Ce document vise à aider les administrateurs à déployer l’authentification unique (SSO), et possiblement SCIM, de la façon la mieux adaptée à leur cas d’utilisation.

Veuillez consulter notre page « Aperçu de l’authentification unique (SSO) » pour vous familiariser avec les concepts clés abordés dans ce document.

Avant de vérifier vos domaines, il est important de réfléchir à quelques questions :

Comment souhaitez-vous provisionner les invitations pour les nouveaux utilisateurs?
Comment souhaitez-vous gérer les utilisateurs consommateurs existants (personnel/Plus/Pro)?
À quoi voulez-vous que votre flux de connexion utilisateur ressemble?

Nous examinerons chacune de ces questions plus en détail pour vous aider à choisir l’option qui répond le mieux à vos besoins.

Inviter de nouveaux utilisateurs

Nous offrons actuellement quatre méthodes différentes pour provisionner des invitations aux utilisateurs :

System for Cross-domain Identity Management (SCIM)
Invitations directes depuis l’application
[ChatGPT uniquement] Création automatique de compte (AAC)
[Platform uniquement] Endpoint API

Il convient de noter que nous faisons une distinction entre les cas où des courriels d’invitation sont activement envoyés :

Un nouvel utilisateur est invité pour la première fois par SCIM
OU par des invitations directes depuis l’application

Et les cas où une invitation est associée discrètement au courriel d’un utilisateur dans notre système :

Un utilisateur SCIM a été retiré de votre groupe IdP, puis ajouté de nouveau
Création automatique de compte

Dans ce dernier cas, les utilisateurs ne verront pas les invitations dans leur boîte de réception, mais ils seront quand même dirigés correctement vers l’espace de travail/l’organisation correspondant lorsqu’ils tenteront de se connecter.

SCIM

SCIM est offert dans ChatGPT et dans l’API Platform. SCIM permet aux fournisseurs d’identité (p. ex. Okta, Entra ID, etc.) d’échanger des données d’identité utilisateur avec OpenAI, automatisant le provisionnement des invitations (et le déprovisionnement des comptes utilisateurs) selon les changements organisationnels.

Bien que SCIM soit aussi configuré par l’intermédiaire de votre IdP, il peut être configuré indépendamment du SSO. Ainsi, la vérification de domaine et le SSO ne sont pas des exigences pour SCIM.

Si vous décidez d’utiliser à la fois SCIM et le SSO, la distinction importante à faire est la suivante :

SCIM provisionne uniquement les invitations
Le SSO gère l’authentification et la création d’utilisateurs

Nous considérons SCIM comme la solution la plus robuste et évolutive pour la gestion globale des utilisateurs. Selon votre implémentation idéale, nous recommandons généralement l’architecture suivante comme pratique exemplaire si vous déployez à la fois ChatGPT et l’API Platform :

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

Avec cette configuration, vous pouvez facilement gérer séparément les invitations et l’accès (à ChatGPT et à l’API Platform). Cette configuration offre aussi l’avantage de permettre à vos équipes d’administration d’effectuer centralement les changements nécessaires directement dans votre IdP.

Si vous implémentez SCIM dans plusieurs applications (c.-à-d. ChatGPT, API Platform ou d’autres comptes), vos applications SCIM doivent être distinctes. Même si votre base d’utilisateurs cible est identique, il est fortement recommandé que chaque implémentation SCIM fasse référence à une application unique dans votre IdP.

Si vous ne respectez pas cette exigence, cela peut entraîner des problèmes d’incohérence qui mènent ultimement à des appartenances invalides.

Invitations directes depuis ChatGPT ou API Platform

Les administrateurs peuvent inviter directement des utilisateurs par courriel à partir des pages ChatGPT et Platform « Membres ». Dans ChatGPT, cette méthode prend aussi en charge les invitations en lot par téléversement d’un fichier CSV :

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

Bien qu’elle ne soit généralement pas évolutive, nous recommandons souvent d’utiliser les invitations directes lorsque vous débutez dans un nouvel espace de travail/une nouvelle organisation. Contrairement à SCIM, il n’y a pas de délai possible avant que les invitations atteignent la boîte de réception des utilisateurs; c’est donc l’option la plus efficace pour fournir un accès rapide, modifier les autorisations et faire des tests généraux.

De plus, vous pouvez toujours activer SCIM plus tard et regrouper vos utilisateurs existants sous l’application SCIM. Il n’y a donc pas à craindre que les utilisateurs invités directement soient exclus de l’automatisation future, sauf si vous le souhaitez.

Création automatique de compte (AAC)

Contrairement aux autres options, AAC est offerte uniquement dans la page Identité de ChatGPT et nécessite que l’authentification unique (SSO) ait d’abord été activée :

Automatic account creation setting for verified-domain users turned off

Comme illustré ci-dessus, AAC garantit que les utilisateurs qui s’inscrivent ou se connectent avec un domaine de courriel vérifié seront automatiquement ajoutés à votre espace de travail Enterprise. Les utilisateurs ne recevront pas de courriel d’invitation, et le processus est entièrement automatisé. Cela comporte des avantages et des inconvénients.

Si votre politique consiste à permettre un accès ouvert à tout utilisateur ayant votre domaine vérifié, AAC est une excellente option qui évite la charge supplémentaire liée à la configuration et à la gestion d’une application SCIM.

Cependant, AAC n’est pas idéale si vous avez besoin d’une approche d’accès utilisateur plus verrouillée et fondée sur l’approbation.

⚠️ AVERTISSEMENT ⚠️

Il est important de garder à l’esprit qu’activer AAC forcera effectivement la fusion de tous les utilisateurs consommateurs (personnel/Plus/Pro) de votre domaine dans votre espace de travail Enterprise. Vous trouverez plus de détails ci-dessous dans la section « Gestion des utilisateurs existants ».

