Este documento está pensado para ayudar a los administradores a implementar SSO, y posiblemente SCIM, de la forma que mejor se ajuste a su caso de uso.

Consulta nuestra página «Descripción general de SSO» para familiarizarte con los conceptos clave que se tratan en este documento.

Antes de verificar tus dominios, es importante plantearse varias preguntas:

¿Cómo quieres aprovisionar invitaciones para nuevos usuarios?
¿Cómo quieres gestionar a los usuarios de consumo existentes (personal/Plus/Pro)?
¿Cómo quieres que sea el flujo de inicio de sesión de tus usuarios?

Analizaremos cada una de estas preguntas con más detalle para ayudarte a elegir la opción que mejor se ajuste a tus necesidades.

Invitar a nuevos usuarios

Actualmente ofrecemos cuatro métodos distintos para aprovisionar invitaciones a los usuarios:

System for Cross-domain Identity Management (SCIM)
Invitaciones directas desde ChatGPT o API Platform
Solo ChatGPT: creación automática de cuentas (AAC)
Solo Platform: Endpoint de invitaciones de administración de API Platform

Conviene señalar que distinguimos entre los casos en los que los correos de invitación se envían activamente y los casos en los que una invitación se asocia de forma silenciosa al correo electrónico de un usuario en nuestro backend.

Los correos de invitación se envían activamente cuando:

Se invita por primera vez a un nuevo usuario mediante SCIM.
Se invita a un usuario directamente desde ChatGPT o API Platform.

Las invitaciones se asocian de forma silenciosa cuando:

Un usuario de SCIM se eliminó de tu grupo de IdP y luego se volvió a añadir.
Se aplica la creación automática de cuentas.

En este último caso, los usuarios no verán las invitaciones en su bandeja de entrada, pero se les dirigirá correctamente al área de trabajo u organización correspondiente cuando intenten iniciar sesión.

SCIM

SCIM está disponible tanto en ChatGPT como en API Platform. SCIM permite que los proveedores de identidad (p. ej., Okta, Entra ID, etc.) intercambien datos de identidad de usuarios con OpenAI, automatizando el aprovisionamiento de invitaciones (y el desaprovisionamiento de cuentas de usuario) en función de los cambios organizativos.

Aunque SCIM también se configura a través de tu IdP, puede configurarse con independencia de SSO. Por lo tanto, la verificación del dominio y SSO no son requisitos para SCIM.

Si decides usar SCIM y SSO, la distinción importante es la siguiente:

SCIM solo aprovisiona invitaciones
SSO gestiona la autenticación y la creación de usuarios

Consideramos que SCIM es la solución más sólida y escalable para la gestión general de usuarios. Según cuál sea tu implementación ideal, por lo general recomendamos la siguiente arquitectura como práctica recomendada si vas a implementarla tanto en ChatGPT como en API Platform:

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Con esta configuración, puedes gestionar fácilmente tanto las invitaciones como el acceso (a ChatGPT y a API Platform) por separado. Esta configuración tiene la ventaja añadida de que tus equipos de administración pueden realizar de forma centralizada cualquier cambio necesario directamente en tu IdP.

Si estás implementando SCIM en varias aplicaciones (es decir, ChatGPT, API Platform u otras cuentas), tus aplicaciones SCIM deben ser únicas. Aunque tu base de usuarios objetivo sea idéntica, se recomienda encarecidamente que cada implementación de SCIM haga referencia a una aplicación única en tu IdP.

Si no cumples este requisito, pueden surgir problemas de incoherencia que acaben provocando pertenencias no válidas.

Invitaciones directas desde ChatGPT o API Platform

Los administradores pueden invitar usuarios directamente por correo electrónico desde las páginas ChatGPT y Platform «Miembros» correspondientes. En ChatGPT, este método también admite invitaciones masivas mediante un CSV subido:

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Aunque normalmente no es escalable, solemos recomendar usar invitaciones directas al empezar en una nueva área de trabajo u organización. A diferencia de SCIM, no hay posibles retrasos en la llegada de las invitaciones a las bandejas de entrada de los usuarios, por lo que es la opción más eficaz para proporcionar acceso rápido, modificar permisos y realizar pruebas generales.

Además, siempre puedes activar SCIM más adelante y agrupar a tus usuarios existentes bajo la aplicación SCIM. Por tanto, no debes preocuparte por que los usuarios invitados directamente queden excluidos de futuras automatizaciones, salvo que así lo desees.

Creación automática de cuentas (AAC)

A diferencia de las demás opciones, AAC solo está disponible en la página Identidad de ChatGPT y requiere que SSO se haya activado previamente:

Automatic account creation setting for verified-domain users turned off

Como se muestra arriba, AAC garantiza que los usuarios que se registren o inicien sesión con un dominio de correo electrónico verificado se añadan automáticamente a tu área de trabajo Enterprise. Los usuarios no recibirán un correo de invitación y el proceso está totalmente automatizado. Esto tiene sus ventajas e inconvenientes.

Si tu política consiste en permitir el acceso abierto a cualquier usuario con tu dominio verificado, AAC es una gran opción que evita la carga adicional de configurar y gestionar una aplicación SCIM.

Sin embargo, AAC no es ideal si necesitas un enfoque de acceso de usuarios más restringido y basado en aprobaciones.

