Cél
Ez az útmutató azt a szükséges információt nyújtja az adminoknak és IT-csapatoknak, amelyet érdemes figyelembe venni, mielőtt egyszeri bejelentkezést állítanak be a ChatGPT- vagy Platform-fiókokban. Az egyszeri bejelentkezés Business, Enterprise és Edu ügyfelek számára érhető el.
Háttérarchitektúra és terminológia
Az egyszeri bejelentkezés jelenleg SAML-hitelesítéssel támogatott mind a ChatGPT, mind az API Platform esetében.
A munkaterület a ChatGPT egy példányát jelenti
A szervezet egy API Platform-példányt jelöl
A személyazonosság-szolgáltató (IdP) arra a szolgáltatásra utal, amelyet a digitális identitás kezelésére használ. Minden olyan IdP-n keresztüli kapcsolatot támogatunk, amely támogatja a SAML-t. A leggyakoribb IdP-k, amelyekhez már kapcsolódtunk:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
A támogatott IdP-k teljes listájáért lásd a WorkOS Integrációk oldalát. Az ezen az oldalon szereplő összes olyan külső integrációt támogatjuk, amely SAML-en vagy OIDC-n keresztül kapcsolható.
Jelenleg minden ChatGPT-munkaterülethez tartozik egy megfelelő Platform-szervezet. Ez azt jelenti, hogy az Enterprise Platform „Általános” oldalán található Organization ID (org-id) megegyezik az Enterprise ChatGPT-munkaterülethez kapcsolt Organization ID-val (org-id). Ennek eredményeként a munkaterület és a szervezet ugyanazt a hitelesítési réteget használja:
Ennek az architektúrának az eredményeként néhány fontos dolgot érdemes megjegyezni:
Egyetlen Organization ID (org-id) csak egyetlen IdP-konfigurációt tud támogatni.
A doménellenőrzések és a SAML SSO-beállítások közösek a ChatGPT és az API Platform között.
Az egyszeri bejelentkezést külön kell engedélyezni a ChatGPT-ben és az API Platformon. Azonban ha az egyiken már beállította, a másik „beállítása” nagyrészt csak a kapcsoló átbillentéséből és — igény esetén — egy könyvjelzőalkalmazás hozzáadásából áll az IdP-ben.
Az egyszeri bejelentkezés első lépései
Mielőtt egyszeri bejelentkezést állít be a fiókjában, fontos, hogy először megértsen néhány kulcsfontosságú fogalmat az OpenAI egyszeri bejelentkezési funkciójával kapcsolatban.
Általános identitási terminológia
Provisioning
Amikor az OpenAI felhasználói környezetben provisioningről beszél, kifejezetten a meghívások provisioningjára gondolunk. A felhasználói fiókok létrehozásának provisioningját közvetlenül nem támogatjuk. A meghívások provisioningja a következő módokon történhet:
SCIM (támogatott mind a ChatGPT SCIM-integrációban, mind az API Platform SCIM-integrációban)
A ChatGPT vagy az API Platform „Tagok” oldala
Automatikus fióklétrehozás
Invites API
A meghívások provisioningja külön lépés az egyszeri bejelentkezés által végzett hitelesítéstől.
Hitelesítés – „Valóban az vagy, akinek mondod magad?”
Példa: egy IdP hitelesít egy felhasználót a szolgáltatásunk felé, így tudjuk, hogy bejelentkezéskor valóban az, akinek mondja magát.
Jogosultságkezelés – „Mit tehetsz vagy láthatsz?”
Példa: miután az IdP hitelesítette Önt, meghatározzuk, hogy mely ChatGPT-munkaterület(ek)nek tagja.
Az OpenAI egyszeri bejelentkezési beállításainak megismerése
Doménellenőrzés
Ez előfeltétele az egyszeri bejelentkezés és az automatikus fióklétrehozás engedélyezésének. Lényegében: „Öné ez a domén?”
