Prérequis
Pour configurer l’authentification unique (SSO), vous devez :
Avoir un forfait OpenAI avec une console d’administration globale
Être administrateur global
Avant de poursuivre, veuillez consulter nos pages de documentation Présentation du SSO et Gestion des utilisateurs afin de vous assurer de bien comprendre notre architecture SSO.
Si vous avez déjà configuré le SSO pour une organisation API Platform ou un espace de travail ChatGPT, vos paramètres SSO devraient déjà être disponibles pour configuration sur la page OpenAI Identity. Si l’espace de travail ou l’organisation pour lequel vous souhaitez activer le SSO n’est pas affiché dans votre console d’administration globale, veuillez communiquer avec support@openai.com.
⚠️ Vos utilisateurs seront bloqués si le SSO n’est pas configuré correctement !
Une configuration incorrecte peut empêcher vos utilisateurs d’accéder aux organisations et aux espaces de travail où le SSO est obligatoire. Nous vous recommandons, en tant qu’administrateur global, de conserver le SSO comme facultatif dans le portail d’administration.
Pendant la configuration, gardez deux fenêtres de session ouvertes :
Une connectée dans une fenêtre de navigation privée
Une connectée dans votre navigateur habituel
Cela vous permet de tester le processus de connexion et votre configuration SSO/vérification de domaine dans une fenêtre, et d’annuler les changements au besoin au moyen de la deuxième fenêtre.
Tester le SSO
Si vous souhaitez tester le processus de configuration sans risquer d’avoir un impact sur vos utilisateurs, vous pouvez le faire via l’application ici.
Le fait d’établir une connexion réussie sur cette application de test ne sera pas lié à votre organisation de production et n’enregistrera pas non plus la connexion (vous pourrez donc réutiliser les mêmes paramètres dans votre instance de production lorsque vous serez prêt). Cela signifie qu’elle peut être utilisée en toute sécurité comme bac à sable ou environnement de test pendant que vous vous familiarisez avec les exigences et réglez tout prérequis manquant.
Activer le SSO
Pour commencer, accédez à la page OpenAI Identity à partir de la console d’administration globale. Vous pouvez également accéder à cette page à partir du lien sur la page « Identity & Provisioning » sous vos paramètres « Gérer l’espace de travail » dans ChatGPT ou dans l’onglet Identity des paramètres de votre organisation API Platform.
Certains des exemples ci-dessous présenteront la configuration dans Okta, mais la même logique devrait s’appliquer à tous les IdP SAML.
Vérification de domaine
Pour activer le SSO, nous exigeons que vous vérifiiez d’abord au moins un domaine.
Important : N’oubliez pas de consulter les répercussions en aval que la vérification de domaine peut avoir sur les utilisateurs de ce domaine.
Cliquez sur le bouton « + Add Domain » et entrez votre DNS pour commencer :
Une fois soumis, nous vous fournissons une clé pour vérifier la propriété de votre domaine. Accédez à votre fournisseur DNS et ajoutez un enregistrement TXT avec la valeur fournie :
Votre enregistrement TXT doit être accessible via une recherche DNS pour que la vérification réussisse.
Après avoir effectué cette étape chez votre fournisseur DNS, retournez à la page de configuration et cliquez sur le bouton « Check ». Si la propriété de votre domaine a été validée avec succès, son état passera à « Verified ».
Vous pouvez ajouter jusqu’à 99 domaines vérifiés par portail d’administration, et nous vous accordons une période de 7 jours pour terminer la vérification avant qu’un domaine soit marqué comme expiré. Un domaine ne peut être vérifié que sur un seul portail d’administration. Si vous devez vérifier le même domaine sur une organisation ou un espace de travail qui ne figure pas dans votre portail d’administration, veuillez communiquer avec le soutien.
Configuration de votre application
Après avoir vérifié avec succès votre domaine, vous pouvez poursuivre la configuration du SSO en configurant votre application IdP.
