OpenAI
Tämä sivu on konekäännetty. Katso alkuperäinen englanninkielinen artikkeli.

SSO:n yleiskatsaus

Yleiskatsaus kertakirjautumiseen ja sen toimintaan ChatGPT:ssä ja Platformissa

Päivitetty: 6 hours ago

Tarkoitus

Tämän oppaan tarkoitus on antaa järjestelmänvalvojille ja IT-tiimeille tarvittavat tiedot huomioitavaksi ennen SSO:n määrittämistä ChatGPT- tai Platform-tileilläsi. SSO on saatavilla Business-, Enterprise- ja Edu-asiakkaille.

Tausta-arkkitehtuuri ja terminologia

SSO:ta tuetaan tällä hetkellä SAML-todennuksen kautta sekä ChatGPT:ssä että API Platformissa.

  • Työtila viittaa ChatGPT-instanssiin

  • Organisaatio viittaa API Platform -instanssiin

  • Identity Provider (IdP) viittaa palveluun, jota käytät digitaalisen identiteetin hallintaan. Tuemme yhteyksiä kaikkien SAMLia tukevien IdP:iden kautta. Yleisimpien yhdistämiemme IdP:iden joukossa ovat:

    • Okta

    • Azure Active Directory/Entra ID

    • Google Workspace

    • Duo

Katso tuettujen IdP:iden täydellinen luettelo WorkOSin Integraatiosivulta. Tuemme kaikkia tällä sivulla olevia kolmannen osapuolen integraatioita, jotka voidaan yhdistää joko SAMLin tai OIDC:n kautta.

Tällä hetkellä jokaisella ChatGPT-työtilalla on siihen liitetty vastaava Platform-organisaatio. Tämä tarkoittaa, että Enterprise-tilisi Platformin "Yleiset"-sivulta löytyvä Organization ID (org-id) on sama Organization ID (org-id), joka on liitetty Enterprise ChatGPT -työtilaasi. Tämän seurauksena työtilasi ja organisaatiosi jakavat saman todentamiskerroksen:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Tämän arkkitehtuurin seurauksena on hyvä huomioida muutama keskeinen asia:

  1. Yksi Organization ID (org-id) voi tukea vain yhtä IdP-määritystä.

  2. Verkkotunnuksen vahvistukset ja SAML SSO -asetukset jaetaan ChatGPT:n ja API Platformin kesken.

  3. SSO on otettava käyttöön erikseen ChatGPT:ssä ja API Platformissa. Kun olet kuitenkin määrittänyt sen toisessa, toisen "käyttöönotto" on pääosin vain kytkimen päälle laittamista ja haluttaessa kirjanmerkkisovelluksen lisäämistä IdP:hen.

SSO:n käytön aloittaminen

Ennen SSO:n määrittämistä tililläsi on tärkeää ymmärtää ensin muutamia keskeisiä käsitteitä OpenAIn SSO-toiminnallisuudesta.

Yleinen identiteettiterminologia

Provisioning
Kun OpenAI viittaa provisioningiin käyttäjien yhteydessä, tarkoitamme nimenomaan kutsujen provisiointia. Emme tue suoraan käyttäjätilien luomisen provisiointia. Kutsuja voidaan provisioida seuraavilla tavoilla:

  1. SCIM (tuettu sekä ChatGPT SCIM -integraatiossa että API Platform SCIM -integraatiossa)

  2. ChatGPT:n tai API Platformin "Jäsenet"-sivu

  3. Automaattinen tilin luonti

  4. Invites API

Kutsujen provisiointi on erillinen vaihe SSO:n suorittamasta todennuksesta.

Todennus – ”Oletko se, joka väität olevasi?”

Esimerkki: IdP todentaa käyttäjän palveluumme, jotta tiedämme hänen olevan se, joka hän väittää olevansa kirjautuessaan sisään.

Valtuutus – ”Mitä saat tehdä tai nähdä?”

Esimerkki: Kun IdP on todentanut sinut, määritämme, minkä ChatGPT-työtilan tai -työtilojen jäsen olet.

OpenAIn SSO-asetuksiin tutustuminen

Verkkotunnuksen vahvistus
Tämä on edellytys SSO:n ja automaattisen tilin luonnin käyttöönotolle. Käytännössä: ”Omistatko tämän verkkotunnuksen?”