A chatgpt.com vagy a platform.openai.com oldalon történő bejelentkezéskor egy ellenőrzött domén határozza meg, hogy a felhasználót a jelszóoldalunkra vagy — ha az egyszeri bejelentkezés is be van állítva — az IdP-jéhez irányítsuk-e
Miután egy domént ellenőriztek a munkaterületen, minden olyan felhasználó, akit erről a doménről származó e-mail-címmel hívnak meg a munkaterületre, a következő bejelentkezéskor felszólítást kap személyes fiókja egyesítésére.
A ChatGPT hitelesítése domén- ÉS munkaterület-alapú: ha egy domént ellenőriztek, és az egyszeri bejelentkezés engedélyezve van a munkaterületen, csak az adott munkaterületen lévő, azonos doménhez tartozó felhasználók lesznek SSO-ra irányítva. Azok a felhasználók, akik ugyanahhoz a doménhez tartoznak, de NEM részei a munkaterületnek (pl. a doménjéhez tartozó Free, Plus, Pro vagy Team fiókfelhasználók), továbbra is e-mail/jelszóval vagy közösségi bejelentkezéssel jelentkeznek be.
A Platform hitelesítése doménalapú — ha egy domént ellenőriztek és az egyszeri bejelentkezés engedélyezve van, az adott domén alatti összes Platform-felhasználó elveszíti a jelszavas bejelentkezés lehetőségét. További részletekért lásd alább a „Doménellenőrzés a ChatGPT-ben és az API Platformon” részt.
Az aldoméneket a legfelső szintű doménektől külön kell ellenőrizni
Ahhoz, hogy sikeresen feldolgozhassuk a doménellenőrzést, a TXT rekordjának olvashatónak kell lennie DNS-lekérdezéssel.
(Csak ChatGPT) Automatikus fióklétrehozás (AAC)
Ha ez engedélyezve van egy ChatGPT-munkaterületen, egy új felhasználó, akinek e-mail-címe megegyezik az ellenőrzött doménnel/doménekkel, regisztrációkor automatikusan meghívást kap az Enterprise-munkaterületre. Nem javasoljuk az AAC engedélyezését, ha SCIM-et használ.
(Csak ChatGPT) Meghívások engedélyezése külső doménekből
Ez a beállítás szabályozza, hogy meghívhatók-e a munkaterületre nem ellenőrzött doménnel rendelkező felhasználók. A külső doménekből érkező felhasználóknak nem kell SSO-n keresztül bejelentkezniük, mivel az SSO-beállítások csak az ellenőrzött doménhez tartozó felhasználókra érvényesek.
SSO engedélyezése
Ez a beállítás határozza meg, hogy a konfigurált SSO-beállítások vonatkoznak-e a munkaterületre és/vagy szervezetre.
SSO kikényszerítése
Ha ki van kapcsolva, ez a beállítás lehetővé teszi, hogy az ellenőrzött doménnel rendelkező felhasználók az SSO és a közösségi bejelentkezés között válasszanak.
A globális adminok közvetlenül az Admin Console SSO kezelése oldaláról állíthatják az SSO kikényszerítését Kötelező értékre mind a ChatGPT, mind az API Platform esetében. Ha engedélyezve van, ez a beállítás azt eredményezi, hogy az ellenőrzött doménnel rendelkező felhasználók csak SSO-n keresztül jelentkezhetnek be az SSO-val engedélyezett munkaterületre vagy szervezetbe. A jelszavas és közösségi hitelesítés többé nem érvényes az adott munkaterületre/szervezetre, de továbbra is használható más olyan munkaterületeken/szervezetekben, ahol a doménjük nincs ellenőrizve.
Doménellenőrzés a ChatGPT-ben és az API Platformon
Ahogy korábban említettük, a doménellenőrzés a megosztott ChatGPT- és Platform-példányokon keresztül érvényesül. Van azonban egy kritikus különbség abban, hogy a doménellenőrzés hogyan hat a ChatGPT-be, illetve a Platformba történő bejelentkezésre, ha az SSO engedélyezve van:
Az API Platformon az egyszeri bejelentkezés teljes mértékben tartományalapú. Ez azt jelenti, hogy ha egy tartományt bármely szervezetben ellenőriztek, és az egyszeri bejelentkezés engedélyezve van, akkor az adott tartománnyal rendelkező MINDEN felhasználó elveszíti a jelszavas bejelentkezés lehetőségét. Ha nincs közösségi hitelesítési módjuk, akkor kizáródnak a megfelelő szervezeteikből, kivéve, ha az IdP hozzáférési csoportjához tartoznak.
