Cél

Ez az útmutató azért készült, hogy a rendszergazdák és az IT-csapatok megkapják azokat az információkat, amelyeket érdemes figyelembe venniük, mielőtt konfigurálják az egyszeri bejelentkezést ChatGPT- vagy Platform-fiókjaikban. Az egyszeri bejelentkezés a Business, Enterprise és Edu ügyfelek számára érhető el.

Háttérarchitektúra és terminológia

Az egyszeri bejelentkezést jelenleg SAML-hitelesítéssel támogatjuk mind a ChatGPT, mind az API Platform esetében.

• Munkaterület alatt egy ChatGPT-példányt értünk

• Szervezet alatt egy API Platform-példányt értünk

• Identitásszolgáltató (IdP) alatt a digitális identitás kezelésére használt szolgáltatást értjük. Minden olyan IdP-n keresztüli kapcsolatot támogatunk, amely támogatja a SAML-t. A leggyakoribb IdP-k közül, amelyekhez már csatlakoztunk, néhány:

• Okta

• Azure Active Directory/Entra ID

• Google Workspace

• Duo

A támogatott IdP-k teljes listáját a WorkOS Integrációk oldalán találja. Az oldalon szereplő összes olyan harmadik féltől származó integrációt támogatjuk, amely SAML-en vagy OIDC-n keresztül csatlakoztatható.

Jelenleg minden ChatGPT-munkaterülethez tartozik egy megfelelő Platform-szervezet. Ez azt jelenti, hogy az Enterprise Platform „Általános” oldalán található szervezeti azonosító (org-id) megegyezik az Enterprise ChatGPT-munkaterületéhez kapcsolt szervezeti azonosítóval (org-id). Ennek eredményeként a munkaterület és a szervezet ugyanazt a hitelesítési réteget használja:

Az architektúra következményeként néhány fontos dolgot érdemes megjegyezni:

1. Egyetlen szervezeti azonosító (org-id) csak egyetlen IdP-konfigurációt támogathat.

2. A tartományellenőrzések és a SAML-alapú egyszeri bejelentkezési beállítások meg vannak osztva a ChatGPT és az API Platform között.

3. Az egyszeri bejelentkezést külön kell engedélyezni a ChatGPT-ben és az API Platformon. Miután azonban az egyiken konfigurálta, a másik „beállítása” nagyrészt csak a kapcsoló bekapcsolásából és – ha szeretné – egy könyvjelzőalkalmazás hozzáadásából áll az IdP-ben.

Az egyszeri bejelentkezés első lépései

Mielőtt konfigurálná az egyszeri bejelentkezést a fiókjában, fontos először megérteni néhány alapfogalmat az OpenAI egyszeri bejelentkezési funkciójáról.

Általános identitáskezelési terminológia

Provízionálás Amikor az OpenAI felhasználói kontextusban provízionálásról beszél, kifejezetten a meghívások provízionálására gondol. A felhasználói fiókok létrehozásának közvetlen provízionálását nem támogatjuk. A meghívások a következő módokon provízionálhatók:

1. SCIM (a ChatGPT SCIM-integráció és az API Platform SCIM-integráció egyaránt támogatja)

2. A ChatGPT vagy az API Platform „Tagok” oldala

3. Automatikus fióklétrehozás

4. Meghívási API

A meghívások provízionálása az egyszeri bejelentkezés által végzett hitelesítéstől független lépés.


Hitelesítés – „Az vagy, akinek mondod magad?”

Példa: egy IdP hitelesíti a felhasználót a szolgáltatásunkhoz, így bejelentkezéskor tudjuk, hogy az, akinek mondja magát.


Engedélyezés – „Mit tehetsz meg, illetve mit láthatsz?”

Példa: miután az IdP hitelesített, meghatározzuk, mely ChatGPT-munkaterület(ek)nek vagy tagja.

