OpenAI
Ova je stranica strojno prevedena. Pogledajte izvorni članak na engleskom jeziku.

Pregled SSO-a

Pregled SSO-a na visokoj razini i kako funkcionira u ChatGPT-u naspram Platforme

Ažurirano: 6 days ago

Svrha

Ovaj vodič namijenjen je pružanju administratorima i IT timovima potrebnih informacija koje treba razmotriti prije konfiguriranja jedinstvene prijave u vašim ChatGPT ili Platform računima. jedinstvena prijava je dostupna korisnicima Business, Enterprise i Edu.

Pozadinska arhitektura i terminologija

jedinstvena prijava je trenutačno podržana putem SAML autentifikacije za ChatGPT i API Platformu.

  • Radni prostor odnosi se na instancu ChatGPT-a

  • Organizacija odnosi se na instancu API Platforme

  • Pružatelj identiteta (IdP) odnosi se na uslugu koju koristite za upravljanje digitalnim identitetom. Podržavamo veze putem svih IdP-ova koji podržavaju SAML. Neki od najčešćih IdP-ova s kojima smo se povezali uključuju:

    • Okta

    • Azure Active Directory/Entra ID

    • Google Workspace

    • Duo

Za potpuni popis podržanih IdP-ova pogledajte WorkOS-ovu stranicu Integrations. Podržavamo sve integracije trećih strana na ovoj stranici koje se mogu povezati putem SAML-a ili OIDC-a.

Trenutačno svaki ChatGPT radni prostor ima povezanu odgovarajuću Platform organizaciju. To znači da je ID organizacije (org-id) koji nalazite na svojoj Enterprise stranici "General" Platforme isti ID organizacije (org-id) povezan s vašim Enterprise ChatGPT radnim prostorom. Kao rezultat toga, vaš radni prostor i organizacija dijele isti sloj autentifikacije:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Postoji nekoliko ključnih stvari koje treba napomenuti kao rezultat ove arhitekture:

  1. Jedan ID organizacije (org-id) može podržavati samo jednu konfiguraciju IdP-a.

  2. Provjere domene i postavke SAML jedinstvene prijave dijele se između ChatGPT-a i API Platforme.

  3. jedinstvena prijava mora se zasebno omogućiti na ChatGPT-u i na API Platformi. Međutim, nakon što je konfigurirate na jednom, postavljanje na drugom uglavnom se svodi na uključivanje opcije i po želji dodavanje aplikacije knjižne oznake u vašem IdP-u.

Početak rada s jedinstvenom prijavom

Prije konfiguriranja jedinstvene prijave na svom računu, važno je najprije razumjeti neke ključne koncepte o OpenAI-jevoj funkcionalnosti jedinstvene prijave.

Opća terminologija identiteta

Provisioning
Kada OpenAI govori o provisioningu u kontekstu korisnika, konkretno mislimo na provisioniranje pozivnica. Ne podržavamo izravno provisioniranje stvaranja korisničkih računa. Pozivnice se mogu provisionirati putem:

  1. SCIM-a (podržanog u integraciji ChatGPT SCIM i integraciji API Platform SCIM)

  2. Stranice "Members" u ChatGPT-u ili na API Platformi

  3. Automatsko stvaranje računa

  4. Invites API

Provisioniranje pozivnica neovisan je korak od autentifikacije koju provodi jedinstvena prijava.

Autentifikacija – „Jeste li vi osoba za koju tvrdite da jeste?”

Primjer: IdP autentificira korisnika u našoj usluzi kako bismo znali da je to doista ta osoba pri prijavi.

Autorizacija – „Što smijete raditi ili vidjeti?”

Primjer: nakon što vas vaš IdP autentificira, određujemo čiji ste član ChatGPT radnog prostora odnosno kojih radnih prostora.

Upoznavanje s OpenAI SSO postavkama

Provjera domene
Ovo je preduvjet za omogućavanje jedinstvene prijave i automatskog stvaranja računa. U osnovi, „Posjedujete li ovu domenu?”

  1. Pri prijavi putem chatgpt.com ili platform.openai.com, potvrđena domena određuje hoće li korisnik biti preusmjeren na našu stranicu za lozinku ili na svoj IdP kada je postavljena i jedinstvena prijava

  2. Nakon što se domena potvrdi u vašem radnom prostoru, svaki korisnik pozvan u radni prostor s e-poštom iz te domene bit će pri sljedećoj prijavi pozvan spojiti svoj osobni račun.

  3. Autentifikacija za ChatGPT temelji se na domeni I radnom prostoru - kada je domena potvrđena i jedinstvena prijava omogućena na radnom prostoru, samo će korisnici u tom radnom prostoru koji dijele tu domenu biti usmjereni na jedinstvenu prijavu. Korisnici koji dijele tu domenu, ali NISU dio radnog prostora (npr. korisnici Free, Plus, Pro ili Team računa s vaše domene) nastavit će se prijavljivati putem e-pošte/lozinke ili društvene prijave.

  4. Autentifikacija za Platformu temelji se na domeni -- kada je domena potvrđena i jedinstvena prijava omogućena, svi korisnici Platforme pod tom domenom izgubit će mogućnost prijave lozinkom. Za više pojedinosti pogledajte odjeljak "Provjera domene na ChatGPT-u u odnosu na API Platformu" u nastavku.

  5. Poddomene se moraju potvrditi zasebno od domena najviše razine

Kako bismo uspješno obradili potvrdu vaše domene, vaš TXT zapis mora biti čitljiv putem DNS pretraživanja.