Ezzel szemben a ChatGPT oldalon csak azok a felhasználók lesznek érintettek, akik ahhoz a munkaterülethez tartoznak, ahol a tartományt ellenőrizték. Azok a felhasználók, akik nem tagjai az IdP hozzáférési csoportjának, továbbra is be tudnak jelentkezni a munkaterületekre a következő szakaszban ismertetett módszerekkel.
Bejelentkezési élmény a felhasználók számára
Az OpenAI három különböző hitelesítési módszert támogat:
Felhasználónév + jelszó
Közösségi hitelesítés Microsoft/Google/Apple segítségével
SSO
Ne feledje, hogy a működés attól függően változik, hogy a felhasználó a ChatGPT-be vagy az API Platformba jelentkezik be, hogy a doménje ellenőrzött-e, és hogy a megfelelő munkaterületek/szervezetek kikényszerítették-e az SSO-t.
SP által kezdeményezett bejelentkezés
Minden felhasználó közvetlenül a chatgpt.com vagy a platform.openai.com oldalra navigálhat a bejelentkezéshez. Ennek a lehetőségnek a használatakor a különböző hitelesítési módszerek az alábbiak szerint aktiválódhatnak:
Ha a felhasználó több munkaterülethez tartozik, köztük egy olyanhoz is, ahol az SSO engedélyezve lett a doménjéhez, a rendszer felszólítja, hogy válassza ki, melyik munkaterületre szeretne bejelentkezni.
ChatGPT SP által kezdeményezett bejelentkezés
Ha azt találjuk, hogy a megadott e-mail egy olyan munkaterülethez tartozik, ahol a doménje ellenőrzött, a felhasználót az IdP-jéhez irányítjuk hitelesítésre. Ellenkező esetben a felhasználót arra az oldalra irányítjuk, ahol jelszó megadásával jelentkezhet be.
Ha a felhasználó több munkaterülethez tartozik, köztük legalább egy olyanhoz, ahol az SSO engedélyezve lett a doménjéhez, a rendszer felszólítja, hogy válassza ki, melyik módszerrel szeretne bejelentkezni:
Megjegyzés: ha az adott munkaterületen engedélyezve van a „Kényszerített egyszeri bejelentkezés”, az ellenőrzött tartomány(ok)hoz tartozó felhasználók csak egyszeri bejelentkezéssel tudnak belépni. A közösségi és jelszavas hitelesítés nem lesz elérhető.
Platform SP által kezdeményezett bejelentkezés
Ahogy korábban említettük, amikor egy ellenőrzött doménnel rendelkező felhasználó megadja az e-mail-címét a Platform bejelentkezési oldalán, mindig az IdP-jéhez lesz irányítva hitelesítésre.
Ezért kritikus fontosságú, hogy a Platformhoz tartozó SSO engedélyezése előtt teljesen értse ennek működését. Ellenkező esetben nagyon könnyű véletlenül kizárni a Platform-felhasználókat a személyes fiókokból.
IdP által kezdeményezett bejelentkezés
Amikor az egyszeri bejelentkezést a megfelelő identitásoldalakon állítja be, külön egyedi Tile URL-t talál mind a ChatGPT-hez, mind az API Platformhoz:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login
Ezek a Tile URL-ek beállíthatók az IdP-ben, hogy a felhasználók egyetlen kattintással automatikusan bejelentkezhessenek/hitelesíthessenek.
Következő lépések
Most, hogy jó alapot kapott az architektúránkról, kérjük, folytassa az „Az ideális felhasználókezelési beállítás megértése” oldallal, hogy meghatározza az ideális megvalósítást az Ön használati esetéhez. Ezt követően végigvezetjük azon, hogyan állíthatja be az egyszeri bejelentkezést és a SCIM-et a fiókján belül.