Az OpenAI egyszeri bejelentkezési beállításainak megismerése

Tartományellenőrzés Ez előfeltétele az egyszeri bejelentkezés és az automatikus fióklétrehozás engedélyezésének. Lényegében: „Ön birtokolja ezt a tartományt?”

1. A chatgpt.com vagy platform.openai.com címen történő bejelentkezéskor az ellenőrzött tartomány határozza meg, hogy a felhasználót a jelszóoldalunkra vagy – ha az egyszeri bejelentkezés is be van állítva – az IdP-jéhez irányítjuk-e

2. Miután egy tartományt ellenőriztek a munkaterületén, a munkaterületre az adott tartományból származó e-mail-címmel meghívott felhasználók a következő bejelentkezéskor felszólítást kapnak személyes fiókjuk egyesítésére.

3. A ChatGPT-hitelesítés tartomány- ÉS munkaterület-alapú: ha egy tartomány ellenőrzött, és a munkaterületen engedélyezve van az egyszeri bejelentkezés, csak az adott munkaterület azon felhasználóit irányítjuk az egyszeri bejelentkezéshez, akik ugyanahhoz a tartományhoz tartoznak. Azok a felhasználók, akik ugyanahhoz a tartományhoz tartoznak, de NEM részei a munkaterületnek (azaz az Ön tartományából származó Free-, Plus-, Pro- vagy Team-fiókfelhasználók), továbbra is e-mail-címmel/jelszóval vagy közösségi fiókkal jelentkeznek be.

4. A Platform-hitelesítés tartományalapú – ha egy tartomány ellenőrzött, és engedélyezve van az egyszeri bejelentkezés, az adott tartomány alá tartozó összes Platform-felhasználó elveszíti a jelszavas bejelentkezés lehetőségét. További részletekért lásd alább: „Tartományellenőrzés a ChatGPT és az API Platform esetében”.

5. Az altartományokat a legfelső szintű tartományoktól külön kell ellenőrizni

Ahhoz, hogy sikeresen feldolgozhassuk a tartományellenőrzését, a TXT-rekordnak DNS-lekérdezéssel olvashatónak kell lennie.


(Csak ChatGPT) Automatikus fióklétrehozás (AAC) Ha engedélyezve van egy ChatGPT-munkaterületen, az új felhasználó, akinek e-mail-címe megfelel az ellenőrzött tartomány(ok)nak, regisztrációkor automatikusan meghívást kap az Enterprise-munkaterületre. Nem javasoljuk az AAC engedélyezését, ha SCIM-et használ.


(Csak ChatGPT) Külső tartományból érkező meghívások engedélyezése Ez a beállítás szabályozza, hogy meghívhatók-e a munkaterületre nem ellenőrzött tartományokkal rendelkező felhasználók. A külső tartományokból érkező felhasználóknak nem kell egyszeri bejelentkezéssel bejelentkezniük, mivel az egyszeri bejelentkezési beállítások csak az ellenőrzött tartományhoz tartozó felhasználókra vonatkoznak.


Egyszeri bejelentkezés engedélyezése Ez a beállítás határozza meg, hogy a konfigurált egyszeri bejelentkezési beállítások vonatkoznak-e a munkaterületre és/vagy a szervezetre.


Egyszeri bejelentkezés kötelezővé tétele

Ha ki van kapcsolva, ez a beállítás lehetővé teszi az ellenőrzött tartománnyal rendelkező felhasználóknak, hogy válasszanak az egyszeri bejelentkezéssel vagy közösségi fiókkal történő bejelentkezés között.

A globális rendszergazdák az Admin Console „Egyszeri bejelentkezés kezelése” oldalán közvetlenül „Kötelező” értékre állíthatják az „Egyszeri bejelentkezés kötelezővé tétele” beállítást mind a ChatGPT, mind az API Platform esetében. Ha be van kapcsolva, ez a beállítás biztosítja, hogy az ellenőrzött tartománnyal rendelkező felhasználók csak egyszeri bejelentkezéssel jelentkezhessenek be az egyszeri bejelentkezésre engedélyezett munkaterületre vagy szervezetbe. A jelszavas és a közösségi fiókos hitelesítés többé nem érvényes a munkaterülethez/szervezethez, de továbbra is használható más munkaterületeken/szervezetekben, ahol a tartományuk nincs ellenőrizve.