Notez que, même si les utilisateurs ne sont pas membres de votre groupe d’accès IdP et sont incapables d’accéder avec succès à l’espace de travail si le SSO est appliqué, ils occupent quand même une place dans votre compte Enterprise dans ce scénario.

Pour cette raison, nous recommandons généralement SCIM ou les invitations directes dans la plupart des cas plutôt que AAC. Et pour aider à éviter des sources potentielles de confusion, nous recommandons de laisser AAC désactivée si vous prévoyez utiliser SCIM.

Endpoint d’invitations administrateur d’API Platform

Notre API Platform prend en charge un endpoint d’invitations, qui vous permet d’inviter des utilisateurs à votre organisation API de façon programmatique.

Comparativement à SCIM, le principal avantage de l’endpoint est qu’il vous permet de préciser à quel(s) projet(s) l’utilisateur invité doit appartenir :

Cela fournit une couche supplémentaire de granularité et de contrôle, sans exiger le travail manuel d’invitations directes individuelles.

Gestion des utilisateurs consommateurs existants

Nous définissons les utilisateurs consommateurs comme ceux ayant un abonnement personnel, Plus ou Pro. Il arrive souvent qu’il y ait déjà des utilisateurs consommateurs avec votre domaine vérifié qui avaient des comptes avant votre contrat Enterprise. Comme la vérification de votre domaine et l’activation de l’authentification unique (SSO) peuvent avoir des répercussions en aval sur ces utilisateurs consommateurs, il est important de déterminer à l’avance le résultat souhaité.

Impact sur les utilisateurs consommateurs de ChatGPT

Du côté de ChatGPT, l’impact sur les consommateurs est largement déterminé par deux facteurs :

Seront-ils invités dans l’espace de travail Enterprise?
1. Si AAC est activée, la réponse par défaut est « Oui »
Allez-vous appliquer l’authentification unique (SSO)?

Le comportement qui en résulte est présenté ci-dessous :

Invitation en attente?	SSO appliquée?	Résultat
✅	✅	Les comptes utilisateurs consommateurs seront forcés à fusionner vers Enterprise et pourront seulement se connecter avec le SSO
✅	❌	Les comptes utilisateurs consommateurs seront forcés à fusionner vers Enterprise; les utilisateurs pourront s’authentifier avec le SSO ou Social
❌	✅	Aucun impact : les utilisateurs consommateurs conservent l’accès à leurs espaces de travail personnels par mot de passe ou authentification Social
❌	❌	Aucun impact : les utilisateurs consommateurs conservent l’accès à leurs espaces de travail personnels par mot de passe ou authentification Social

Si votre objectif est ultimement d’empêcher tout compte consommateur, veuillez communiquer avec votre directeur de compte pour discuter des options possibles.

Fusion de compte

Les prérequis pour déclencher une fusion automatique du compte consommateur vers un compte Enterprise sont les suivants :

Le domaine de l’utilisateur est vérifié
L’utilisateur a reçu une invitation à l’espace de travail Enterprise où son domaine est vérifié
1. ⚠️ Rappelons que si vous avez activé AAC, cette condition sera toujours vraie pour tout utilisateur ayant votre domaine vérifié.

Lorsque ces conditions sont remplies, la prochaine fois que l’utilisateur ouvre une session dans ChatGPT ou l’actualise, il devrait voir la fenêtre modale suivante :

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

Comme l’image le montre, nous rembourserons automatiquement tout abonnement Plus ou Pro existant avant la fusion. Les utilisateurs auront l’option de transférer leur historique de clavardage et leurs GPT existants, ou d’exporter leur historique de clavardage par courriel et de commencer leur espace de travail Enterprise comme une « page blanche ».

Une fois le compte consommateur fusionné, il n’existe aucun moyen de le restaurer. Si vos utilisateurs ont choisi l’option « Transférer l’historique de clavardage et les GPT existants » mais n’ont pas vu cela reflété dans leur espace de travail Enterprise, veuillez communiquer avec le soutien.

Impact sur les utilisateurs consommateurs d’API Platform

Comme le SSO sur Platform est encore fondé sur le domaine (contrairement à ChatGPT, où le SSO est propre à l’espace de travail où il a été activé), vos utilisateurs consommateurs seront touchés dès que vous vérifierez votre domaine et activerez le SSO sur n’importe quelle organisation.

Les utilisateurs consommateurs perdront la capacité de s’authentifier avec un mot de passe, puisque nous repérons la correspondance de domaine et les redirigeons vers votre IdP. S’ils sont membres de votre IdP, ils pourront s’authentifier avec succès. Sinon, ils peuvent se connecter avec une option Social OAuth si elle leur est offerte. Sinon, vous les aurez effectivement exclus de leurs comptes consommateurs.

Consultez les flux de la section Connexion utilisateur pour un guide plus détaillé sur ce processus.

Modèles d’identité et de provisionnement recommandés

Maintenant que nous avons présenté le comportement fondamental lié à notre authentification d’identité et au provisionnement des invitations, il peut être utile de passer en revue certains des modèles d’implémentation les plus courants offerts aux utilisateurs Enterprise :

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

Flux de connexion utilisateur

Nous avons déjà abordé l’impact des invitations en attente et de l’application du SSO; cette section vise donc à aider à visualiser le flux et les vérifications attendus que nous effectuons lorsqu’un utilisateur saisit son adresse courriel pour se connecter.

Flux de connexion ChatGPT

Remarque : ce diagramme exclut les tentatives de connexion par une méthode Social ou par l’URL de vignette.

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

Flux de connexion API Platform