Objectif

Ce guide vise à fournir aux administrateurs et aux équipes TI les renseignements nécessaires à considérer avant de configurer l’authentification unique (SSO) dans vos comptes ChatGPT ou Platform. L’authentification unique (SSO) est offerte aux clients Business, Enterprise et Edu.

Architecture de base et terminologie

L’authentification unique (SSO) est actuellement prise en charge par l’authentification SAML pour ChatGPT et la plateforme API.

• Espace de travail désigne une instance de ChatGPT

• Organisation désigne une instance de la plateforme API

• Fournisseur d’identité (IdP) désigne le service que vous utilisez pour gérer l’identité numérique. Nous prenons en charge les connexions par tous les IdP compatibles avec SAML. Voici quelques-uns des IdP les plus courants auxquels nous nous sommes connectés :

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

Pour la liste complète des IdP pris en charge, consultez la page d’intégrations de WorkOS. Nous prenons en charge toutes les intégrations tierces de cette page pouvant être connectées par SAML ou OIDC.

Actuellement, chaque espace de travail ChatGPT a une organisation Platform correspondante qui lui est associée. Cela signifie que l’ID d’organisation (org-id) figurant dans votre page Platform « Général » Enterprise est le même ID d’organisation (org-id) associé à votre espace de travail ChatGPT Enterprise. Par conséquent, votre espace de travail et votre organisation partagent la même couche d’authentification :

Voici quelques points clés à noter en raison de cette architecture :

1. Un seul ID d’organisation (org-id) ne peut prendre en charge qu’une seule configuration d’IdP.

2. Les vérifications de domaine et les paramètres SAML SSO sont partagés entre ChatGPT et la plateforme API.

3. L’authentification unique (SSO) doit être activée séparément dans ChatGPT et dans la plateforme API. Toutefois, une fois configurée dans l’un, la « configuration » de l’autre consiste surtout à activer l’option et, au besoin, à ajouter une appli de signet dans votre IdP.

Premiers pas avec l’authentification unique (SSO)

Avant de configurer l’authentification unique (SSO) dans votre compte, il est important de d’abord comprendre certains concepts clés du fonctionnement SSO d’OpenAI.

Terminologie générale liée à l’identité

Provisionnement
Lorsque OpenAI parle de provisionnement dans le contexte des utilisateurs, nous parlons précisément du provisionnement des invitations. Nous ne prenons pas directement en charge le provisionnement de la création de comptes utilisateur. Les invitations peuvent être provisionnées par l’entremise de :

1. SCIM (pris en charge dans l’intégration SCIM de ChatGPT et l’intégration SCIM de la plateforme API)

2. La page « Membres » de ChatGPT ou de la plateforme API

3. Création automatique de compte

4. API d’invitations

Le provisionnement des invitations est une étape distincte de l’authentification effectuée par SSO.

Authentification – « Êtes-vous bien la personne que vous prétendez être? »

Exemple : un IdP authentifie un utilisateur auprès de notre service afin que nous sachions qu’il est bien la personne qu’il prétend être au moment de se connecter.

Autorisation – « Que pouvez-vous faire ou voir? »

Exemple : après que votre IdP vous a authentifié, nous déterminons de quel(s) espace(s) de travail ChatGPT vous êtes membre.

Comprendre les paramètres SSO d’OpenAI

Vérification du domaine
Il s’agit d’une condition préalable à l’activation de l’authentification unique (SSO) et de la création automatique de compte. En gros, « Ce domaine vous appartient-il? »

1. Lors de la connexion via chatgpt.com ou platform.openai.com, un domaine vérifié détermine s’il faut rediriger l’utilisateur vers notre page de mot de passe ou vers son IdP lorsque SSO est aussi configuré

2. Une fois qu’un domaine est vérifié dans votre espace de travail, tout utilisateur invité dans l’espace de travail avec une adresse courriel de ce domaine sera invité à fusionner son compte personnel à sa prochaine connexion.

3. L’authentification ChatGPT est basée sur le domaine ET l’espace de travail : lorsqu’un domaine est vérifié et que SSO est activé dans l’espace de travail, seuls les utilisateurs de cet espace de travail qui partagent le domaine seront redirigés vers SSO. Les utilisateurs qui partagent le domaine mais ne font PAS partie de l’espace de travail (c.-à-d. les utilisateurs de comptes Free, Plus, Pro ou Team de votre domaine) continueront à se connecter par courriel/mot de passe ou via une connexion sociale.

4. L’authentification Platform est basée sur le domaine — lorsqu’un domaine est vérifié et que SSO est activé, tous les utilisateurs Platform de ce domaine perdront la possibilité de se connecter avec un mot de passe. Consultez « Vérification du domaine dans ChatGPT et la plateforme API » ci-dessous pour plus de détails.