⚠️ ADVERTENCIA ⚠️

Es importante tener en cuenta que activar AAC obligará, en la práctica, a fusionar todos los usuarios de consumo (personal/Plus/Pro) de tu dominio en tu área de trabajo Enterprise. Encontrarás más información al respecto más abajo, en la sección «Gestionar usuarios existentes».

Ten en cuenta que, aunque los usuarios no sean miembros del grupo de acceso de tu IdP y no puedan acceder correctamente al área de trabajo si SSO es obligatorio, en este escenario seguirán ocupando un puesto en tu cuenta Enterprise.

Por este motivo, en la mayoría de los casos solemos recomendar SCIM o invitaciones directas en lugar de AAC. Y, para evitar posibles vías de confusión, recomendamos dejar AAC desactivado si tienes previsto usar SCIM.

Endpoint de invitaciones de administración de API Platform

Nuestra API Platform admite un Endpoint de invitaciones, que te permite invitar usuarios a tu organización de API mediante programación.

En comparación con SCIM, la principal ventaja del endpoint es que te permite especificar los proyectos a los que debe pertenecer el usuario invitado:

Esto aporta una capa adicional de granularidad y control, sin requerir el trabajo manual de enviar invitaciones directas individualmente.

Gestionar usuarios de consumo existentes

Definimos como usuarios de consumo a quienes tienen una suscripción personal, Plus o Pro. A menudo habrá usuarios de consumo existentes con tu dominio verificado que ya tenían cuentas antes de tu contrato Enterprise. Como verificar tu dominio y activar SSO puede tener un impacto posterior en estos usuarios de consumo, es importante determinar de antemano el resultado deseado.

Impacto en los usuarios de consumo de ChatGPT

En el caso de ChatGPT, el impacto para los usuarios de consumo viene determinado principalmente por dos factores:

¿Se les invitará al área de trabajo Enterprise?
¿Harás obligatorio SSO?

El comportamiento resultante se muestra a continuación:

¿Invitación pendiente?	¿SSO obligatorio?	Resultado
Sí	Sí	Las cuentas de usuario de consumo se verán obligadas a fusionarse con Enterprise y solo podrán iniciar sesión con SSO.
Sí	No	Las cuentas de usuario de consumo se verán obligadas a fusionarse con Enterprise, y los usuarios podrán autenticarse con SSO o con inicio de sesión social.
No	Sí	Sin impacto: los usuarios de consumo mantienen el acceso a sus áreas de trabajo personales mediante contraseña o autenticación social.
No	No	Sin impacto: los usuarios de consumo mantienen el acceso a sus áreas de trabajo personales mediante contraseña o autenticación social.

Si tu objetivo es impedir en última instancia cualquier cuenta de consumo, ponte en contacto con tu director de cuenta para analizar las posibles opciones.

Fusión de cuentas

Los requisitos previos para activar una fusión automática de la cuenta de consumo en una cuenta Enterprise son los siguientes:

El dominio del usuario está verificado.
El usuario ha recibido una invitación al área de trabajo Enterprise donde su dominio está verificado.
- Nota: si has activado AAC, esta condición siempre será verdadera para cualquier usuario con tu dominio verificado.

Cuando se cumplan estas condiciones, la próxima vez que el usuario inicie sesión en ChatGPT o lo actualice, debería ver el siguiente cuadro modal:

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Como destaca la imagen, reembolsaremos automáticamente cualquier suscripción Plus o Pro existente antes de la fusión. Los usuarios tendrán la opción de transferir su historial de chats y GPTs existentes, o bien exportar su historial de chats por correo electrónico y empezar en su área de trabajo Enterprise como una «pizarra en blanco».

Una vez fusionada la cuenta de consumo, no hay forma de restaurarla. Si tus usuarios eligieron la opción «Transferir historial de chats y GPTs existentes» pero no vieron que se reflejara en su área de trabajo Enterprise, ponte en contacto con Soporte.

Impacto en los usuarios de consumo de API Platform

Dado que SSO en Platform sigue basándose en el dominio (a diferencia de ChatGPT, donde SSO es específico del área de trabajo en la que se ha activado), tus usuarios de consumo se verán afectados en cuanto verifiques tu dominio y actives SSO en cualquier organización.

Los usuarios de consumo perderán la posibilidad de autenticarse con contraseñas, ya que identificamos la coincidencia de dominio y los reenviamos a tu IdP. Si son miembros de tu IdP, podrán autenticarse correctamente. Como alternativa, pueden iniciar sesión con una opción social de OAuth si está disponible para ellos. Si no, en la práctica les habrás bloqueado el acceso a sus cuentas de consumo.

Consulta la sección Flujo de inicio de sesión del usuario para obtener una guía más detallada de este flujo de trabajo.

Patrones recomendados de identidad y aprovisionamiento

Ahora que hemos descrito el comportamiento fundamental asociado a nuestra autenticación de identidad y al aprovisionamiento de invitaciones, puede ser útil revisar algunos de los patrones de implementación más habituales disponibles para usuarios Enterprise:

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Flujo de inicio de sesión del usuario

Ya hemos explicado el impacto de las invitaciones pendientes y la obligatoriedad de SSO, así que esta sección sirve para ayudar a visualizar el flujo y las comprobaciones esperados que realizamos cuando un usuario escribe su dirección de correo electrónico para iniciar sesión.

Flujo de inicio de sesión en ChatGPT

Nota: este diagrama excluye los intentos de inicio de sesión mediante un método social o mediante la URL del mosaico.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Flujo de inicio de sesión en API Platform