Objectif
Ce guide vise à fournir aux administrateurs et aux équipes TI les renseignements à prendre en compte avant de configurer l’authentification unique (SSO) dans vos comptes ChatGPT ou de plateforme. L’authentification unique (SSO) est offerte aux clients Business, Enterprise et Edu.
Architecture de base et terminologie
L’authentification unique (SSO) est actuellement prise en charge au moyen de l’authentification SAML pour ChatGPT et pour la plateforme d’API.
Espace de travail désigne une instance de ChatGPT.
Organisation désigne une instance de la plateforme d’API.
Fournisseur d’identité (IdP) désigne le service que vous utilisez pour gérer les identités numériques. Nous prenons en charge les connexions avec tous les IdP compatibles avec SAML. Voici quelques-uns des IdP les plus courants avec lesquels nous avons établi des connexions :
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Pour obtenir la liste complète des IdP pris en charge, consultez la page des intégrations de WorkOS. Nous prenons en charge toutes les intégrations tierces de cette page qui peuvent être connectées au moyen de SAML ou d’OIDC.
Actuellement, chaque espace de travail ChatGPT possède une organisation de plateforme correspondante qui lui est associée. Cela signifie que l’ID d’organisation (org-id) que vous trouvez sur la page « Général » de la plateforme Enterprise est le même ID d’organisation (org-id) que celui associé à votre espace de travail ChatGPT Enterprise. Par conséquent, votre espace de travail et votre organisation partagent la même couche d’authentification :
Cette architecture entraîne quelques points importants à retenir :
Un même ID d’organisation (org-id) ne peut prendre en charge qu’une seule configuration d’IdP.
Les vérifications de domaine et les paramètres d’authentification unique (SSO) SAML sont partagés entre ChatGPT et la plateforme d’API.
L’authentification unique (SSO) doit être activée séparément dans ChatGPT et dans la plateforme d’API. Toutefois, une fois qu’elle est configurée dans l’un des deux, la configuration de l’autre consiste essentiellement à activer l’option et, au besoin, à ajouter une application de signet dans votre IdP.
Premiers pas avec l’authentification unique (SSO)
Avant de configurer l’authentification unique (SSO) dans votre compte, il est important de comprendre certains concepts clés de la fonctionnalité d’authentification unique (SSO) d’OpenAI.
Terminologie générale liée à l’identité
Approvisionnement Quand OpenAI parle d’approvisionnement dans le contexte des utilisateurs, il s’agit précisément de l’approvisionnement des invitations. Nous ne prenons pas directement en charge l’approvisionnement pour la création de comptes utilisateur. Les invitations peuvent être approvisionnées au moyen de :
SCIM (pris en charge dans l’intégration SCIM de ChatGPT et l’intégration SCIM de la plateforme d’API)
La page « Membres » de ChatGPT ou de la plateforme d’API
Création automatique de compte
API Invites
L’approvisionnement des invitations est une étape indépendante de l’authentification effectuée par l’authentification unique (SSO).
Authentification – « Êtes-vous bien la personne que vous prétendez être? »
Exemple : un IdP authentifie un utilisateur auprès de notre service afin que nous sachions qu’il est bien la personne qu’il prétend être au moment de se connecter.
Autorisation – « Qu’avez-vous le droit de faire ou de voir? »
Exemple : une fois que votre IdP vous a authentifié, nous déterminons de quels espaces de travail ChatGPT vous êtes membre.
Découvrir les paramètres d’authentification unique (SSO) d’OpenAI
Vérification de domaine Il s’agit d’un prérequis pour activer l’authentification unique (SSO) et la création automatique de compte. En gros : « Êtes-vous propriétaire de ce domaine? »
Lors d’une connexion via chatgpt.com ou platform.openai.com, un domaine vérifié détermine si l’utilisateur est redirigé vers notre page de mot de passe ou vers son IdP lorsque l’authentification unique (SSO) est aussi configurée.
Une fois qu’un domaine est vérifié dans votre espace de travail, tout utilisateur invité dans cet espace avec une adresse courriel de ce domaine sera invité à fusionner son compte personnel à sa prochaine connexion.
L’authentification dans ChatGPT repose sur le domaine ET l’espace de travail : lorsqu’un domaine est vérifié et que l’authentification unique (SSO) est activée dans l’espace de travail, seuls les utilisateurs de cet espace qui partagent ce domaine seront redirigés vers l’authentification unique (SSO). Les utilisateurs qui partagent le domaine, mais qui ne font PAS partie de l’espace de travail (c.-à-d. les utilisateurs de votre domaine ayant un compte Free, Plus, Pro ou Team), continueront de se connecter par courriel/mot de passe ou par authentification sociale.
L’authentification de la plateforme est fondée sur le domaine : lorsqu’un domaine est vérifié et que l’authentification unique (SSO) est activée, tous les utilisateurs de la plateforme sous ce domaine ne peuvent plus se connecter avec un mot de passe. Consultez la section « Vérification de domaine dans ChatGPT ou dans la plateforme d’API » ci-dessous pour en savoir plus.
Les sous-domaines doivent être vérifiés séparément des domaines de premier niveau.
Pour que nous puissions traiter votre vérification de domaine, votre enregistrement TXT doit être lisible au moyen d’une recherche DNS.
(ChatGPT seulement) Création automatique de compte (AAC) Lorsque cette option est activée dans un espace de travail ChatGPT, un nouvel utilisateur dont l’adresse courriel correspond aux domaines vérifiés reçoit automatiquement une invitation à l’espace de travail Enterprise au moment de son inscription. Nous ne recommandons pas d’activer l’AAC si vous utilisez SCIM.