5. Les sous-domaines doivent être vérifiés séparément des domaines de premier niveau

Pour que nous puissions traiter correctement la vérification de votre domaine, votre enregistrement TXT doit être lisible au moyen d’une recherche DNS.

(ChatGPT seulement) Création automatique de compte (AAC)
Lorsqu’elle est activée dans un espace de travail ChatGPT, un nouvel utilisateur dont le courriel correspond au(x) domaine(s) vérifié(s) recevra automatiquement une invitation à l’espace de travail Enterprise lors de son inscription. Nous ne recommandons pas d’activer AAC si vous utilisez SCIM.

(ChatGPT seulement) Autoriser les invitations de domaines externes
Ce paramètre contrôle si les utilisateurs ayant des domaines non vérifiés peuvent être invités dans l’espace de travail. Les utilisateurs de domaines externes ne seront pas tenus de se connecter par SSO, car les paramètres SSO s’appliquent seulement aux utilisateurs appartenant au domaine vérifié.

Activer SSO
Ce paramètre détermine si vos paramètres SSO configurés s’appliquent ou non à l’espace de travail et/ou à l’organisation.

Imposer SSO

Lorsqu’il est désactivé, ce paramètre permet aux utilisateurs ayant un domaine vérifié de choisir entre la connexion par SSO ou par connexion sociale.

Les administrateurs globaux peuvent définir l’option Imposer SSO sur Obligatoire pour ChatGPT et la plateforme API directement depuis la page Gérer SSO dans la console d’administration. Lorsqu’il est activé, ce paramètre fait en sorte que les utilisateurs ayant un domaine vérifié peuvent seulement se connecter à l’espace de travail ou à l’organisation où SSO est activé au moyen de SSO. L’authentification par mot de passe et sociale n’est plus valide pour l’espace de travail/l’organisation, mais elle peut encore être utilisée dans d’autres espaces de travail/organisations où leur domaine n’est pas vérifié.

Vérification du domaine dans ChatGPT et la plateforme API

Comme nous l’avons mentionné plus tôt, la vérification du domaine s’applique aux instances partagées de ChatGPT et de Platform. Cependant, il existe une différence cruciale dans la façon dont la vérification du domaine affecte les connexions à ChatGPT et à Platform lorsque SSO est activé :

Expérience de connexion de vos utilisateurs

OpenAI prend en charge trois méthodes d’authentification différentes :

1. Nom d’utilisateur + mot de passe

2. Authentification sociale par Microsoft/Google/Apple

3. SSO

Gardez à l’esprit que le comportement variera selon que l’utilisateur se connecte à ChatGPT ou à la plateforme API, que son domaine soit vérifié et que ses espaces de travail/organisations respectifs imposent ou non SSO.

Connexion initiée par le SP

Tous les utilisateurs peuvent aller directement à chatgpt.com ou platform.openai.com pour se connecter. Avec cette option, les différentes méthodes d’authentification peuvent être déclenchées comme indiqué ci-dessous :

Si l’utilisateur appartient à plusieurs espaces de travail, dont un où SSO a été activé pour son domaine, il sera invité à sélectionner l’espace de travail auquel se connecter.

Connexion ChatGPT initiée par le SP

Si nous constatons que le courriel saisi appartient à un espace de travail où son domaine est vérifié, nous redirigerons l’utilisateur vers son IdP pour l’authentifier. Sinon, l’utilisateur sera dirigé vers une connexion par saisie de son mot de passe.

Si l’utilisateur appartient à plusieurs espaces de travail, dont au moins un où SSO a été activé pour son domaine, il sera invité à sélectionner la méthode de connexion à utiliser :

Connexion Platform initiée par le SP

Comme mentionné précédemment, lorsqu’un utilisateur ayant un domaine vérifié saisit son courriel sur la page de connexion de Platform, il sera toujours redirigé vers son IdP pour s’authentifier.

C’est pourquoi il est essentiel de bien comprendre cela avant d’activer SSO pour Platform. Sinon, il est très facile de bloquer par erreur des utilisateurs Platform sur des comptes personnels.

Connexion initiée par l’IdP

Lors de la configuration de SSO à partir de leurs pages d’identité respectives, vous trouverez une URL de vignette unique fournie pour ChatGPT et la plateforme API :

• ChatGPT : https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef

• Platform : https://platform.openai.com/enterprise/conn_012abc/login

Ces URL de vignette peuvent être configurées dans votre IdP pour permettre à vos utilisateurs de se connecter/s’authentifier automatiquement en un seul clic.

Prochaines étapes

Maintenant que vous comprenez bien notre architecture, passez à notre page « Comprendre votre configuration idéale de gestion des utilisateurs » afin de déterminer la mise en œuvre idéale pour votre cas d’utilisation. Ensuite, nous vous expliquerons comment configurer SSO et SCIM dans votre compte.