquier usuario con tu dominio verificado, AAC es una excelente opción que evita la sobrecarga adicional de configurar y gestionar una aplicación SCIM.

Sin embargo, AAC no es ideal si necesitas un enfoque más restringido y basado en aprobaciones para el acceso de los usuarios.

⚠️ ADVERTENCIA ⚠️

Es importante tener en cuenta que habilitar la AAC forzará la fusión de todos los usuarios de cuentas de consumo (personales/Plus/Pro) de tu dominio en tu espacio de trabajo Enterprise. Encontrarás más información al respecto más abajo, en la sección “Administración de usuarios existentes”.

Ten en cuenta que, incluso si los usuarios no forman parte de tu grupo de acceso de IdP y no pueden acceder al espacio de trabajo correctamente cuando se exige SSO, igual ocupan un puesto en tu cuenta Enterprise en este caso.

Por este motivo, generalmente recomendamos usar SCIM o invitaciones directas en la mayoría de los casos, en lugar de AAC. Y, para ayudar a evitar posibles fuentes de confusión, recomendamos dejar AAC desactivada si tienes previsto usar SCIM.

Punto de acceso de invitaciones del administrador de la plataforma API

Nuestra plataforma API admite un punto de acceso de invitaciones, que te permite invitar usuarios de manera programática a tu organización de la API.

En comparación con SCIM, la principal ventaja del punto de acceso es que permite especificar los proyectos a los que debe pertenecer el usuario invitado:

Esto ofrece una capa adicional de granularidad y control, sin necesidad de realizar manualmente invitaciones directas individuales.

Gestión de usuarios de consumo existentes

Definimos como usuarios particulares a aquellos que tienen una suscripción personal, Plus o Pro. Es común que existan usuarios de cuentas personales con tu dominio verificado que hayan creado sus cuentas antes de tu contrato Enterprise. Dado que la verificación de tu dominio y la habilitación del SSO pueden tener un impacto descendente en estos usuarios consumidores, es importante determinar de antemano cuál es el resultado deseado.

Impacto en las personas usuarias de ChatGPT

Del lado de ChatGPT, el impacto en los consumidores depende en gran medida de dos factores:

¿Serán invitados al espacio de trabajo Enterprise?
1. Si AAC está habilitado, el valor predeterminado es “Sí”
¿Habilitarás SSO?

El comportamiento resultante se puede ver a continuación:

¿Tienes una invitación pendiente?	¿SSO obligatorio?	Resultado
✅	✅	Las cuentas de usuario de Consumer deberán fusionarse con Enterprise y solo podrán iniciar sesión con SSO
✅	❌	Las cuentas de usuario de consumidores deberán fusionarse con cuentas empresariales; los usuarios pueden autenticarse con SSO o mediante autenticación social
❌	✅	Sin impacto: los usuarios de Consumer mantienen el acceso a sus espacios de trabajo personales con contraseña o con inicio de sesión mediante redes sociales
❌	❌	Sin impacto: los usuarios de Consumer mantienen el acceso a sus espacios de trabajo personales con contraseña o con inicio de sesión mediante redes sociales

Si tu objetivo es, en última instancia, impedir que haya cuentas de consumidor, comunícate con tu director de cuenta para hablar sobre posibles opciones.

Fusionar cuentas

Los requisitos previos para activar la fusión automática de la cuenta de consumidor en una cuenta Enterprise son los siguientes:

El dominio del usuario fue verificado
El usuario recibió una invitación al espacio de trabajo de Enterprise donde se verificó su dominio
1. ⚠️ Ten en cuenta que si habilitaste el Control de Autenticación y Autorización (AAC), esta condición siempre será verdadera para cualquier usuario con tu dominio verificado.

Cuando se cumplan estas condiciones, la próxima vez que el usuario inicie sesión o recargue ChatGPT, verá el siguiente modal:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Como se destaca en la imagen, reembolsaremos automáticamente cualquier suscripción Plus o Pro existente antes de la fusión. Los usuarios tendrán la opción de transferir su historial de chats y sus GPT existentes, o bien exportar su historial de chats por correo electrónico y comenzar su espacio de trabajo Enterprise como “desde cero”.

Una vez que se haya fusionado la cuenta de consumidor, no hay forma de restaurarla. Si tus usuarios eligieron la opción “Transferir el historial de chats y los GPT existentes”, pero no vieron que esto se reflejara en su espacio de trabajo Enterprise, comunícate con Soporte.

Impacto en los usuarios de la Plataforma API

Debido a que el SSO en la plataforma todavía se basa en dominios (a diferencia de ChatGPT, donde el SSO es específico del espacio de trabajo en el que se habilitó), tus usuarios consumidores se verán afectados en cuanto verifiques tu dominio y habilites el SSO en cualquier organización.

Los usuarios consumidores perderán la capacidad de autenticarse con contraseñas, ya que identificaremos la coincidencia de dominio y los redirigiremos a su IdP. Si son miembros de tu IdP, pueden autenticarse correctamente. Como alternativa, pueden iniciar sesión con una opción de OAuth social si la tienen disponible. De lo contrario, en la práctica les habrás bloqueado el acceso a sus cuentas de consumidores.

Consulta los flujos de la sección Inicio de sesión de usuario para obtener una guía más detallada de este flujo de trabajo.

Patrones recomendados de identidad y aprovisionamiento

Ahora que hemos descrito el comportamiento fundamental relacionado con nuestra autenticación de identidad y el aprovisionamiento de invitaciones, puede ser útil revisar algunos de los patrones de implementación más comunes disponibles para los usuarios empresariales:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Flujo de inicio de sesión del usuario

Ya hemos hablado sobre el impacto de las invitaciones pendientes y la aplicación de SSO, por lo que esta sección está pensada para ayudar a visualizar el flujo y las comprobaciones esperadas que realizamos cuando un usuario escribe su dirección de correo electrónico para iniciar sesión.

Flujo de inicio de sesión de ChatGPT

Nota: Este diagrama excluye los intentos de inicio de sesión mediante un método social o mediante la URL de Tile.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Flujo de inicio de sesión de la Plataforma de API