Objetivo
Esta guía está pensada para proporcionar a los administradores y equipos de TI la información necesaria que deben considerar antes de configurar el SSO en sus cuentas de ChatGPT o Platform. El SSO está disponible para clientes de Business, Enterprise y Edu.
Arquitectura de fondo y terminología
Actualmente, el SSO es compatible mediante autenticación SAML tanto para ChatGPT como para la API Platform.
Área de trabajo se refiere a una instancia de ChatGPT
Organización se refiere a una instancia de API Platform
Proveedor de identidad (IdP) se refiere al servicio que utilizas para gestionar la identidad digital. Admitimos conexiones a través de todos los IdP compatibles con SAML. Algunos de los IdP más comunes con los que nos hemos conectado incluyen:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Para ver la lista completa de IdP compatibles, consulta la página de integraciones de WorkOS. Admitimos todas las integraciones de terceros de esta página que puedan conectarse mediante SAML u OIDC.
Actualmente, cada área de trabajo de ChatGPT tiene una organización correspondiente de Platform vinculada a ella. Esto significa que el ID de organización (org-id) que encuentras en la página «General» de Platform de tu Enterprise es el mismo ID de organización (org-id) vinculado a tu área de trabajo Enterprise de ChatGPT. Como resultado, tu área de trabajo y tu organización comparten la misma capa de autenticación:
Como resultado de esta arquitectura, hay algunos puntos clave que debes tener en cuenta:
Un único ID de organización (org-id) solo puede admitir una única configuración de IdP.
Las verificaciones de dominio y los ajustes de SAML SSO se comparten entre ChatGPT y la API Platform.
El SSO debe habilitarse por separado en ChatGPT y en la API Platform. Sin embargo, una vez que lo hayas configurado en uno, la «configuración» del otro consiste en gran medida solo en activar el interruptor y añadir una aplicación de marcador en tu IdP, si así lo deseas.
Primeros pasos con SSO
Antes de configurar el SSO en tu cuenta, es importante entender primero algunos conceptos clave sobre la funcionalidad de SSO de OpenAI.
Terminología general de identidad
Aprovisionamiento
Cuando OpenAI se refiere al aprovisionamiento en el contexto de los usuarios, nos referimos específicamente al aprovisionamiento de invitaciones. No admitimos directamente el aprovisionamiento para la creación de cuentas de usuario. Las invitaciones pueden aprovisionarse mediante:
SCIM (compatible tanto con la integración SCIM de ChatGPT como con la integración SCIM de API Platform)
La página «Miembros» de ChatGPT o de API Platform
Creación automática de cuentas
API de invitaciones
El aprovisionamiento de invitaciones es un paso independiente de la autenticación que realiza el SSO.
Autenticación – «¿Eres quien dices ser?»
Ejemplo: un IdP autentica a un usuario en nuestro servicio para que sepamos que es quien dice ser al iniciar sesión.
Autorización – «¿Qué puedes hacer o ver?»
Ejemplo: después de que tu IdP te autentique, determinamos de qué áreas de trabajo de ChatGPT eres miembro.
Conocer los ajustes de SSO de OpenAI
Verificación de dominio
Este es un requisito previo para habilitar el SSO y la creación automática de cuentas. Básicamente, «¿Eres propietario de este dominio?»
Al iniciar sesión a través de chatgpt.com o platform.openai.com, un dominio verificado determina si se debe redirigir a un usuario a nuestra página de contraseña o a su IdP cuando el SSO también está configurado
Una vez que se verifica un dominio en tu área de trabajo, a cualquier usuario invitado al área de trabajo con un correo electrónico de ese dominio se le pedirá que fusione su cuenta personal la próxima vez que inicie sesión.
La autenticación de ChatGPT se basa en el dominio Y en el área de trabajo: cuando un dominio está verificado y el SSO está habilitado en el área de trabajo, solo los usuarios de esa área de trabajo que compartan el dominio serán redirigidos al SSO. Los usuarios que compartan el dominio pero NO formen parte del área de trabajo (es decir, usuarios de cuentas Free, Plus, Pro o Team de tu dominio) seguirán iniciando sesión mediante correo electrónico/contraseña o acceso social.
La autenticación de Platform se basa en el dominio: cuando un dominio está verificado y el SSO está habilitado, todos los usuarios de Platform de ese dominio perderán la posibilidad de iniciar sesión con contraseña. Consulta más abajo «Verificación de dominio en ChatGPT frente a la API Platform» para obtener más detalles.
Los subdominios deben verificarse por separado de los dominios de nivel superior
Para que podamos procesar correctamente la verificación de tu dominio, tu registro TXT debe poder leerse mediante una búsqueda DNS.
(Solo ChatGPT) Creación automática de cuentas (AAC)
Cuando está habilitada en un área de trabajo de ChatGPT, un nuevo usuario cuyo correo electrónico coincida con los dominios verificados recibirá automáticamente una invitación al área de trabajo Enterprise al registrarse. No recomendamos habilitar AAC si estás utilizando SCIM.
