Finalidad
Esta guía está pensada para ofrecer a los administradores y equipos de TI la información necesaria antes de configurar SSO en sus cuentas de ChatGPT o de la plataforma. SSO está disponible para clientes Business, Enterprise y Edu.
Arquitectura de base y terminología
Actualmente, SSO se admite mediante autenticación SAML tanto para ChatGPT como para la plataforma de API.
Área de trabajo hace referencia a una instancia de ChatGPT
Organización hace referencia a una instancia de la plataforma de API
Proveedor de identidad (IdP) hace referencia al servicio que usas para gestionar la identidad digital. Admitimos conexiones mediante todos los IdP compatibles con SAML. Algunos de los IdP más habituales con los que nos hemos conectado son:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Para ver la lista completa de IdP compatibles, consulta la página de integraciones de WorkOS. Admitimos todas las integraciones de terceros de esta página que pueden conectarse mediante SAML u OIDC.
Actualmente, cada área de trabajo de ChatGPT tiene una organización de la plataforma correspondiente vinculada a ella. Esto significa que el ID de organización (org-id) que encuentras en la página «General» de la plataforma Enterprise es el mismo ID de organización (org-id) vinculado a tu área de trabajo de ChatGPT Enterprise. Como resultado, tu área de trabajo y tu organización comparten la misma capa de autenticación:
Hay algunos aspectos clave que conviene tener en cuenta como consecuencia de esta arquitectura:
Un único ID de organización (org-id) solo puede admitir una única configuración de IdP.
Las verificaciones de dominios y la configuración de SSO mediante SAML se comparten entre ChatGPT y la plataforma de API.
SSO debe habilitarse por separado en ChatGPT y en la plataforma de API. Sin embargo, una vez configurado en una de ellas, la «configuración» de la otra consiste en gran medida en activar el interruptor y añadir una aplicación de marcador en tu IdP, si así lo deseas.
Introducción a SSO
Antes de configurar SSO en tu cuenta, es importante entender primero algunos conceptos clave sobre la funcionalidad de SSO de OpenAI.
Terminología general sobre identidad
Aprovisionamiento Cuando OpenAI habla de aprovisionamiento en el contexto de los usuarios, se refiere específicamente al aprovisionamiento de invitaciones. No ofrecemos soporte directo para aprovisionar la creación de cuentas de usuario. Las invitaciones pueden aprovisionarse mediante:
SCIM (compatible tanto con la integración SCIM de ChatGPT como con la integración SCIM de la plataforma de API)
La página «Miembros» de ChatGPT o la plataforma de API
Creación automática de cuentas
API de invitaciones
Aprovisionar invitaciones es un paso independiente de la autenticación realizada mediante SSO.
Autenticación – «¿Eres quien dices ser?»
Ejemplo: un IdP autentica a un usuario en nuestro servicio para que sepamos que es quien dice ser al iniciar sesión.
Autorización – «¿Qué se te permite hacer o ver?»
Ejemplo: después de que tu IdP te autentique, determinamos a qué áreas de trabajo de ChatGPT perteneces.
Conocer la configuración de SSO de OpenAI
Verificación de dominios Es un requisito previo para habilitar SSO y la creación automática de cuentas. Básicamente: «¿este dominio es tuyo?»
Al iniciar sesión mediante chatgpt.com o platform.openai.com, un dominio verificado determina si se redirige al usuario a nuestra página de contraseña o a su IdP cuando SSO también está configurado
Una vez verificado un dominio en tu área de trabajo, cualquier usuario invitado a ella con un correo de ese dominio deberá fusionar su cuenta personal la próxima vez que inicie sesión.
La autenticación de ChatGPT se basa en el dominio Y en el área de trabajo: cuando un dominio está verificado y SSO está habilitado en el área de trabajo, solo los usuarios de esa área de trabajo que compartan el dominio serán dirigidos a SSO. Los usuarios que compartan el dominio pero NO formen parte del área de trabajo (es decir, usuarios de cuentas Free, Plus, Pro o Team de tu dominio) seguirán iniciando sesión mediante correo electrónico/contraseña o autenticación social.
La autenticación de la plataforma se basa en el dominio: cuando un dominio está verificado y SSO está habilitado, todos los usuarios de la plataforma bajo ese dominio perderán la posibilidad de iniciar sesión con contraseña. Consulta «Verificación de dominios en ChatGPT frente a la plataforma de API» más abajo para obtener más información.
Los subdominios deben verificarse por separado de los dominios de nivel superior
Para que podamos procesar correctamente la verificación de tu dominio, tu registro TXT debe poder leerse mediante una búsqueda DNS.
(Solo ChatGPT) Creación automática de cuentas (AAC) Cuando se habilita en un área de trabajo de ChatGPT, un nuevo usuario cuyo correo coincida con los dominios verificados recibirá automáticamente una invitación al área de trabajo Enterprise al registrarse. No recomendamos habilitar AAC si usas SCIM.
