Prérequis
Pour configurer le SSO, vous devez :
Avoir un forfait OpenAI avec une Console d'administration globale
Être un administrateur global
Avant de continuer, veuillez consulter nos pages de documentation Présentation du SSO et Gestion des utilisateurs afin de vous familiariser avec notre architecture SSO.
Si vous avez précédemment configuré l’authentification unique (SSO) pour une organisation de la plateforme API ou un espace de travail ChatGPT, vos paramètres SSO devraient déjà être disponibles pour configuration sur la page OpenAI Identity. Si l’espace de travail ou l’organisation pour lesquels vous souhaitez activer la SSO n’est pas affiché dans votre Console d’administration globale, nous vous invitons à contacter support@openai.com.
⚠️ Vos utilisateurs seront bloqués si la SSO n'est pas configurée correctement !
Une configuration incorrecte peut entraîner le blocage de vos utilisateurs des organisations et des espaces de travail où la SSO est obligatoire. En tant qu'administrateur global, nous vous recommandons de laisser l'option SSO comme facultative dans le portail d'administration.
Pendant la configuration, veuillez garder deux fenêtres ouvertes et connectées séparément :
Une connexion via une fenêtre de navigation privée
Une connexion via votre navigateur classique
Cela vous permet de tester le processus de connexion et votre configuration SSO/vérification de domaine dans une fenêtre, et de revenir en arrière si nécessaire via la deuxième fenêtre.
Test du SSO
Si vous souhaitez tester le processus de configuration sans risque pour vos utilisateurs, vous pouvez le faire via l'application disponible ici.
Une connexion réussie sur cette application de test ne sera pas reliée à votre organisation de production et ne sera pas enregistrée (vous pourrez donc réutiliser les mêmes paramètres dans votre instance de production lorsque vous serez prêt). Cela signifie que vous pouvez l’utiliser en toute sécurité comme sandbox ou playground pendant que vous vous familiarisez avec les exigences et que vous comblez les prérequis manquants.
Activation de l'authentification unique (SSO)
Pour commencer, accédez à la page OpenAI Identity depuis la Console d'administration globale. Vous pouvez également accéder à cette page depuis le lien sur la page « Identité et Provisionnement » sous vos paramètres « Gérer l'espace de travail » dans ChatGPT ou l'onglet Identité dans les paramètres de votre organisation sur la plateforme API.
Certains des exemples ci-dessous illustrent la configuration dans Okta, mais la même logique devrait s'appliquer à tous les IdP SAML.
Vérification de domaine
Afin d'activer l'authentification unique (SSO), nous vous demandons de vérifier au moins un domaine.
Important : veuillez vous assurer de vérifier l'impact que la vérification du domaine pourrait avoir sur les utilisateurs de ce domaine.
Cliquez sur le bouton « + Ajouter un domaine » et saisissez votre DNS pour commencer :
Une fois la demande soumise, nous vous fournirons une clé pour vérifier que vous êtes bien le propriétaire de votre domaine. Accédez à votre fournisseur DNS, puis ajoutez un enregistrement TXT avec la valeur fournie :
Votre enregistrement TXT doit être accessible via une recherche DNS pour que la vérification puisse aboutir.
Une fois cette opération effectuée auprès de votre fournisseur DNS, veuillez revenir à la page de configuration et cliquer sur le bouton « Vérifier ». Si la propriété de votre domaine a été validée avec succès, le statut sera mis à jour et indiquera « Vérifié ».
Vous pouvez ajouter jusqu'à 99 domaines vérifiés par portail d'administration, et nous vous accordons une période de 7 jours pour compléter la vérification avant de marquer un domaine comme expiré. Les domaines ne peuvent être vérifiés que sur un seul portail d'administration. Si vous devez vérifier le même domaine sur une organisation ou un espace de travail qui n'est pas dans votre portail d'administration, veuillez contacter le service technique.
Configuration de votre application
Après avoir vérifié avec succès votre domaine, vous pouvez procéder à la configuration du SSO en configurant votre application IdP.
