Requisitos previos
Para configurar SSO, debes:
Tener un plan de OpenAI con una Consola de administración global
Ser administrador global
Antes de proceder, revisa nuestras páginas de documentación de Resumen de SSO y Gestión de usuarios para asegurarte de que estás familiarizado con nuestra arquitectura de SSO.
Si anteriormente configuraste el SSO para una organización de la Plataforma de API o un espacio de trabajo de ChatGPT, tus ajustes de SSO ya deberían estar disponibles para configurar en la página de OpenAI Identity. Si el espacio de trabajo u organización para la cual quieres habilitar el SSO no aparece en tu Consola de administración global, contacta a support@openai.com.
⚠️ ¡Tus usuarios quedarán bloqueados si el SSO no se configura correctamente!
Una configuración incorrecta puede hacer que tus usuarios queden bloqueados de las organizaciones y los espacios de trabajo donde el SSO es obligatorio. Recomendamos que tú, como administrador global, mantengas el SSO como opcional en el Portal de administración.
Durante la configuración, mantén abiertas dos ventanas separadas con la sesión iniciada:
Alguien inició sesión en una ventana de incógnito.
Iniciaste sesión a través de tu navegador estándar
Esto te permite probar el proceso de inicio de sesión y la configuración de SSO/verificación de dominio en una ventana, y revertir los cambios si es necesario desde la segunda ventana.
Prueba de SSO
Si deseas probar el proceso de configuración sin afectar a tus usuarios, puedes hacerlo mediante la aplicación aquí.
Completar una conexión exitosa en esta aplicación de prueba no se vinculará atrás a tu organización de producción, ni se guardará la conexión (así que podrás reutilizar los mismos parámetros en tu instancia de producción cuando estés listo). Esto significa que es seguro usarlo como un entorno de pruebas o Playground mientras te familiarizas con los requisitos y resuelves cualquier prerrequisito faltante.
Habilitar SSO
Para comenzar, navega a la página de OpenAI Identity desde la Consola de administración global. También puedes acceder a esa página desde el enlace en la página de "Identidad y Aprovisionamiento" que se encuentra debajo de la configuración de "Administrar Espacio de Trabajo" en ChatGPT o en la pestaña Identidad en la configuración de tu organización en la Plataforma de API.
Algunos ejemplos a continuación mostrarán la configuración en Okta, pero la misma lógica debería aplicarse a todos los IdP de SAML.
Verificación de dominio
Para habilitar SSO, necesitamos que primero verifiques al menos un dominio.
Importante: Recuerda revisar el impacto descendente que la verificación de dominio puede tener en los usuarios con ese dominio.
Haz clic en el botón “+ Agregar dominio” e ingresa tu DNS para empezar:
Una vez enviado, te proporcionamos una clave para verificar la propiedad de tu dominio. Dirígete a tu proveedor de DNS y agrega un registro TXT con el valor proporcionado:
Tu registro TXT debe ser accesible mediante una consulta DNS para que la verificación tenga éxito.
Después de completar esto en tu proveedor de DNS, regresa a la página de configuración y haz clic en el botón “Verificar”. Si la propiedad de tu dominio fue validada con éxito, verás que el estado se actualiza a “Verificado”.
Puedes agregar hasta 99 dominios verificados por Portal de administración, y te damos un plazo de 7 días para completar la verificación antes de marcar un dominio como caducado. Los dominios solo pueden verificarse en un único Portal de administración. Si necesitas verificar el mismo dominio en una organización o espacio de trabajo que no esté en tu Portal de administración, contacta a Soporte.
Configurar tu aplicación
Después de verificar exitosamente tu dominio, puedes proceder con la configuración de SSO al configurar tu aplicación IdP.
Para comenzar, haz clic en el botón "Configurar SSO":
Seleccionar tu proveedor de identidad
Tienes la opción de seleccionar de una lista de los IdP más populares que admiten integraciones SAML de forma nativa. Si no ves tu IdP en la lista, o si deseas usar una conexión OIDC, puedes elegir el botón de conexión personalizada apropiado que se muestra en la parte inferior:
Crear/conectar la aplicación
Ahora puedes seguir el asistente de configuración paso a paso para crear y conectar tu aplicación IdP con nosotros. Dependiendo del IdP que estés utilizando, las instrucciones pueden variar ligeramente, pero la configuración general sigue siendo la misma:
Ten en cuenta que las URL proporcionadas en el paso de creación serán únicas para tu organización:
Importante: Si decides restablecer una conexión de SSO estable, estos valores de URL cambiarán. Al configurar el SSO nuevamente, asegúrate de actualizarlos en tu aplicación en consecuencia.
Una vez que hayas completado la configuración de la URL, puedes proceder a definir la asignación de atributos para los usuarios autenticados a través de tu aplicación.
Mapeo de atributos
La asignación de atributos que defines en tu aplicación de SSO determina en última instancia qué cuentas de OpenAI son autenticadas y cómo se presentan tus usuarios en los productos de OpenAI. Nuestro modelo de usuario actual admite tres propiedades:
Dirección de correo electrónico (requerida en la respuesta SAML, determina a qué cuenta se accede)
Nombre (opcional, pero recomendado)
Apellido (opcional, pero recomendado)
Nota: No ofrecemos soporte para descifrar respuestas SAML. Asegúrate de no cifrar tu respuesta o afirmación para garantizar que podamos identificar correctamente los atributos.