(Solo ChatGPT) Permitir invitaciones de dominios externos Esta opción controla si se puede invitar al área de trabajo a usuarios con dominios no verificados. Los usuarios de dominios externos no tendrán que iniciar sesión mediante SSO, ya que la configuración de SSO solo se aplica a los usuarios pertenecientes al dominio verificado.
Habilitar SSO Esta opción determina si la configuración de SSO configurada se aplica al área de trabajo y/o a la organización.
Exigir SSO
Cuando está deshabilitada, esta opción permite a los usuarios con un dominio verificado elegir entre iniciar sesión mediante SSO o mediante inicio de sesión social.
Los administradores globales pueden establecer Exigir SSO como obligatorio tanto para ChatGPT como para la plataforma de API directamente desde la página Gestionar SSO de la consola de administración. Cuando está habilitada, esta opción hace que los usuarios con un dominio verificado solo puedan iniciar sesión en el área de trabajo u organización con SSO habilitado mediante SSO. La autenticación con contraseña y social deja de ser válida para el área de trabajo u organización, pero puede seguir usándose en otras áreas de trabajo u organizaciones donde su dominio no esté verificado.
Verificación de dominios en ChatGPT frente a la plataforma de API
Como se ha indicado antes, la verificación de dominios se aplica en las instancias compartidas de ChatGPT y la plataforma. Sin embargo, hay una diferencia fundamental en cómo afecta la verificación de dominios a los inicios de sesión en ChatGPT frente a la plataforma si SSO está habilitado:
El SSO en la plataforma de API se basa íntegramente en el dominio. Esto significa que, una vez que se haya verificado un dominio en cualquier organización y se haya habilitado el SSO, TODOS los usuarios con ese dominio perderán la posibilidad de iniciar sesión con contraseña. Si no disponen de un método de autenticación social, no podrán acceder a sus respectivas organizaciones a menos que pertenezcan al grupo de acceso del IdP.
En cambio, en ChatGPT solo se verán afectados los usuarios que pertenezcan al área de trabajo en la que se haya verificado el dominio. Los usuarios que no estén en el grupo de acceso del IdP podrán seguir iniciando sesión en las áreas de trabajo mediante los métodos descritos en la siguiente sección.
Experiencia de inicio de sesión para tus usuarios
OpenAI admite tres métodos de autenticación distintos:
Nombre de usuario + contraseña
Autenticación social mediante Microsoft/Google/Apple
SSO
Ten en cuenta que el comportamiento variará en función de si el usuario inicia sesión en ChatGPT o en la plataforma de API, de si su dominio está verificado y de si se ha aplicado SSO en sus respectivas áreas de trabajo u organizaciones.
Inicio de sesión iniciado por el SP
Todos los usuarios pueden ir directamente a chatgpt.com o platform.openai.com para iniciar sesión. Al usar esta opción, los distintos métodos de autenticación pueden activarse como se muestra a continuación:
Si el usuario pertenece a varias áreas de trabajo, incluida una en la que se haya habilitado SSO para su dominio, se le pedirá que seleccione en qué área de trabajo quiere iniciar sesión.
Inicio de sesión en ChatGPT iniciado por el SP
Si detectamos que el correo electrónico introducido pertenece a un área de trabajo donde su dominio está verificado, redirigiremos al usuario a su IdP para autenticarse. De lo contrario, se indicará al usuario que inicie sesión introduciendo su contraseña.
Si el usuario pertenece a varias áreas de trabajo, incluida al menos una en la que se haya habilitado SSO para su dominio, se le pedirá que seleccione qué método usar para iniciar sesión:
Nota: si se ha habilitado «Exigir SSO» para un área de trabajo concreta, los usuarios con los dominios verificados solo podrán iniciar sesión mediante SSO. La autenticación social y con contraseña no estará disponible.
Inicio de sesión en la plataforma iniciado por el SP
Como se ha mencionado antes, cuando un usuario con un dominio verificado introduce su correo electrónico en la página de inicio de sesión de la plataforma, siempre se le dirigirá a su IdP para autenticarse.
Por eso es fundamental asegurarse de entenderlo bien antes de habilitar SSO para la plataforma. De lo contrario, es muy fácil bloquear por error el acceso de usuarios de la plataforma con cuentas personales.
Inicio de sesión iniciado por el IdP
Al configurar SSO desde sus respectivas páginas de identidad, encontrarás una URL de mosaico única tanto para ChatGPT como para la plataforma de API:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Plataforma: https://platform.openai.com/enterprise/conn_012abc/login
Estas URL de mosaico pueden configurarse en tu IdP para que tus usuarios puedan iniciar sesión y autenticarse automáticamente con un solo clic.
Siguientes pasos
Ahora que ya tienes una buena base sobre nuestra arquitectura, ve a nuestra página «Comprender la configuración ideal de gestión de usuarios» para determinar la implementación ideal para tu caso de uso. A continuación, te guiaremos en la configuración de SSO y SCIM en tu cuenta.