OpenAI

SSO ओवरव्यू

SSO और ChatGPT और प्लेटफ़ॉर्म के बीच इंटरैक्शन का उच्च-स्तरीय ओवरव्यू

अपडेट किया गया: 2 days ago

उद्देश्य

यह गाइड एडमिन्स और IT टीमों को ChatGPT या अकाउंट्स में SSO कॉन्फ़िगर करने से पहले आवश्यक जानकारी देने के लिए है। SSO Business, Enterprise, और Edu ग्राहकों के लिए उपलब्ध है।

बैकग्राउंड आर्किटेक्चर और टर्मिनोलॉजी

SSO वर्तमान में ChatGPT और API प्लेटफ़ॉर्म दोनों के लिए SAML प्रमाणीकरण के माध्यम से समर्थित है।

  • कार्यस्थल ChatGPT के एक उदाहरण को संदर्भित करता है

  • संघटन एक API Platform उदाहरण को संदर्भित करता है

  • आइडेंटिटी प्रोवाइडर (IdP) उस सेवा को संदर्भित करता है जिसका इस्तेमाल आप डिजिटल पहचान को प्रबंधित करने के लिए करते हैं। हम उन सभी IdP के माध्यम से कनेक्शन का सपोर्ट करते हैं जो SAML का सपोर्ट करते हैं। हम जिन सबसे आम IdP से जुड़े हैं उनमें शामिल हैं:

  • Okta

  • एज़्योर एक्टिव डायरेक्टरी / एन्ट्रा ID

  • Google कार्यस्थल

  • जोड़ी

समर्थित IdP की पूरी सूची के लिए, कृपया WorkOS का इंटीग्रेशन पेज देखें. हम इस पेज पर मौजूद उन सभी थर्ड-पार्टी इंटीग्रेशन का समर्थन करते हैं जिन्हें SAML या OIDC में से किसी एक के माध्यम से कनेक्ट किया जा सकता है.

वर्तमान में, प्रत्येक ChatGPT वर्कस्पेस से एक संबंधित प्लेटफ़ॉर्म संगठन जुड़ा होता है. इसका मतलब है कि आपके एंटरप्राइज़ प्लेटफ़ॉर्म के "जनरल" पेज पर जो संगठन ID (org-id) है, वही संगठन ID (org-id) आपके एंटरप्राइज़ ChatGPT वर्कस्पेस से जुड़ी हुई है. इस प्रकार, आपका वर्कस्पेस और संगठन एक ही प्रमाणीकरण परत साझा करते हैं:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

इस आर्किटेक्चर के परिणामस्वरूप कुछ मुख्य बातें ध्यान देने लायक हैं:

  1. एकल संगठन ID (org-id) केवल एकल IdP कॉन्फ़िगरेशन का सपोर्ट कर सकती है।

  2. डोमेन सत्यापन और SAML SSO सेटिंग्स ChatGPT और API प्लेटफ़ॉर्म के बीच साझा की जाती हैं।

  3. SSO को ChatGPT और API प्लेटफ़ॉर्म पर अलग-अलग इनेबल करना पड़ता है. हालांकि, एक बार जब आपने इसे एक पर कॉन्फ़िगर कर लिया है, तो दूसरे का "सेटअप" मुख्य रूप से स्विच को फ़्लिप करना और अगर आप चाहो तो अपने IdP में एक बुकमार्क ऐप जोड़ सकते है।

SSO के साथ शुरुआत करना

अपने अकाउंट में SSO कॉन्फ़िगर करने से पहले, OpenAI की SSO कार्यक्षमता के कुछ प्रमुख अवधारणाओं को समझना ज़रूरी है।

आम पहचान शब्दावली

प्रोविज़निंग जब OpenAI यूज़र के संदर्भ में प्रोविज़निंग की बात करता है, तो हम विशेष रूप से आमंत्रणों की प्रोविज़निंग की बात कर रहे हैं. हम सीधे यूज़र अकाउंट्स के निर्माण के लिए प्रोविज़निंग का समर्थन नहीं करते हैं. आमंत्रणों का प्रावधान इनके द्वारा किया जा सकता है:

  1. SCIM (दोनों ChatGPT SCIM इंटीग्रेशन और API प्लेटफ़ॉर्म SCIM इंटीग्रेशन में समर्थित है)

  2. ChatGPT या API प्लेटफ़ॉर्मका "मेंबर" पृष्ठ

  3. स्वचालित अकाउंट निर्माण

  4. आमंत्रण API

आमंत्रणों का प्रावधान, SSO द्वारा किए गए प्रमाणीकरण से एक स्वतंत्र चरण है.