Dependiendo de tu IdP, la asignación exacta de atributos puede variar. Te recomendamos seguir el mapeo exacto mostrado para tu IdP en el asistente de configuración, p. ej. Okta sería:
Si ves que nuevos usuarios están ingresando con sus direcciones de correo electrónico configuradas como su nombre para mostrar, revisa tu mapeo de atributos y confirma que no estás cifrando tus respuestas.
Alternativamente, si se les pide a los nuevos usuarios que ingresen su nombre y fecha de nacimiento, esto probablemente indica que no estamos identificando un valor de nombre correcto a partir de la respuesta de su atributo.
Cambios de correo electrónico
Ocasionalmente, la dirección de correo electrónico de un usuario puede actualizarse en tu IdP, p. ej.
Un cambio legal de nombre tras un matrimonio
Su empresa fue adquirida y tienen un nuevo dominio
etc.
Si esto cambia el valor del claim de emailaddress en la SSO SAMLResponse, se accederá a un usuario diferente de OpenAI vinculado a la nueva dirección de correo electrónico (y se creará si no existía previamente) tras un SSO exitoso. Este usuario deberá ser invitado a la organización o al espacio de trabajo de manera independiente del usuario original.
Dirección de correo electrónico principal
En algunos casos, puedes tener usuarios con varias direcciones de correo electrónico diferentes. Este es un escenario común en las empresas grandes que tienen sistemas de correo distribuidos o para clientes de Edu con diferentes escuelas, p. ej.
En esta situación, te recomendamos asegurarte de que tu respuesta SAML solo incluya una única dirección de correo electrónico en sus atributos, ya que incluir múltiples direcciones de correo electrónico puede causar confusión cuando intentamos vincularla a un usuario nuevo o existente.
Además, si los usuarios tienen una dirección de correo electrónico estática (por ejemplo, un UPN), recomendamos utilizarla en el mapeo de atributos para asegurar que tendrán una cuenta de usuario de OpenAI estable que no se verá afectada cuando sus otras direcciones de correo electrónico cambien.
Aprovisionamiento de acceso a la aplicación IdP
Una vez que hayas creado exitosamente el mapeo de atributos, el asistente te guiará por los pasos para el aprovisionamiento de acceso a los usuarios adecuados mediante los grupos deseados.
Revisa nuestras recomendaciones sobre Gestión de Usuarios para mejores prácticas.
Configuración de metadatos de IdP
En este punto de la configuración, tienes dos opciones distintas para definir los metadatos de tu IdP: configuración dinámica y configuración manual.
Configuración dinámica
Esta es la opción recomendada y más directa. Con la Configuración Dinámica, solo necesitas proporcionar la URL de los metadatos (ahora completada por la URL de SSO y el ID de entidad que configuraste antes) asociada a tu aplicación. El asistente de configuración te mostrará dónde puedes encontrar esto en tu IdP:
Configuración manual
Como su nombre lo indica, la configuración manual requiere un poco más de trabajo. Dependiendo de tu IdP, deberás ingresar la URL de SSO correspondiente y el emisor de IdP, junto con un certificado x.509:
Inicio de sesión iniciado por IdP
Si deseas que tus usuarios puedan hacer clic en un mosaico de su panel de control y ser autenticados automáticamente, puedes configurar la autenticación iniciada por el IdP en tu aplicación como parte del proceso de configuración. Aunque el proceso exacto variará dependiendo de tu IdP, el proceso general utilizará una URL proporcionada en la forma de:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
Plataforma de API: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Como ejemplo, Okta te guiará para crear una nueva aplicación de marcador con esta URL:
Mientras que Entra ID te permitirá ingresar la “Sign on URL” proporcionada en el formulario correspondiente:
Importante: Si decides restablecer una conexión de SSO estable, estos valores de URL cambiarán.
Esto significa que cuando configures la nueva conexión, también deberás actualizar tu URL de inicio de sesión en consecuencia, o de lo contrario los usuarios no podrán autenticarse a través de sus mosaicos.
Completar la configuración
Una vez que hayas configurado los metadatos de tu IdP, puedes hacer clic en “Continuar” para proceder con la configuración de cualquier aplicación de marcadores opcionales. El último paso obligatorio de configuración estará en la página “Probar inicio de sesión único (SSO)”:
Después de hacer clic en “Continuar para iniciar sesión”, el asistente intentará probar tu nueva conexión. Si todo sale bien, habrás habilitado el SSO de manera efectiva. Ahora deberías ver esto reflejado en tu página de configuración:
Los usuarios de tu grupo de IdP con cuentas o invitaciones correspondientes ahora deberían poder iniciar sesión con el SSO:
Pueden navegar a chatgpt.com o platform.openai.com, ingresa tu correo electrónico y, luego, autentícate después de que te redirijamos a tu IdP
Pueden usar la URL del Bookmark Tile que (opcionalmente) configuraste durante la configuración.
Si descubres que tus usuarios no pueden autenticarse exitosamente y tienes problemas para revertir los cambios, contacta a Soporte para asistencia inmediata.
Recuerda que al habilitar SSO en la Plataforma API, la verificación de dominio se aplica a todos los usuarios que tengan ese dominio. Esto significa que, incluso si los usuarios no forman parte de tu organización Enterprise, deberán ser parte de tu grupo de IdP para poder acceder a sus organizaciones personales.
Resolución de problemas de inicio de sesión
Si después de habilitar SSO tienes problemas para iniciar sesión, puedes consultar nuestra página de Preguntas frecuentes y solución de problemas para obtener ayuda e identificar errores comunes. Si no encuentras una respuesta suficiente allí, no dudes en ponerte en contacto con Soporte.