(samo ChatGPT) Automatsko stvaranje računa (AAC)
Kada je omogućeno na ChatGPT radnom prostoru, novi korisnik čija e-pošta odgovara potvrđenim domenama automatski će primiti pozivnicu za Enterprise radni prostor pri registraciji. Ne preporučujemo omogućavanje AAC-a ako koristite SCIM.

(samo ChatGPT) Dopusti pozivnice vanjskih domena
Ova postavka određuje mogu li se korisnici s nepotvrđenih domena pozvati u radni prostor. Od korisnika s vanjskih domena neće se tražiti prijava putem jedinstvene prijave jer se SSO postavke primjenjuju samo na korisnike koji pripadaju potvrđenoj domeni.

Omogući jedinstvenu prijavu
Ova postavka određuje primjenjuju li se vaše konfigurirane SSO postavke na radni prostor i/ili organizaciju.

Primijeni jedinstvenu prijavu

Kada je onemogućena, ova postavka korisnicima s potvrđenom domenom omogućuje izbor između prijave putem jedinstvene prijave ili društvene prijave.

Globalni administratori mogu postaviti Primijeni jedinstvenu prijavu na Obavezno za ChatGPT i API Platformu izravno na stranici Manage SSO u Admin Consoleu. Kada je omogućena, ova postavka znači da se korisnici s potvrđenom domenom mogu prijaviti u radni prostor ili organizaciju s omogućenom jedinstvenom prijavom samo putem jedinstvene prijave. Autentifikacija lozinkom i društvena autentifikacija više ne vrijede za radni prostor/organizaciju, ali se i dalje mogu koristiti u drugim radnim prostorima/organizacijama gdje njihova domena nije potvrđena.

Provjera domene na ChatGPT-u u odnosu na API Platformu

Kao što je ranije navedeno, provjera domene primjenjuje se na zajedničke instance ChatGPT-a i Platforme. Međutim, postoji ključna razlika u tome kako provjera domene utječe na prijave u ChatGPT u odnosu na Platformu ako je jedinstvena prijava omogućena:

SSO na API Platform u potpunosti se temelji na domeni. To znači da će, nakon što je domena potvrđena u bilo kojoj organizaciji i SSO omogućen, SVI korisnici s tom domenom izgubiti mogućnost prijave lozinkom. Ako nemaju način društvene autentifikacije, bit će zaključani iz svojih organizacija osim ako pripadaju pristupnoj grupi IdP-a.

S druge strane, na strani ChatGPT-a bit će pogođeni samo korisnici koji pripadaju radnom prostoru u kojem je domena potvrđena. Korisnici koji nisu u pristupnoj grupi IdP-a i dalje će se moći prijaviti u radne prostore metodama opisanima u sljedećem odjeljku.

Iskustvo prijave za vaše korisnike

OpenAI podržava tri različite metode autentifikacije:

  1. Korisničko ime + lozinka

  2. Društvena autentifikacija putem Microsofta/Googlea/Applea

  3. jedinstvena prijava

Imajte na umu da će se ponašanje razlikovati ovisno o tome prijavljuje li se korisnik u ChatGPT ili API Platformu, je li njegova domena potvrđena i jesu li njihovi odgovarajući radni prostori/organizacije nametnuli jedinstvenu prijavu.

Prijava koju inicira SP

Svi korisnici mogu izravno otići na chatgpt.com ili platform.openai.com kako bi se prijavili. Pri korištenju ove opcije, različite metode autentifikacije mogu se pokrenuti kako je prikazano u nastavku:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Ako korisnik pripada više radnih prostora, uključujući jedan u kojem je jedinstvena prijava omogućena za njegovu domenu, od njega će se tražiti da odabere u koji se radni prostor želi prijaviti.

ChatGPT prijava koju inicira SP

Ako utvrdimo da unesena e-pošta pripada radnom prostoru u kojem je njezina domena potvrđena, korisnika ćemo preusmjeriti na njegov IdP radi autentifikacije. U suprotnom, korisnik će biti usmjeren na prijavu unosom svoje lozinke.

Ako korisnik pripada više radnih prostora, uključujući barem jedan u kojem je jedinstvena prijava omogućena za njegovu domenu, od njega će se tražiti da odabere koju metodu želi koristiti za prijavu:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Napomena: ako je za određeni radni prostor omogućeno „Enforce SSO”, korisnici s potvrđenim domenama mogu se prijaviti samo putem SSO-a. Društvena autentifikacija i prijava lozinkom neće biti dostupne.

Platform prijava koju inicira SP

Kao što je prethodno spomenuto, kada korisnik s potvrđenom domenom unese svoju e-poštu na stranici za prijavu na Platformu, uvijek će biti usmjeren na svoj IdP radi autentifikacije.

Zato je ključno osigurati da to razumijete prije omogućavanja jedinstvene prijave za Platformu. Inače je vrlo lako nenamjerno onemogućiti pristup korisnicima Platforme na osobnim računima.

Prijava koju inicira IdP

Pri konfiguriranju jedinstvene prijave na odgovarajućim stranicama identiteta pronaći ćete jedinstveni Tile URL za ChatGPT i API Platformu:

Ti se Tile URL-ovi mogu konfigurirati unutar vašeg IdP-a kako bi se vašim korisnicima omogućila automatska prijava/autentifikacija jednim klikom.

Sljedeći koraci

Sada kada imate dobru osnovu naše arhitekture, prijeđite na našu stranicu "Razumijevanje vaše idealne postave upravljanja korisnicima" kako biste odredili idealnu implementaciju za svoj slučaj uporabe. Nakon toga provest ćemo vas kroz konfiguriranje jedinstvene prijave i SCIM-a unutar vašeg računa.

Je li vam ovaj članak bio koristan?