OpenAI

Vue d’ensemble du SSO

Vue d’ensemble de haut niveau du SSO et de son interaction avec ChatGPT et la plateforme

Dernière mise à jour : 11 days ago

Intention

Ce guide est destiné à fournir aux administrateurs et aux équipes informatiques les informations nécessaires à prendre en compte avant de configurer le SSO dans vos comptes ChatGPT ou sur la plateforme. Le SSO est disponible pour les clients Business, Enterprise et Edu.

Architecture de fond et terminologie

Le SSO est actuellement pris en charge par l’authentification SAML pour ChatGPT et la plateforme d’API.

  • Espace de travail désigne une instance de ChatGPT.

  • Organisation désigne une instance de la plateforme d’API.

  • Fournisseur d’identité (IdP) désigne le service que vous utilisez pour gérer l’identité numérique. Nous prenons en charge les connexions via tous les IdP prenant en charge SAML. Voici quelques-uns des IdP les plus courants avec lesquels nous nous sommes connectés :

    • Okta

    • Azure Active Directory/Entra ID

    • Google Workspace

    • Duo

Pour consulter la liste complète des IdP pris en charge, veuillez vous référer à la page des intégrations de WorkOS. Nous prenons en charge toutes les intégrations tierces sur cette page qui peuvent être connectées via SAML ou OIDC.

Actuellement, chaque espace de travail de ChatGPT est associé à une organisation de plateforme correspondante. Cela signifie que l’identifiant d’organisation (org-id) que vous trouvez sur la page « Généralité » de la plateforme de votre entreprise est le même identifiant d’organisation (org-id) lié à votre espace de travail ChatGPT Enterprise. Par conséquent, votre espace de travail et votre organisation partagent la même couche d’authentification :

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Il y a quelques éléments clés à noter qui découlent de cette architecture :

  1. Un seul identifiant d’organisation (org-id) ne peut prendre en charge qu’une seule configuration IdP.

  2. Les vérifications de domaine et les paramètres SSO SAML sont partagés entre ChatGPT et la plateforme d’API.

  3. Le SSO doit être activé séparément sur ChatGPT et sur la plateforme d’API. Toutefois, une fois que vous l’avez configuré sur l’un, la « configuration » de l’autre se résume principalement à activer l’option et à ajouter une application de signets dans votre IdP si vous le souhaitez.

Premiers pas avec le SSO

Avant de configurer le SSO dans votre compte, il est important de comprendre d’abord certains concepts clés concernant la fonctionnalité SSO d’OpenAI.

Terminologie générale de l’identité

Provisionnement
Lorsque OpenAI évoque le provisionnement dans le contexte des utilisateurs, nous faisons spécifiquement référence au provisionnement d’invitations. Nous ne prenons pas directement en charge le provisionnement pour la création de comptes utilisateurs. Les invitations peuvent être provisionnées via :

  1. SCIM (pris en charge à la fois dans l’intégration SCIM de ChatGPT et dans l’intégration SCIM de la plateforme d’API)

  2. La page « Membres » de ChatGPT ou de la plateforme d’API

  3. Création automatique de compte

  4. API des invitations

Le provisionnement des invitations constitue une étape distincte de l’authentification réalisée par le SSO.

Authentification – « Êtes-vous bien la personne que vous prétendez être ? »

Exemple : un IdP authentifie un utilisateur auprès de notre service afin que nous sachions qu’il est bien celui qu’il prétend être lors de la connexion.

Autorisation – « Qu’avez-vous le droit de faire ou de voir ? »

Exemple : Une fois que votre IdP vous a authentifié(e), nous déterminons le ou les espaces de travail ChatGPT dont vous êtes membre.

Découvrir les paramètres SSO d’OpenAI

Vérification du domaine
Ceci est une condition préalable à l’activation du SSO et à la création automatique de compte. En gros, « Êtes-vous propriétaire de ce domaine ? ».

  1. Lors de la connexion via chatgpt.com ou platform.openai.com, un domaine vérifié détermine s’il convient de rediriger un utilisateur vers notre page de mot de passe ou vers son IdP lorsque le SSO est également configuré.

  2. Une fois qu’un domaine est vérifié dans votre espace de travail, tout utilisateur invité dans l’espace de travail avec un e-mail de ce domaine sera invité à fusionner son compte personnel la prochaine fois qu’il se connectera.

  3. L’authentification ChatGPT repose sur le domaine ET l’espace de travail : lorsqu’un domaine est vérifié et que le SSO est activé sur l’espace de travail, seuls les utilisateurs de cet espace de travail partageant le domaine seront dirigés vers le SSO. Les utilisateurs qui partagent le domaine mais NE FONT PAS partie de l’espace de travail (c.-à-d. les utilisateurs de comptes Free, Plus, Pro ou Team de votre domaine) continueront à se connecter en utilisant un e-mail, un mot de passe ou les réseaux sociaux.

  4. L’authentification de la plateforme est basée sur le domaine : lorsqu’un domaine est vérifié et que le SSO est activé, tous les utilisateurs de la plateforme sous ce domaine perdront la possibilité de se connecter avec un mot de passe. Voir « Vérification du domaine sur ChatGPT et sur la plateforme d’API » ci-dessous pour plus de détails.

  5. Les sous-domaines doivent être vérifiés séparément des domaines de premier niveau.

Pour que nous puissions procéder à la vérification de votre domaine, votre enregistrement TXT doit être lisible par une recherche DNS.

(ChatGPT uniquement) Création automatique de compte (AAC) Lorsque cette option est activée sur un espace de travail ChatGPT, un nouvel utilisateur dont l’adresse e-mail correspond au(x) domaine(s) vérifié(s) recevra automatiquement une invitation à rejoindre l’espace de travail Enterprise lorsqu’il s’inscrit. Nous ne recommandons pas d’activer AAC si vous utilisez SCIM.