(Solo ChatGPT) Permitir invitaciones de dominios externos
Este ajuste controla si los usuarios con dominios no verificados pueden o no ser invitados al área de trabajo. A los usuarios de dominios externos no se les exigirá iniciar sesión mediante SSO, ya que los ajustes de SSO solo se aplican a los usuarios que pertenecen al dominio verificado.
Habilitar SSO
Este ajuste determina si la configuración de SSO que has establecido se aplica al área de trabajo y/o a la organización.
Aplicar SSO
Cuando está deshabilitado, este ajuste permite a los usuarios con un dominio verificado elegir entre iniciar sesión mediante SSO o mediante acceso social.
Los administradores globales pueden establecer Aplicar SSO como Obligatorio tanto para ChatGPT como para la API Platform directamente desde la página Gestionar SSO de la consola de administración. Cuando está habilitado, este ajuste hace que los usuarios con un dominio verificado solo puedan iniciar sesión en el área de trabajo u organización con SSO habilitado mediante SSO. La autenticación por contraseña y social deja de ser válida para el área de trabajo/organización, pero aún puede usarse en otras áreas de trabajo/organizaciones donde su dominio no esté verificado.
Verificación de dominio en ChatGPT frente a la API Platform
Como se comentó antes, la verificación de dominio se aplica en las instancias compartidas de ChatGPT y Platform. Sin embargo, hay una diferencia crítica en cómo afecta la verificación de dominio a los inicios de sesión en ChatGPT frente a Platform si el SSO está habilitado:
El SSO en la API Platform se basa por completo en el dominio. Esto significa que, una vez que se haya verificado un dominio en cualquier organización y se haya habilitado el SSO, TODOS los usuarios con ese dominio perderán la posibilidad de iniciar sesión con contraseña. Si no disponen de un método de autenticación social, se quedarán sin acceso a sus respectivas organizaciones, a menos que pertenezcan al grupo de acceso del IdP.
Por el contrario, en el caso de ChatGPT, solo se verán afectados los usuarios que pertenezcan al área de trabajo donde se haya verificado el dominio. Los usuarios que no estén en el grupo de acceso del IdP seguirán pudiendo iniciar sesión en áreas de trabajo usando los métodos descritos en la siguiente sección.
Experiencia de inicio de sesión para tus usuarios
OpenAI admite tres métodos de autenticación diferentes:
Nombre de usuario + contraseña
Autenticación social mediante Microsoft/Google/Apple
SSO
Ten en cuenta que el comportamiento variará según si el usuario inicia sesión en ChatGPT o en la API Platform, si su dominio está verificado y si en sus respectivas áreas de trabajo/organizaciones se ha aplicado el SSO.
Inicio de sesión iniciado por SP
Todos los usuarios pueden ir directamente a chatgpt.com o platform.openai.com para iniciar sesión. Al usar esta opción, los diferentes métodos de autenticación pueden activarse como se muestra a continuación:
Si el usuario pertenece a varias áreas de trabajo, incluida una en la que se ha habilitado el SSO para su dominio, se le pedirá que seleccione en qué área de trabajo quiere iniciar sesión.
Inicio de sesión en ChatGPT iniciado por SP
Si detectamos que el correo electrónico introducido pertenece a un área de trabajo en la que su dominio está verificado, redirigiremos al usuario a su IdP para autenticarse. En caso contrario, se dirigirá al usuario a iniciar sesión introduciendo su contraseña.
Si el usuario pertenece a varias áreas de trabajo, incluida al menos una en la que se ha habilitado el SSO para su dominio, se le pedirá que seleccione qué método desea usar para iniciar sesión:
Nota: si se ha habilitado «Enforce SSO» para un área de trabajo concreta, los usuarios con los dominios verificados solo podrán iniciar sesión mediante SSO. La autenticación social y por contraseña no estarán disponibles.
Inicio de sesión en Platform iniciado por SP
Como se ha mencionado antes, cuando un usuario con un dominio verificado introduce su correo electrónico en la página de inicio de sesión de Platform, siempre se le dirigirá a su IdP para autenticarse.
Por eso es fundamental asegurarte de entenderlo bien antes de habilitar el SSO para Platform. De lo contrario, es muy fácil bloquear por error a usuarios de Platform con cuentas personales.
Inicio de sesión iniciado por IdP
Al configurar el SSO desde sus respectivas páginas de identidad, encontrarás una URL de mosaico única proporcionada tanto para ChatGPT como para la API Platform:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login
Estas URL de mosaico pueden configurarse en tu IdP para permitir que tus usuarios inicien sesión/se autentiquen automáticamente con un solo clic.
Próximos pasos
Ahora que ya tienes una buena base sobre nuestra arquitectura, continúa con nuestra página «Comprender tu configuración ideal de gestión de usuarios» para determinar la implementación ideal para tu caso de uso. Después de esto, te guiaremos sobre cómo configurar SSO y SCIM en tu cuenta.