Pour commencer, cliquez sur le bouton « Set up SSO » :
Sélection de votre fournisseur d’identité
Vous avez la possibilité de choisir parmi une liste des IdP les plus populaires qui prennent nativement en charge les intégrations SAML. Si votre IdP n’apparaît pas dans la liste, ou si vous souhaitez utiliser une connexion OIDC, vous pouvez choisir le bouton de connexion personnalisée approprié affiché au bas de la page :
Création/connexion de l’application
Vous pouvez maintenant suivre l’assistant de configuration étape par étape pour vous aider à créer et à connecter votre application IdP avec nous. Selon l’IdP que vous utilisez, les instructions peuvent varier légèrement, mais la configuration générale demeure la même :
Notez que les URL fournies à l’étape de création seront propres à votre organisation :
Important : Si vous choisissez de réinitialiser une connexion SSO fonctionnelle, ces valeurs d’URL changeront. Lorsque vous configurerez de nouveau le SSO, vous devrez vous assurer de les mettre à jour dans votre application en conséquence.
Une fois la configuration des URL terminée, vous pouvez passer à la définition du mappage d’attributs pour les utilisateurs authentifiés par votre application.
Mappage d’attributs
Le mappage d’attributs que vous définissez dans votre application SSO détermine en fin de compte quels comptes OpenAI sont authentifiés et comment vos utilisateurs apparaissent dans les produits OpenAI. Notre modèle utilisateur actuel prend en charge trois propriétés :
Adresse courriel (obligatoire dans la réponse SAML, détermine le compte auquel l’accès est accordé)
Prénom (facultatif, mais recommandé)
Nom de famille (facultatif, mais recommandé)
Remarque : Nous ne prenons pas en charge le déchiffrement des réponses SAML. Veuillez vous assurer de ne pas chiffrer votre réponse ou votre assertion afin de garantir que nous puissions identifier correctement les attributs.
Selon votre IdP, le mappage exact des attributs variera. Nous recommandons de respecter exactement le mappage illustré pour votre IdP dans l’assistant de configuration; par exemple, pour Okta :
Si vous voyez de nouveaux utilisateurs apparaître avec leur adresse courriel définie comme leur nom d’affichage, veuillez vérifier votre mappage d’attributs et confirmer que vous ne chiffrez pas vos réponses.
Autrement, si de nouveaux utilisateurs doivent entrer leur nom et leur date de naissance, cela indique probablement que nous n’identifions pas correctement une valeur de nom dans votre réponse d’attribut.
Changements d’adresse courriel
À l’occasion, l’adresse courriel d’un utilisateur peut être mise à jour dans votre IdP, par ex.
Un changement de nom légal à la suite d’un mariage
Son entreprise a été acquise et elle a un nouveau domaine
etc.
Si cela modifie la valeur de la revendication emailaddress dans la SAMLResponse SSO, un autre utilisateur OpenAI lié à la nouvelle adresse courriel sera utilisé (et créé s’il n’existe pas déjà) lors d’une authentification SSO réussie. Cet utilisateur devra être invité à l’organisation ou à l’espace de travail séparément de l’utilisateur d’origine.
Adresses courriel principales
Dans certains cas, vous pouvez avoir des utilisateurs avec plusieurs adresses courriel différentes. Il s’agit d’un scénario courant dans les grandes entreprises qui ont des systèmes de messagerie distribués ou chez les clients du secteur de l’éducation avec différentes écoles, par ex.
Dans cette situation, nous recommandons de vous assurer que votre réponse SAML ne comprend qu’une seule adresse courriel dans ses attributs, car l’inclusion de plusieurs courriels peut créer de la confusion lorsque nous tentons de l’associer à un utilisateur nouveau ou existant.
De plus, si les utilisateurs ont une adresse courriel statique (p. ex. un UPN), nous recommandons de l’utiliser dans votre mappage d’attributs afin de garantir qu’ils auront un compte utilisateur OpenAI stable qui ne sera pas touché si leurs autres adresses courriel changent.