Pour commencer, cliquez sur le bouton « Configurer la SSO » :
Sélection de votre fournisseur d'identité
Vous avez la possibilité de choisir parmi une liste des IdP les plus populaires qui prennent en charge nativement les intégrations SAML. Si votre IdP ne figure pas dans la liste ou si vous souhaitez utiliser une connexion OIDC, vous pouvez sélectionner le bouton de connexion personnalisée approprié affiché en bas :
Créér/Connecter l'application
Vous pouvez désormais suivre l'assistant de configuration étape par étape pour créer et connecter votre application IdP à notre système. Selon l'IdP que vous utilisez, les instructions peuvent varier légèrement, mais la configuration générale reste la même :
Veuillez noter que les URL fournies lors de la phase de création seront uniques à votre organisation :
Important : si vous choisissez de réinitialiser une connexion SSO fonctionnelle, ces valeurs d'URL changeront. Lors de la reconfiguration du SSO, vous devrez vous assurer de les mettre à jour dans votre application en conséquence.
Une fois la configuration de l'URL terminée, vous pouvez définir le mappage des attributs pour les utilisateurs authentifiés via votre application.
Mappage d'attributs
Le mappage des attributs que vous définissez dans votre application SSO détermine en fin de compte quels comptes OpenAI sont authentifiés et comment vos utilisateurs apparaissent dans les produits OpenAI. Notre modèle utilisateur actuel prend en charge trois propriétés :
Adresse e-mail (requise dans la réponse SAML, détermine quel compte est accessible)
Prénom (facultatif, mais recommandé)
Nom de famille (facultatif, mais recommandé)
Remarque : nous ne prenons pas en charge le décryptage des réponses SAML. Veuillez vous assurer que vous ne chiffrez pas votre réponse ou votre assertion afin de garantir que nous puissions identifier correctement les attributs.
Selon votre IdP, le mappage exact des attributs variera. Nous vous recommandons de respecter la correspondance exacte indiquée pour votre IdP dans l'assistant de configuration, par exemple Okta donnerait :
Si vous constatez que de nouveaux utilisateurs apparaissent avec leur e-mail définie comme nom d'affichage, veuillez vérifier votre mappage d'attributs et confirmer que vous ne cryptez pas vos réponses.
Par ailleurs, si les nouveaux utilisateurs sont invités à saisir leur nom et leur date de naissance, cela indique probablement que nous ne parvenons pas à identifier une valeur de nom correcte à partir de votre réponse d'attribut.
Modifications de l'e-mail
Parfois, l'adresse e-mail d'un utilisateur peut être mise à jour dans votre IdP, par exemple,
Un changement de nom légal suite à un mariage
Leur entreprise a été acquise et ils ont un nouveau domaine internet
etc.
Si cela modifie la valeur de la revendication emailaddress dans la réponse SAML SSO, un utilisateur OpenAI différent lié à la nouvelle adresse e-mail sera accessible (et créé s'il n'existe pas encore) après une authentification SSO réussie. Cet utilisateur devra être invité à rejoindre l'organisation ou l'espace de travail séparément de l'utilisateur d'origine.
Adresses e-mail principales
Dans certains cas, vous pouvez avoir des utilisateurs avec plusieurs adresses e-mail différentes. C'est un scénario courant dans les grandes entreprises qui disposent de systèmes de messagerie distribués ou pour les clients Edu avec différentes écoles, par exemple,
Dans ce cas, nous vous recommandons de vous assurer que votre réponse SAML ne contient qu'une seule adresse e-mail dans ses attributs, car l'inclusion de plusieurs adresses e-mail peut entraîner une confusion lorsque nous essayons de l'associer à un utilisateur nouveau ou existant.
De plus, si les utilisateurs disposent d'une adresse e-mail statique (par exemple, un UPN), nous vous recommandons de l'utiliser dans votre mappage d'attributs afin de garantir qu'ils disposeront d'un compte utilisateur OpenAI stable qui ne sera pas affecté en cas de modification de leurs autres adresses e-mail.
