Requisitos previos
Para configurar el SSO, debes:
Tener un plan de OpenAI con una Consola de administración global
Ser administrador global
Antes de continuar, consulta nuestras páginas de documentación de Descripción general del SSO y Gestión de usuarios para asegurarte de que conoces nuestra arquitectura de SSO.
Si anteriormente configuraste SSO para una organización de API Platform o un Área de trabajo de ChatGPT, tus ajustes de SSO ya deberían estar disponibles para configurarse en la página de OpenAI Identity. Si el área de trabajo o la organización para la que quieres habilitar SSO no aparece en tu Consola de administración global, ponte en contacto con support@openai.com.
⚠️ ¡Tus usuarios se quedarán sin acceso si SSO no se configura correctamente!
Una configuración incorrecta puede hacer que tus usuarios se queden sin acceso a organizaciones y áreas de trabajo donde SSO esté configurado como obligatorio. Te recomendamos que, como administrador global, mantengas SSO como opcional en el portal de administración.
Durante la configuración, mantén abiertas dos ventanas de sesión independientes:
Una iniciada a través de una ventana de incógnito
Una iniciada a través de tu navegador habitual
Esto te permite probar el proceso de inicio de sesión y tu configuración de SSO/verificación de dominio en una ventana, y revertir los cambios si es necesario mediante la segunda ventana.
Probar SSO
Si quieres probar el proceso de configuración sin arriesgarte a afectar a tus usuarios, puedes hacerlo mediante la aplicación disponible aquí.
Completar correctamente una conexión en esta aplicación de prueba no se vinculará a tu organización de producción ni guardará la conexión (por lo que podrás reutilizar los mismos parámetros en tu instancia de producción cuando estés listo). Esto significa que es seguro usarla como entorno aislado o de pruebas mientras te familiarizas con los requisitos y resuelves cualquier requisito previo que falte.
Habilitar SSO
Para empezar, ve a la página de OpenAI Identity desde la Consola de administración global. También puedes acceder a esa página desde el enlace de la página «Identity & Provisioning» dentro de tus ajustes de «Manage Workspace» en ChatGPT o desde la pestaña Identity en los ajustes de tu organización de API Platform.
Algunos de los ejemplos de abajo mostrarán la configuración en Okta, pero la misma lógica debería aplicarse a todos los IdP SAML.
Verificación de dominio
Para poder habilitar SSO, primero debes verificar al menos un dominio.
Importante: recuerda revisar el impacto posterior que la verificación de dominio puede tener en los usuarios con ese dominio.
Haz clic en el botón «+ Add Domain» e introduce tu DNS para empezar:
Una vez enviado, te proporcionaremos una clave para verificar la propiedad de tu dominio. Ve a tu proveedor de DNS y añade un registro TXT con el valor proporcionado:
Tu registro TXT debe poder localizarse mediante una consulta DNS para que la comprobación de verificación se complete correctamente.
Después de completar esto en tu proveedor de DNS, vuelve a la página de configuración y haz clic en el botón «Check». Si la propiedad de tu dominio se validó correctamente, verás que el estado cambia a «Verified».
Puedes añadir hasta 99 dominios verificados por portal de administración, y te damos un plazo de 7 días para completar la comprobación de verificación antes de marcar un dominio como caducado. Los dominios solo pueden verificarse en un único portal de administración. Si necesitas verificar el mismo dominio en una organización o área de trabajo que no esté en tu portal de administración, ponte en contacto con el servicio de asistencia.
Configurar tu aplicación
Después de verificar correctamente tu dominio, puedes continuar con la configuración de SSO configurando tu aplicación de IdP.
Para empezar, haz clic en el botón «Set up SSO»:
Seleccionar tu proveedor de identidad
Tienes la opción de seleccionar entre una lista de los IdP más populares que admiten de forma nativa integraciones SAML. Si no ves tu IdP en la lista, o si quieres usar una conexión OIDC, puedes elegir el botón de conexión personalizada correspondiente que aparece en la parte inferior:
Crear/conectar la aplicación
Ahora puedes seguir el asistente de configuración paso a paso para ayudarte a crear y conectar tu aplicación de IdP con nosotros. Según el IdP que uses, las instrucciones pueden variar ligeramente, pero la configuración general sigue siendo la misma:
Ten en cuenta que las URL proporcionadas en el paso de creación serán únicas para tu organización:
Importante: si decides restablecer una conexión SSO en buen estado, estos valores de URL cambiarán. Cuando vuelvas a configurar SSO, tendrás que asegurarte de actualizarlos en tu aplicación según corresponda.
Una vez que hayas completado la configuración de la URL, puedes pasar a definir la asignación de atributos para los usuarios autenticados a través de tu aplicación.
Asignación de atributos
La asignación de atributos que defines en tu aplicación de SSO determina en última instancia qué cuentas de OpenAI se autentican y cómo aparecen tus usuarios en los productos de OpenAI. Nuestro modelo de usuario actual admite tres propiedades:
Dirección de correo electrónico (obligatoria en la respuesta SAML; determina a qué cuenta se accede)
Nombre (opcional, pero recomendado)
Apellidos (opcional, pero recomendado)
Nota: no admitimos el descifrado de respuestas SAML. Asegúrate de no cifrar tu respuesta ni tu aserción para garantizar que podamos identificar correctamente los atributos.