  1. Kun kirjaudutaan chatgpt.comin tai platform.openai.comin kautta, vahvistettu verkkotunnus määrittää, ohjataanko käyttäjä salasanasivullemme vai hänen IdP:lleen, jos myös SSO on määritetty

  2. Kun verkkotunnus on vahvistettu työtilassasi, ketä tahansa tähän työtilaan kyseisen verkkotunnuksen sähköpostiosoitteella kutsuttua käyttäjää pyydetään yhdistämään henkilökohtainen tilinsä seuraavan kirjautumisen yhteydessä.

  3. ChatGPT-todennus perustuu verkkotunnukseen JA työtilaan - kun verkkotunnus on vahvistettu ja SSO on otettu käyttöön työtilassa, vain kyseiseen työtilaan kuuluvat ja verkkotunnuksen jakavat käyttäjät ohjataan SSO:hon. Käyttäjät, joilla on sama verkkotunnus mutta jotka EIVÄT kuulu työtilaan (eli verkkotunnuksesi Free-, Plus-, Pro- tai Team-tilien käyttäjät), jatkavat kirjautumista sähköpostilla/salasanalla tai sosiaalisen kirjautumisen kautta.

  4. Platform-todennus on verkkotunnuspohjainen -- kun verkkotunnus on vahvistettu ja SSO on käytössä, kaikki kyseisen verkkotunnuksen Platform-käyttäjät menettävät mahdollisuuden kirjautua salasanalla. Katso lisätietoja alta kohdasta "Verkkotunnuksen vahvistus ChatGPT:ssä vs. API Platformissa".

  5. Aliverkkotunnukset on vahvistettava erikseen ylätason verkkotunnuksista

Jotta voimme käsitellä verkkotunnuksesi vahvistuksen onnistuneesti, TXT-tietueesi on oltava luettavissa DNS-haun kautta.

(Vain ChatGPT) Automatic Account Creation (AAC)
Kun tämä on käytössä ChatGPT-työtilassa, uusi käyttäjä, jonka sähköpostiosoite vastaa vahvistettua verkkotunnusta tai vahvistettuja verkkotunnuksia, saa automaattisesti kutsun Enterprise-työtilaan rekisteröityessään. Emme suosittele AAC:n käyttöönottoa, jos käytät SCIMiä.

(Vain ChatGPT) Salli kutsut ulkoisista verkkotunnuksista
Tämä asetus määrittää, voidaanko vahvistamattomien verkkotunnusten käyttäjiä kutsua työtilaan. Ulkoisten verkkotunnusten käyttäjien ei tarvitse kirjautua SSO:n kautta, koska SSO-asetukset koskevat vain vahvistettuun verkkotunnukseen kuuluvia käyttäjiä.

Ota SSO käyttöön
Tämä asetus määrittää, sovelletaanko määritettyjä SSO-asetuksiasi työtilaan ja/tai organisaatioon.

Pakota SSO

Kun tämä asetus on poistettu käytöstä, vahvistetun verkkotunnuksen käyttäjät voivat valita kirjautumisen SSO:n tai sosiaalisen kirjautumisen kautta.

Global Adminit voivat asettaa Pakota SSO -asetuksen tilaan Vaadittu sekä ChatGPT:lle että API Platformille suoraan Admin Consolen Manage SSO -sivulta. Kun tämä asetus on käytössä, vahvistetun verkkotunnuksen käyttäjät voivat kirjautua SSO-käytössä olevaan työtilaan tai organisaatioon vain SSO:n kautta. Salasana- ja sosiaalinen todennus eivät enää kelpaa työtilaan/organisaatioon, mutta niitä voidaan silti käyttää muissa työtiloissa/organisaatioissa, joissa heidän verkkotunnustaan ei ole vahvistettu.

Verkkotunnuksen vahvistus ChatGPT:ssä vs. API Platformissa

Kuten aiemmin todettiin, verkkotunnuksen vahvistusta sovelletaan jaettuihin ChatGPT- ja Platform-instansseihin. SSO:n ollessa käytössä on kuitenkin yksi kriittinen ero siinä, miten verkkotunnuksen vahvistus vaikuttaa kirjautumiseen ChatGPT:hen verrattuna Platformiin:

API Platformin kertakirjautuminen perustuu täysin toimialueeseen. Tämä tarkoittaa, että kun toimialue on vahvistettu missä tahansa organisaatiossa ja kertakirjautuminen on otettu käyttöön, KAIKKI kyseisen toimialueen käyttäjät menettävät mahdollisuuden kirjautua sisään salasanalla. Jos heillä ei ole sosiaalisen tunnistautumisen tapaa, he menettävät pääsyn omiin organisaatioihinsa, elleivät he kuulu IdP:n käyttöoikeusryhmään.