प्रमाणीकरण – “क्या आप वही हैं जो आप होने का दावा करते हैं?”

उदाहरण: एक IdP हमारी सेवा के लिए एक उपयोगकर्ता को प्रमाणित करता है, ताकि हमें यह पता चल सके कि वे लॉग इन करते समय वही हैं जो वे होने का दावा करते हैं.


प्राधिकरण – “आपको क्या करने या देखने की अनुमति है?”

उदाहरण: आपके IdP द्वारा आपको प्रमाणित करने के बाद, हम यह निर्धारित करते हैं कि आप किन ChatGPT वर्कस्पेस के सदस्य हैं.

OpenAI SSO सेटिंग्स को जानना

डोमेन सत्यापन यह SSO और ऑटोमैटिक अकाउंट क्रिएशन को सक्षम करने के लिए एक पूर्वापेक्षा है. असल में, "क्या आप इस डोमेन के मालिक हैं?"

  1. जब यूज़र chatgpt.com या platform.openai.com के माध्यम से लॉग इन करता है, तो एक सत्यापित किया गया डोमेन यह तय करता है कि यूज़र को हमारे पासवर्ड पेज पर भेजा जाए या उनके IdP पर, जब SSO भी सेटअप किया गया हो।

  2. एक बार जब आपका डोमेन आपके कार्यस्थल में सत्यापित हो जाता है, तो उस डोमेन से ईमेल वाले किसी भी यूज़र को कार्यस्थल में आमंत्रित करने पर, अगली बार जब वे लॉग इन करेंगे, तो उन्हें अपने व्यक्तिगत अकाउंट को मिलाने के लिए प्रॉम्प्ट किया जाएगा।

  3. ChatGPT प्रमाणीकरण डोमेन और कार्यस्थल आधारित है - जब एक डोमेन सत्यापित किया जाता है और कार्यस्थल पर SSO इनेबल करें, तो केवल उस कार्यस्थल के यूज़र जो डोमेन साझा करते हैं, SSO के लिए रूट किए जाएंगे। वे यूज़र जो डोमेन साझा करते हैं लेकिन कार्यस्थल का हिस्सा नहीं हैं (उदाहरण के लिए आपके डोमेन के Free, Plus, Pro, या Team अकाउंट यूज़र ईमेल/पासवर्ड या सोशल के माध्यम से लॉग इन करेंगे और आगे बढ़ेंगे।

  4. प्लेटफ़ॉर्म प्रमाणीकरण डोमेन-आधारित है -- जब एक डोमेन सत्यापित होता है और SSO इनेबल करें, तो उस डोमेन के अंतर्गत सभी प्लेटफ़ॉर्म यूज़र पासवर्ड के साथ लॉग इन करने की क्षमता खो देंगे। अधिक जानकारी के लिए नीचे "ChatGPT बनाम API प्लेटफ़ॉर्म पर डोमेन वेरिफ़िकेशन" देखें।

  5. सबडोमेन को शीर्ष-स्तरीय डोमेन से अलग से सत्यापित किया जाना चाहिए।

ताकि हम आपके डोमेन सत्यापन को सफलतापूर्वक संसाधित कर सकें, आपका TXT रिकॉर्ड DNS लुकअप के माध्यम से पढ़ा जा सके.