Tartományellenőrzés a ChatGPT és az API Platform esetében

Ahogyan korábban említettük, a tartományellenőrzés a megosztott ChatGPT- és Platform-példányokra vonatkozik. Ugyanakkor lényeges különbség van abban, hogyan befolyásolja a tartományellenőrzés a ChatGPT-be és a Platformra történő bejelentkezést, ha engedélyezve van az egyszeri bejelentkezés:

Bejelentkezési élmény a felhasználók számára

Az OpenAI három különböző hitelesítési módszert támogat:

1. Felhasználónév + jelszó

2. Közösségi fiókos hitelesítés Microsoft-/Google-/Apple-fiókkal

3. Egyszeri bejelentkezés

Ne feledje, hogy a viselkedés attól függően változik, hogy a felhasználó a ChatGPT-be vagy az API Platformra jelentkezik-e be, ellenőrzött-e a tartománya, valamint hogy a megfelelő munkaterületeken/szervezetekben kötelezővé tették-e az egyszeri bejelentkezést.

SP által kezdeményezett bejelentkezés

Minden felhasználó közvetlenül felkeresheti a chatgpt.com vagy a platform.openai.com címet a bejelentkezéshez. Ennek a lehetőségnek a használatakor a különböző hitelesítési módszerek az alábbiak szerint indíthatók el:

Ha a felhasználó több munkaterülethez tartozik, köztük olyanhoz is, ahol a tartományához engedélyezték az egyszeri bejelentkezést, a rendszer felszólítja, hogy válassza ki, melyik munkaterületre szeretne bejelentkezni.

ChatGPT SP által kezdeményezett bejelentkezés

Ha azt látjuk, hogy a megadott e-mail-cím olyan munkaterülethez tartozik, ahol a tartomány ellenőrzött, a felhasználót az IdP-jéhez irányítjuk hitelesítésre. Ellenkező esetben a felhasználót jelszó megadásával történő bejelentkezésre irányítjuk.

Ha a felhasználó több munkaterülethez tartozik, köztük legalább egy olyanhoz, ahol a tartományához engedélyezték az egyszeri bejelentkezést, a rendszer felszólítja, hogy válassza ki, melyik módszerrel szeretne bejelentkezni:

Platform SP által kezdeményezett bejelentkezés

Ahogy korábban említettük, amikor egy ellenőrzött tartományhoz tartozó felhasználó megadja az e-mail-címét a Platform bejelentkezési oldalán, mindig az IdP-hez irányítjuk hitelesítésre.

Ezért kulcsfontosságú, hogy a Platformon történő egyszeri bejelentkezés engedélyezése előtt biztosan értse ennek működését. Ellenkező esetben nagyon könnyű tévedésből kizárni a személyes fiókot használó Platform-felhasználókat.

IdP által kezdeményezett bejelentkezés

Amikor a megfelelő identitásoldalakon konfigurálja az egyszeri bejelentkezést, a ChatGPT-hez és az API Platformhoz egyaránt egyedi csempe-URL-t talál:

• ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef

• Platform: https://platform.openai.com/enterprise/conn_012abc/login

Ezeket a csempe-URL-eket az IdP-ben konfigurálhatja, így a felhasználók egyetlen kattintással automatikusan bejelentkezhetnek/hitelesíthetik magukat.

Következő lépések

Most, hogy már jó alapokkal rendelkezik az architektúránkról, kérjük, lépjen tovább a „Az ideális felhasználókezelési beállítás megértése” oldalunkra, hogy meghatározza az Ön esetéhez ideális megvalósítást. Ezt követően végigvezetjük azon, hogyan konfigurálhatja az egyszeri bejelentkezést és a SCIM-et a fiókjában.