Fournir l'accès à l'application IdP
Une fois que vous avez correctement créé votre mappage d'attributs, l'assistant vous guidera à travers les étapes nécessaires pour attribuer l'accès aux utilisateurs appropriés via les groupes souhaités.
Veuillez consulter nos recommandations sur la gestion des utilisateurs pour les meilleures pratiques.
Configuration des métadonnées IdP
À ce stade de la configuration, vous avez deux options distinctes pour définir les métadonnées de votre IdP : configuration dynamique et configuration manuelle.
Configuration dynamique
C'est l'option recommandée et la plus simple. Avec la configuration dynamique, il vous suffit de fournir l'URL des métadonnées (désormais renseignée par l'URL SSO et l'ID d'entité que vous avez configurés précédemment) associée à votre application. L'assistant de configuration vous indiquera où trouver ces informations dans votre IdP :
Configuration manuelle
Comme son nom l'indique, la configuration manuelle demande un peu plus de travail. Selon votre IdP, vous devrez entrer l'URL SSO et l'émetteur IdP correspondants, ainsi qu'un certificat x.509 :
Connexion initiée par l'IdP
Si vous souhaitez que vos utilisateurs puissent cliquer sur une vignette de leur tableau de bord et être automatiquement authentifiés, vous pouvez configurer l'authentification initiée par l'IdP pour votre application dans le cadre du processus de configuration. Bien que le processus exact varie en fonction de votre IdP, le processus général utilisera une URL fournie sous la forme suivante :
ChatGPT : https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
Plateforme API : https://platform.openai.com/enterprise/conn_01ABC02DEF/login
À titre d'exemple, Okta vous guidera dans la création d'une nouvelle application de signet avec cette URL :
Entra ID vous permettra d'entrer l'« URL de connexion » fournie dans le formulaire approprié :
Important : si vous choisissez de réinitialiser une connexion SSO fonctionnelle, ces valeurs d'URL seront modifiées.
Cela signifie que lorsque vous configurez la nouvelle connexion, vous devrez également mettre à jour votre URL de connexion en conséquence, sinon les utilisateurs ne pourront pas s'authentifier via leurs vignettes.
Finalisation de la configuration
Une fois les métadonnées de votre IdP configurées, veuillez cliquer sur « Continuer » pour procéder à la configuration des applications de signets facultatives. La dernière étape obligatoire de la configuration se trouve sur la page « Tester l'authentification unique » :
Une fois que vous avez cliqué sur « Continue to sign-in » (Continuer pour se connecter), l’assistant va tenter de tester votre nouvelle connexion. Si tout se passe bien, vous aurez effectivement activé la SSO. Vous devriez maintenant voir cela reflété sur votre page de configuration :
Les utilisateurs de votre groupe IdP, ayant des comptes ou des invitations correspondants, devraient maintenant pouvoir se connecter avec le SSO :
Ils peuvent se rendre sur chatgpt.com ou platform.openai.com, saisir leur adresse e-mail, puis s’authentifier une fois que nous les avons redirigés vers leur IdP.
Ils peuvent utiliser l'URL du favori que vous avez éventuellement configurée lors de l'installation
Si vous constatez que vos utilisateurs ne parviennent pas à s'authentifier correctement et que vous rencontrez des difficultés pour annuler les modifications, veuillez contacter le service d'assistance pour obtenir une aide immédiate.
N’oubliez pas que l’activation du SSO sur la plateforme d’API entraîne la vérification du domaine pour tous les utilisateurs de ce domaine. Cela signifie que, même si les utilisateurs n’appartiennent pas à votre organisation Enterprise, ils devront tout de même faire partie de votre groupe IdP pour pouvoir accéder à leurs organisations personnelles.
Résolution des problèmes de connexion
Si, après avoir activé le SSO, vous rencontrez des problèmes de connexion, nous vous invitons à consulter notre page FAQ et dépannage pour obtenir de l'aide et identifier les erreurs courantes. Si vous ne trouvez pas de réponse satisfaisante, n'hésitez pas à contacter notre équipe d'assistance.