(केवल ChatGPT) ऑटोमैटिक अकाउंट क्रिएशन (AAC) जब ChatGPT वर्कस्पेस पर सक्षम किया जाता है, तो एक नया यूज़र जिसका ईमेल सत्यापित डोमेन से मेल खाता है, साइन अप करने पर स्वचालित रूप से एंटरप्राइज़ वर्कस्पेस के लिए एक आमंत्रण प्राप्त करेगा. अगर आप SCIM का इस्तेमाल कर रहे हैं, तो हम AAC को सक्षम करने की सलाह नहीं देते.


(केवल ChatGPT) बाहरी डोमेन आमंत्रण की अनुमति दें यह सेटिंग नियंत्रित करती है कि गैर-सत्यापित डोमेन वाले यूज़र, वर्कस्पेस में आमंत्रित किए जा सकते हैं या नहीं. बाहरी डोमेन के यूज़र्स को SSO के माध्यम से लॉग इन करने की आवश्यकता नहीं होगी, क्योंकि SSO सेटिंग्स केवल सत्यापित डोमेन के यूज़र्स पर लागू होती हैं.


SSO सक्षम करें यह सेटिंग निर्धारित करती है कि क्या आपकी कॉन्फ़िगर की गई SSO सेटिंग्स कार्यस्थल और/या संगठन पर लागू होती हैं.


SSO अनिवार्य करें

जब यह सेटिंग अक्षम हो, तो सत्यापित डोमेन वाले उपयोगकर्ता SSO या सोशल लॉगिन के माध्यम से लॉग इन करने का विकल्प चुन सकते हैं.

ग्लोबल एडमिन, एडमिन कंसोल के मैनेज SSO पेज से सीधे ChatGPT और API प्लेटफ़ॉर्म दोनों के लिए एन्फ़ोर्स SSO को आवश्यक पर सेट कर सकते हैं. सक्षम किए जाने पर यह सेटिंग सुनिश्चित करती है कि सत्यापित किए गए डोमेन वाले यूज़र केवल SSO के माध्यम से SSO-सक्षम वर्कस्पेस या संगठन में साइन इन कर सकते हैं. पासवर्ड और सोशल प्रमाणीकरण अब वर्कस्पेस/संगठन के लिए मान्य नहीं हैं, लेकिन उन्हें अन्य कार्यस्थलों/संगठनों में अभी भी इस्तेमाल किया जा सकता है, जहाँ उनके डोमेन को सत्यापित नहीं किया गया हैं.

ChatGPT और API प्लेटफ़ॉर्म पर डोमेन सत्यापन

जैसा कि पहले चर्चा की गई थी, डोमेन सत्यापन साझा ChatGPT और प्लेटफ़ॉर्म उदाहरणों में लागू होता है। हालांकि, अगर SSO इनेबल है, तो ChatGPT और प्लेटफ़ॉर्म पर लॉग इन के लिए डोमेन सत्यापन का प्रभाव कैसे पड़ता है, इसमें एक महत्वपूर्ण अंतर है।

API प्लेटफ़ॉर्म पर SSO पूरी तरह से डोमेन-आधारित है। इसका मतलब है कि एक बार किसी भी संगठन पर डोमेन सत्यापित हो जाने के बाद और SSO इनेबल कर देने पर, उस डोमेन के सभी यूज़र पासवर्ड के साथ लॉगिन करने की क्षमता खो देंगे। अगर उनके पास सोशल प्रमाणीकरण का कोई साधन नहीं है, तो वे अपने संबंधित संगठनों से बाहर हो जाएंगे, जब तक कि वे IdP एक्सेस ग्रुप के सदस्य न हों।

इसके विपरीत, ChatGPT पक्ष में, केवल वे यूज़र प्रभावित होंगे जो उस कार्यस्थल से संबंधित हैं जहाँ डोमेन सत्यापित किया गया है। वे यूज़र जो IdP के एक्सेस ग्रुप में नहीं हैं, वे फिर भी अगले सेक्शन में चर्चा की गई विधियों का इस्तेमाल करके कार्यस्थलों में लॉग इन कर सकेंगे।

आपके यूज़र के लिए लॉग इन अनुभव

OpenAI तीन विभिन्न प्रमाणीकरण विधियों का सपोर्ट करता है:

  1. यूज़रनेम + पासवर्ड

  2. सोशल प्रमाणीकरण Microsoft/Google/Apple के ज़रिए

  3. SSO

ध्यान रखें कि व्यवहार इस बात पर निर्भर करेगा कि यूज़र ChatGPT में लॉग इन कर रहा है या API प्लेटफ़ॉर्म में, उनका डोमेन सत्यापित है या नहीं, और उनके संबंधित कार्यस्थल/संगठन ने SSO लागू किया है या नहीं।

SP-प्रारंभित लॉग इन

सभी यूज़र लॉग इन करने के लिए सीधे chatgpt.com या platform.openai.com पर जा सकते हैं। इस विकल्प का इस्तेमाल करते समय, विभिन्न प्रमाणीकरण विधियों को नीचे दिखाए गए अनुसार सक्रिय किया जा सकता है:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

अगर यूज़र कई कार्यस्थलों से संबंधित है, जिसमें एक ऐसा भी है जहाँ उनके डोमेन के लिए SSO इनेबल किया गया है, तो उन्हें प्रॉम्प्ट किया जाएगा कि किस कार्यस्थल में लॉग इन करना है।

ChatGPT SP-प्रारंभित लॉग इन

अगर हमें पता चलता है कि दर्ज किया गया ईमेल किसी ऐसे कार्यस्थल से संबंधित है जहाँ उसका डोमेन सत्यापित किया गया है, तो हम यूज़र को प्रमाणीकरण के लिए उनके IdP पर अग्रेषित करेंगे। अन्यथा, यूज़र को अपना पासवर्ड दर्ज करके लॉग इन करने के लिए कहा जाएगा।

अगर यूज़र कई कार्यस्थलों से संबंधित है, जिसमें कम से कम एक ऐसा है जहां उनके डोमेन के लिए SSO इनेबल किया गया है, तो उन्हें लॉग इन करने के लिए कौन-सा तरीका चुनना है, यह प्रॉम्प्ट किया जाएगा:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

ध्यान दें: अगर किसी विशेष कार्यस्थल के लिए "Enforce SSO" इनेबल किया गया है, तो सत्यापित किए गए डोमेन वाले यूज़र केवल SSO के माध्यम से लॉगिन कर सकते हैं। सोशल और पासवर्ड प्रमाणीकरण उपलब्ध नहीं होगा।

प्लेटफ़ॉर्म SP-प्रारंभित लॉग इन

जैसा कि पहले बताया गया है, जब कोई यूज़र अपने सत्यापित डोमेन के साथ प्लेटफ़ॉर्म लॉग इन पेज पर अपना ईमेल दर्ज करता है, तो उसे हमेशा उसके IdP पर प्रमाणीकरण के लिए निर्देशित किया जाएगा।

यही कारण है कि प्लेटफ़ॉर्म के लिए SSO इनेबल करने से पहले आपकी समझ सुनिश्चित करना महत्वपूर्ण है। अन्यथा, व्यक्तिगत अकाउंट पर प्लेटफ़ॉर्म यूज़र को गलती से लॉक करना बहुत आसान है।

IdP-प्रारंभित लॉगिन

उनके संबंधित पहचान पृष्ठों से SSO कॉन्फ़िगर करते समय, आप्हें ChatGPT और API प्लेटफ़ॉर्म दोनों के लिए एक अनोखा टाइल URL मिलेगा:

इन टाइल URL को आपके IdP के भीतर कॉन्फ़िगर किया जा सकता है ताकि आपके यूज़र एक क्लिक में स्वचालित रूप से लॉग इन/प्रमाणित कर सकें।

आगे कदम

अब जब आपके पास हमारे आर्किटेक्चर की अच्छी समझ है, कृपया हमारे "आपके आदर्श यूज़र मैनेजमेंट सेटअप को समझना" पृष्ठ पर जाएं, ताकि आप अपने इस्तेमाल के मामले के लिए आदर्श कार्यान्वयन निर्धारित कर सकें। इसके बाद, हम आपको आपके अकाउंट में SSO और SCIM को सेट अप करने की प्रक्रिया से परिचित कराएंगे.

क्या यह लेख मददगार था?