Sitä vastoin ChatGPT:n puolella vaikutus koskee vain käyttäjiä, jotka kuuluvat siihen työtilaan, jossa toimialue on vahvistettu. Käyttäjät, jotka eivät ole IdP:n käyttöoikeusryhmässä, voivat silti kirjautua työtiloihin seuraavassa osiossa käsitellyillä tavoilla.

Käyttäjiesi kirjautumiskokemus

OpenAI tukee kolmea erilaista todennustapaa:

  1. Käyttäjänimi + salasana

  2. Sosiaalinen todennus Microsoftin/Googlen/Applen kautta

  3. SSO

Huomaa, että toiminta vaihtelee sen mukaan, kirjautuuko käyttäjä ChatGPT:hen vai API Platformiin, onko hänen verkkotunnuksensa vahvistettu ja ovatko vastaavat työtilat/organisaatiot pakottaneet SSO:n.

SP-aloitteinen kirjautuminen

Kaikki käyttäjät voivat siirtyä suoraan osoitteeseen chatgpt.com tai platform.openai.com kirjautuakseen sisään. Tätä vaihtoehtoa käytettäessä eri todennustavat voidaan käynnistää alla kuvatulla tavalla:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Jos käyttäjä kuuluu useaan työtilaan, mukaan lukien sellaiseen, jossa SSO on otettu käyttöön hänen verkkotunnukselleen, häntä pyydetään valitsemaan, mihin työtilaan hän kirjautuu.

ChatGPT:n SP-aloitteinen kirjautuminen

Jos havaitsemme, että annettu sähköpostiosoite kuuluu työtilaan, jossa sen verkkotunnus on vahvistettu, ohjaamme käyttäjän hänen IdP:lleen todennettavaksi. Muussa tapauksessa käyttäjä ohjataan kirjautumaan antamalla salasanansa.

Jos käyttäjä kuuluu useaan työtilaan, mukaan lukien vähintään yhteen, jossa SSO on otettu käyttöön hänen verkkotunnukselleen, häntä pyydetään valitsemaan, mitä kirjautumistapaa hän käyttää:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Huomautus: jos tietylle työtilalle on otettu käyttöön "Pakota kertakirjautuminen", vahvistetun toimialueen käyttäjät voivat kirjautua sisään vain kertakirjautumisen kautta. Sosiaalinen tunnistautuminen ja salasanatunnistautuminen eivät ole käytettävissä.

Platformin SP-aloitteinen kirjautuminen

Kuten aiemmin mainittiin, kun vahvistetun verkkotunnuksen käyttäjä syöttää sähköpostiosoitteensa Platformin kirjautumissivulla, hänet ohjataan aina IdP:lleen todennettavaksi.

Siksi on kriittistä varmistaa ymmärryksesi ennen SSO:n käyttöönottoa Platformissa. Muuten on erittäin helppoa lukita Platform-käyttäjät vahingossa ulos henkilökohtaisilta tileiltä.

IdP-aloitteinen kirjautuminen

Kun määrität SSO:ta niiden vastaavilta identiteettisivuilta, löydät sekä ChatGPT:lle että API Platformille annetun yksilöllisen Tile URL:n:

Nämä Tile URL -osoitteet voidaan määrittää IdP:ssäsi niin, että käyttäjäsi voivat kirjautua sisään/todentautua automaattisesti yhdellä napsautuksella.

Seuraavat vaiheet

Nyt kun sinulla on hyvä peruskäsitys arkkitehtuuristamme, siirry sivullemme "Ihanteellisen käyttäjähallinnan asetusten ymmärtäminen" määrittääksesi käyttötapaukseesi sopivan toteutuksen. Tämän jälkeen opastamme sinua määrittämään SSO:n ja SCIMin tililläsi.

Oliko tästä artikkelista apua?