Accorder l’accès à l’application IdP
Une fois votre mappage d’attributs créé avec succès, l’assistant vous guidera à travers les étapes pour accorder l’accès aux utilisateurs appropriés via les groupes souhaités.
Veuillez consulter nos recommandations sur la gestion des utilisateurs pour connaître les meilleures pratiques.
Définir les métadonnées de l’IdP
À cette étape de la configuration, vous avez deux options distinctes pour définir les métadonnées de votre IdP : configuration dynamique et configuration manuelle.
Configuration dynamique
Il s’agit de l’option recommandée et la plus simple. Avec la configuration dynamique, il vous suffit de fournir l’URL des métadonnées (maintenant renseignée par l’URL SSO et l’ID d’entité que vous avez configurés plus tôt) associée à votre application. L’assistant de configuration vous indiquera où la trouver dans votre IdP :
Configuration manuelle
Comme son nom l’indique, la configuration manuelle demande un peu plus de travail. Selon votre IdP, vous devrez entrer l’URL SSO correspondante et l’émetteur IdP, ainsi qu’un certificat x.509 :
Connexion initiée par l’IdP
Si vous souhaitez que vos utilisateurs puissent cliquer sur une tuile dans leur tableau de bord et être automatiquement authentifiés, vous pouvez configurer l’authentification initiée par l’IdP vers votre application dans le cadre du processus de configuration. Bien que le processus exact varie selon votre IdP, le processus général utilisera une URL fournie sous la forme suivante :
ChatGPT : https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API Platform : https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Par exemple, Okta vous guidera dans la création d’une nouvelle application de signet avec cette URL :
Alors qu’Entra ID vous permettra d’entrer l’« URL de connexion » fournie dans le formulaire approprié :
Important : Si vous choisissez de réinitialiser une connexion SSO fonctionnelle, ces valeurs d’URL changeront.
Cela signifie que lorsque vous configurerez la nouvelle connexion, vous devrez aussi mettre à jour votre URL de connexion en conséquence, sinon les utilisateurs ne pourront pas s’authentifier via leurs tuiles.
Finaliser la configuration
Une fois les métadonnées de votre IdP configurées, vous pouvez cliquer sur « Continue » pour poursuivre la configuration de toute application de signet facultative. La dernière étape de configuration obligatoire se trouve sur la page « Test Single Sign-On » :
Après avoir cliqué sur « Continue to sign-in », l’assistant tentera de tester votre nouvelle connexion. Si tout fonctionne, le SSO sera effectivement activé. Vous devriez maintenant le voir apparaître sur votre page de configuration :
Les utilisateurs de votre groupe IdP ayant des comptes ou des invitations correspondants devraient maintenant pouvoir se connecter avec le SSO :
Ils peuvent accéder à chatgpt.com ou platform.openai.com, entrer leur adresse courriel, puis s’authentifier après que nous les avons redirigés vers leur IdP
Ils peuvent utiliser l’URL de tuile de signet que vous avez configurée (facultativement) pendant la configuration
Si vous constatez que vos utilisateurs ne peuvent pas s’authentifier correctement et que vous avez de la difficulté à annuler les changements, veuillez communiquer immédiatement avec le soutien.
N’oubliez pas que l’activation du SSO sur API Platform applique la vérification de domaine à tous les utilisateurs ayant ce domaine. Cela signifie que, même si les utilisateurs n’appartiennent pas à votre organisation Enterprise, ils devront quand même faire partie de votre groupe IdP pour accéder à leurs organisations personnelles.
Résolution des problèmes de connexion
Si, après avoir activé le SSO, vous éprouvez des problèmes de connexion, vous pouvez consulter notre page FAQ et dépannage pour obtenir de l’aide afin d’identifier les erreurs courantes. Si vous n’y trouvez pas de réponse suffisante, n’hésitez pas à communiquer avec le soutien.