Según tu IdP, la asignación exacta de atributos variará. Recomendamos seguir exactamente la asignación mostrada para tu IdP en el asistente de configuración; por ejemplo, en Okta sería:
Si ves que llegan usuarios nuevos con sus direcciones de correo electrónico establecidas como su nombre para mostrar, revisa tu asignación de atributos y confirma que no estás cifrando tus respuestas.
Como alternativa, si se pide a los usuarios nuevos que introduzcan su nombre y fecha de nacimiento, es probable que esto indique que no estamos identificando un valor de nombre adecuado en tu respuesta de atributos.
Cambios de correo electrónico
En ocasiones, la dirección de correo electrónico de un usuario puede actualizarse en tu IdP, por ejemplo:
Un cambio de nombre legal tras un matrimonio
Su empresa fue adquirida y tiene un nuevo dominio
etc.
Si esto cambia el valor de la reclamación emailaddress en la SAMLResponse de SSO, se accederá a un usuario de OpenAI distinto vinculado a la nueva dirección de correo electrónico (y se creará si no existía previamente) al completar correctamente el SSO. Habrá que invitar a este usuario a la organización o al área de trabajo por separado del usuario original.
Direcciones de correo electrónico principales
En algunos casos, puede que tengas usuarios con varias direcciones de correo electrónico diferentes. Es una situación habitual en empresas grandes que tienen sistemas de correo distribuidos o en clientes educativos con distintas escuelas, por ejemplo:
En esta situación, recomendamos asegurarte de que tu respuesta SAML solo incluya una única dirección de correo electrónico en sus atributos, ya que incluir varios correos puede causar confusión cuando intentamos asociarla a un usuario nuevo o existente.
Además, si los usuarios tienen una dirección de correo estática (por ejemplo, un UPN), recomendamos utilizarla en tu asignación de atributos para garantizar que tengan una cuenta de usuario de OpenAI estable que no se vea afectada cuando cambien sus otras direcciones de correo electrónico.
Conceder acceso a la aplicación de IdP
Una vez que hayas creado correctamente la asignación de atributos, el asistente te guiará por los pasos para aprovisionar el acceso a los usuarios adecuados mediante los grupos deseados.
Consulta nuestras recomendaciones sobre Gestión de usuarios para conocer las mejores prácticas.
Configurar los metadatos del IdP
En este punto de la configuración, tienes dos opciones distintas para definir los metadatos de tu IdP: configuración dinámica y configuración manual.
Configuración dinámica
Esta es la opción recomendada y más sencilla. Con la configuración dinámica, solo necesitas proporcionar la URL de metadatos (ahora completada por la URL de SSO y el ID de entidad que configuraste antes) asociada a tu aplicación. El asistente de configuración te mostrará dónde puedes encontrarla en tu IdP:
Configuración manual
Como su nombre indica, la configuración manual requiere un poco más de trabajo. Según tu IdP, tendrás que introducir la URL de SSO y el emisor de IdP correspondientes, junto con un certificado x.509:
Inicio de sesión iniciado por IdP
Si quieres que tus usuarios puedan hacer clic en un acceso directo de su panel y autenticarse automáticamente, puedes configurar la autenticación iniciada por IdP en tu aplicación como parte del proceso de configuración. Aunque el proceso exacto variará según tu IdP, el proceso general utilizará una URL proporcionada con el formato siguiente:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Por ejemplo, Okta te guiará para crear una nueva aplicación de marcador con esta URL:
Mientras que Entra ID te permitirá introducir la «Sign on URL» proporcionada en el formulario correspondiente:
Importante: si decides restablecer una conexión SSO en buen estado, estos valores de URL sí cambiarán.
Esto significa que, cuando configures la nueva conexión, también tendrás que actualizar tu URL de inicio de sesión en consecuencia; de lo contrario, los usuarios no podrán autenticarse mediante sus accesos directos.
Completar la configuración
Una vez que hayas configurado los metadatos de tu IdP, puedes hacer clic en «Continue» para seguir con la configuración de cualquier aplicación de marcadores opcional. El paso final obligatorio de la configuración será en la página «Test Single Sign-On»:
Después de pulsar «Continue to sign-in», el asistente intentará probar tu nueva conexión. Si todo va bien, habrás habilitado SSO correctamente. Ahora deberías ver esto reflejado en tu página de configuración:
Los usuarios de tu grupo de IdP con cuentas o invitaciones correspondientes ya deberían poder iniciar sesión con SSO:
Pueden ir a chatgpt.com o platform.openai.com, introducir su correo electrónico y autenticarse después de que los redirijamos a su IdP
Pueden usar la URL del acceso directo de marcador que configuraste (opcionalmente) durante la configuración
Si descubres que tus usuarios no pueden autenticarse correctamente y tienes problemas para revertir los cambios, ponte en contacto con el servicio de asistencia para obtener ayuda inmediata.
Recuerda que habilitar SSO en API Platform aplica la verificación de dominio a todos los usuarios con ese dominio. Esto significa que, aunque los usuarios no pertenezcan a tu organización Enterprise, igualmente tendrán que formar parte de tu grupo de IdP para poder acceder a sus organizaciones personales.
Solución de problemas de inicio de sesión
Si, después de habilitar SSO, tienes problemas para iniciar sesión, puedes consultar nuestra página de Preguntas frecuentes y solución de problemas para identificar errores comunes. Si no encuentras allí una respuesta suficiente, no dudes en ponerte en contacto con el servicio de asistencia.