(ChatGPT uniquement) Autoriser les invitations de domaines externes
Ce paramètre contrôle si les utilisateurs avec des domaines non vérifiés peuvent être invités à rejoindre l’espace de travail. Les utilisateurs de domaines externes ne seront pas obligés de se connecter via SSO, car les paramètres SSO ne s’appliquent qu’aux utilisateurs du domaine vérifié.

Activer le SSO
Ce paramètre détermine si vos paramètres SSO configurés s’appliquent à l’espace de travail ou à l’organisation.

Imposer le SSO

Lorsque cette option est désactivée, elle permet aux utilisateurs avec un domaine vérifié de choisir entre se connecter via le SSO ou par les réseaux sociaux.

Les administrateurs globaux peuvent définir l'option « Forcer le SSO » sur « Obligatoire » pour ChatGPT et la plateforme API directement depuis la page « Gérer le SSO » dans la console d'administration. Lorsqu’il est activé, ce paramètre garantit que les utilisateurs disposant d’un domaine vérifié ne peuvent se connecter à l’espace de travail ou à l’organisation pour lequel le SSO est activé que par le biais du SSO. Les mots de passe et l’authentification sociale ne sont plus valides pour cet espace de travail ou cette organisation, mais peuvent encore être utilisés dans d’autres espaces de travail ou organisations dans lesquels leur domaine n’est pas vérifié.

Vérification de domaine sur ChatGPT et sur la plateforme d’API

Comme nous l’avons vu précédemment, la vérification du domaine est appliquée aux instances partagées de ChatGPT et de la plateforme. Cependant, il y a une différence essentielle dans la façon dont la vérification de domaine affecte les connexions à ChatGPT et à la plateforme lorsque le SSO est activé :

Le SSO sur la plateforme d’API est entièrement basé sur le domaine. Cela signifie qu’une fois qu’un domaine a été vérifié sur n’importe quelle organisation, et que le SSO est activé, TOUS les utilisateurs de ce domaine perdront la possibilité de se connecter avec des mots de passe. S’ils ne disposent pas d’un moyen d’authentification sociale, ils seront exclus de leurs organisations respectives, sauf s’ils appartiennent au groupe d’accès de l’IdP.

Inversement, pour ce qui est de ChatGPT, seuls les utilisateurs qui appartiennent à l’espace de travail où le domaine a été vérifié seront affectés. Les utilisateurs qui ne sont pas dans le groupe d’accès de l’IdP pourront toujours se connecter aux espaces de travail en utilisant les méthodes abordées dans la section suivante.

Expérience de connexion pour vos utilisateurs

OpenAI prend en charge trois méthodes d’authentification différentes :

  1. Nom d’utilisateur + mot de passe

  2. Authentification sociale via Microsoft/Google/Apple

  3. SSO

Gardez à l’esprit que le comportement variera selon que l’utilisateur se connecte à ChatGPT ou à la plateforme d’API, si son domaine est vérifié, et si ses espaces de travail ou ses organisations respectifs ont imposé le SSO.

Connexion initiée par le fournisseur de services

Tous les utilisateurs peuvent naviguer directement vers chatgpt.com ou platform.openai.com pour se connecter. Lors de l’utilisation de cette option, les différentes méthodes d’authentification peuvent être déclenchées comme indiqué ci-dessous :

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Si l’utilisateur appartient à plusieurs espaces de travail, dont un où le SSO a été activé pour son domaine, il sera invité à sélectionner l’espace de travail auquel se connecter.

Connexion initiée par le fournisseur de services de ChatGPT

Si nous constatons que l’adresse e-mail saisie appartient à un espace de travail dont le domaine est vérifié, nous redirigerons l’utilisateur vers son IdP pour qu’il s’authentifie. Dans le cas contraire, l’utilisateur sera invité à se connecter en saisissant son mot de passe.

Si l’utilisateur appartient à plusieurs espaces de travail, dont au moins pour lequel le SSO a été activé pour son domaine, il sera invité à sélectionner la méthode de connexion à utiliser :

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Remarque : si « Imposer le SSO » a été activé pour un espace de travail particulier, les utilisateurs ayant un ou des domaines vérifiés ne peuvent se connecter que par le SSO. L’authentification sociale ou par mot de passe ne sera pas disponible.

Connexion à la plateforme initiée par le fournisseur de services

Comme mentionné précédemment, lorsqu’un utilisateur avec un domaine vérifié saisit son e-mail sur la page de connexion de la plateforme, il sera toujours redirigé vers son IdP afin qu’il puisse s’authentifier.

C’est pourquoi il est essentiel de vous assurer de votre compréhension avant d’activer le SSO pour la plateforme. Sinon, il est très facile de bloquer par erreur les utilisateurs de la plateforme sur des comptes personnels.

Connexion initiée par l'IdP

Lors de la configuration du SSO depuis leurs pages d’identité respectives, vous trouverez une URL de vignette unique fournie pour ChatGPT et la plateforme d’API :

Ces URL de vignettes peuvent être configurées dans votre IdP pour permettre à vos utilisateurs de se connecter ou de s’authentifier automatiquement en un seul clic.

Étapes suivantes

Maintenant que vous avez une bonne compréhension de notre architecture, nous vous invitons à consulter notre page « Comprendre la configuration idéale de la gestion des utilisateurs » pour déterminer la mise en œuvre idéale pour votre cas d’utilisation. Nous vous guiderons ensuite pour la configuration du SSO et du SCIM dans votre compte.

Cet article vous a-t-il été utile ?