(ChatGPT seulement) Autoriser les invitations de domaines externes Ce paramètre détermine si des utilisateurs de domaines non vérifiés peuvent être invités ou non dans l’espace de travail. Les utilisateurs de domaines externes ne seront pas tenus de se connecter par authentification unique (SSO), car les paramètres d’authentification unique (SSO) ne s’appliquent qu’aux utilisateurs appartenant au domaine vérifié.
Activer l’authentification unique (SSO) Ce paramètre détermine si vos paramètres d’authentification unique (SSO) configurés s’appliquent à l’espace de travail et/ou à l’organisation.
Imposer l’authentification unique (SSO)
Lorsque ce paramètre est désactivé, les utilisateurs d’un domaine vérifié peuvent choisir de se connecter par authentification unique (SSO) ou par connexion sociale.
Les administrateurs généraux peuvent définir l’option Imposer l’authentification unique (SSO) comme obligatoire pour ChatGPT et la plateforme d’API directement à partir de la page Gérer l’authentification unique (SSO) dans la console d’administration. Lorsque ce paramètre est activé, les utilisateurs d’un domaine vérifié ne peuvent se connecter à l’espace de travail ou à l’organisation où l’authentification unique (SSO) est activée que par authentification unique (SSO). L’authentification par mot de passe et l’authentification sociale ne sont plus valides pour l’espace de travail ou l’organisation, mais elles peuvent encore être utilisées dans d’autres espaces de travail ou organisations où leur domaine n’est pas vérifié.
Vérification de domaine dans ChatGPT ou dans la plateforme d’API
Comme nous l’avons vu, la vérification de domaine s’applique aux instances partagées de ChatGPT et de la plateforme. Toutefois, il existe une différence essentielle dans l’incidence de la vérification de domaine sur les connexions à ChatGPT par rapport à la plateforme lorsque l’authentification unique (SSO) est activée :
L’authentification unique (SSO) sur la plateforme d’API est entièrement fondée sur le domaine. Cela signifie que dès qu’un domaine a été vérifié dans n’importe quelle organisation et que l’authentification unique (SSO) est activée, TOUS les utilisateurs de ce domaine ne pourront plus se connecter avec un mot de passe. S’ils ne disposent pas d’un moyen d’authentification sociale, ils n’auront plus accès à leurs organisations respectives, sauf s’ils appartiennent au groupe d’accès de l’IdP.
À l’inverse, du côté de ChatGPT, seuls les utilisateurs qui appartiennent à l’espace de travail où le domaine a été vérifié seront touchés. Les utilisateurs qui ne font pas partie du groupe d’accès de l’IdP pourront quand même se connecter aux espaces de travail au moyen des méthodes décrites dans la section suivante.
Expérience de connexion pour vos utilisateurs
OpenAI prend en charge trois méthodes d’authentification différentes :
Nom d’utilisateur + mot de passe
Authentification sociale par Microsoft/Google/Apple
Authentification unique (SSO)
Gardez à l’esprit que le comportement varie selon que l’utilisateur se connecte à ChatGPT ou à la plateforme d’API, que son domaine est vérifié ou non, et que l’authentification unique (SSO) est imposée ou non dans ses espaces de travail ou organisations.
Connexion initiée par le fournisseur de services
Tous les utilisateurs peuvent accéder directement à chatgpt.com ou à platform.openai.com pour se connecter. Avec cette option, les différentes méthodes d’authentification peuvent être déclenchées comme indiqué ci-dessous :
Si l’utilisateur appartient à plusieurs espaces de travail, dont un où l’authentification unique (SSO) a été activée pour son domaine, il sera invité à choisir l’espace de travail auquel se connecter.
Connexion à ChatGPT initiée par le fournisseur de services
Si nous constatons que l’adresse courriel saisie appartient à un espace de travail dont le domaine est vérifié, nous redirigerons l’utilisateur vers son IdP pour l’authentification. Sinon, l’utilisateur sera dirigé vers la connexion par mot de passe.
Si l’utilisateur appartient à plusieurs espaces de travail, dont au moins un où l’authentification unique (SSO) a été activée pour son domaine, il sera invité à choisir la méthode de connexion à utiliser :
Remarque : si l’option « Imposer l’authentification unique (SSO) » a été activée pour un espace de travail donné, les utilisateurs des domaines vérifiés ne peuvent se connecter que par authentification unique (SSO). L’authentification sociale et par mot de passe ne sera pas disponible.
Connexion à la plateforme initiée par le fournisseur de services
Comme mentionné précédemment, lorsqu’un utilisateur d’un domaine vérifié entre son adresse courriel sur la page de connexion de la plateforme, il sera toujours redirigé vers son IdP pour s’authentifier.
C’est pourquoi il est essentiel de bien comprendre ce fonctionnement avant d’activer l’authentification unique (SSO) pour la plateforme. Sinon, il est très facile de bloquer par erreur l’accès des utilisateurs de la plateforme qui utilisent des comptes personnels.
Connexion initiée par l’IdP
Lors de la configuration de l’authentification unique (SSO) à partir des pages d’identité respectives, vous trouverez une URL de vignette unique fournie pour ChatGPT et pour la plateforme d’API :
ChatGPT : https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Plateforme : https://platform.openai.com/enterprise/conn_012abc/login
Ces URL de vignette peuvent être configurées dans votre IdP afin de permettre à vos utilisateurs de se connecter et de s’authentifier automatiquement en un seul clic.
Prochaines étapes
Maintenant que vous avez une bonne compréhension de notre architecture, consultez la page « Comprendre votre configuration idéale de gestion des utilisateurs » afin de déterminer la mise en œuvre idéale pour votre cas d’utilisation. Nous vous guiderons ensuite dans la configuration de l’authentification unique (SSO) et de SCIM dans votre compte.