OpenAI

Ringkasan SSO

Ringkasan tingkat tinggi tentang SSO dan bagaimana interaksinya antara ChatGPT dan Platform.

Diperbarui: 2 days ago

Tujuan

Panduan ini dimaksudkan untuk memberikan informasi yang diperlukan kepada Admin dan Tim IT sebelum mengonfigurasi SSO di akun ChatGPT atau Platform Anda. SSO tersedia untuk pelanggan Business, Enterprise, dan Edu.

Latar belakang arsitektur dan terminologi

SSO saat ini didukung melalui autentikasi SAML untuk ChatGPT dan Platform API.

  • Workspace mengacu pada sebuah instance dari ChatGPT

  • Organisasi mengacu pada instance API Platform

  • Penyedia Identitas (IdP) mengacu pada layanan yang Anda gunakan untuk mengelola identitas digital. Kami memberikan dukungan untuk koneksi melalui semua IdP yang mendukung SAML. Beberapa IdP paling umum yang telah kami hubungkan meliputi:

    • Okta

    • Azure Active Directory/Entra ID

    • Google Workspace

    • Duo

Untuk daftar lengkap IdP yang didukung, silakan lihat Halaman Integrasi WorkOS. Kami memberikan dukungan untuk semua integrasi pihak ketiga di halaman ini yang dapat dihubungkan melalui SAML atau OIDC.

Saat ini, setiap workspace ChatGPT memiliki organisasi Platform yang terkait dengannya. Ini berarti bahwa ID Organisasi (org-id) yang Anda temukan di halaman Platform "General" Enterprise Anda adalah ID Organisasi (org-id) yang sama yang terhubung ke workspace ChatGPT Enterprise Anda. Sebagai hasilnya, workspace dan organisasi Anda berbagi lapisan autentikasi yang sama:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Ada beberapa hal kunci yang perlu Anda catat sebagai hasil dari arsitektur ini:

  1. Satu ID Organisasi (org-id) hanya dapat memberikan satu dukungan konfigurasi IdP.

  2. Verifikasi domain dan pengaturan SSO SAML dibagikan antara ChatGPT dan Platform API.

  3. SSO harus diaktifkan secara terpisah pada ChatGPT dibandingkan dengan Platform API. Namun, setelah Anda mengonfigurasinya pada satu, "pengaturan" yang lain sebagian besar hanya membalik sakelar dan menambahkan aplikasi penanda di IdP Anda jika diinginkan.

Memulai dengan SSO

Sebelum mengonfigurasi SSO di akun Anda, penting untuk terlebih dahulu memahami beberapa konsep kunci tentang fungsionalitas SSO OpenAI.

Terminologi identitas umum

Penyediaan
Ketika OpenAI merujuk pada penyediaan dalam konteks pengguna, kami secara khusus mengacu pada penyediaan undangan. Kami tidak secara langsung memberikan dukungan untuk penyediaan pembuatan akun pengguna. Undangan dapat melalui penyediaan:

  1. SCIM (didukung dalam Integrasi SCIM ChatGPT dan Integrasi SCIM API Platform)

  2. Halaman "Anggota" dari ChatGPT atau Platform API

  3. Pembuatan Akun Otomatis

  4. Mengundang API

Penyediaan undangan merupakan langkah yang terpisah dari autentikasi yang dilakukan oleh SSO.

Autentikasi – “Apakah identitas Anda sesuai dengan yang Anda nyatakan?”

Contoh: sebuah IdP mengautentikasi pengguna ke layanan kami sehingga kami tahu bahwa mereka adalah siapa yang mereka klaim saat masuk.

Otorisasi – “Akses apa saja yang boleh Anda lakukan atau Anda lihat??”

Contoh: Setelah IdP Anda mengautentikasi Anda, kami menentukan workspace ChatGPT mana yang Anda adalah anggota.

Mengenal Pengaturan SSO OpenAI

Verifikasi Domain
Ini adalah prasyarat untuk mengaktifkan SSO dan Pembuatan Akun Otomatis. Pada dasarnya, “Apakah Anda memiliki domain ini?”

  1. Saat masuk melalui ChatGPT.com atau platform.OpenAI.com, domain yang verifikasikan menentukan apakah akan mengarahkan pengguna ke halaman kata sandi kami atau ke IdP mereka ketika SSO juga diatur.

  2. Setelah sebuah domain diverifikasi di dalam workspace Anda, setiap pengguna yang diundang ke dalam workspace dengan email dari domain tersebut akan prompt untuk menggabungkan akun pribadi mereka pada saat mereka login selanjutnya.

  3. Autentikasi ChatGPT berbasis domain DAN workspace - ketika sebuah domain telah diverifikasi dan SSO diaktifkan pada workspace, hanya pengguna di workspace tersebut yang berbagi domain yang akan diarahkan ke SSO. Pengguna yang berbagi domain tetapi TIDAK menjadi bagian dari Workspace (misalnya: Pengguna akun Free, Plus, Pro, atau Team dari domain Anda) akan terus masuk melalui email/sandi atau media sosial.

  4. Autentikasi Platform berbasis domain -- ketika sebuah domain diverifikasi, dan SSO diaktifkan, semua pengguna Platform di bawah domain tersebut akan kehilangan kemampuan untuk masuk dengan kata sandi. Silakan lihat "Verifikasi Domain pada ChatGPT vs. Platform API" di bawah untuk detail lebih lanjut.

  5. Subdomain harus diverifikasi secara terpisah dari domain tingkat atas

Agar kami dapat memproses verifikasi domain Anda dengan sukses, catatan TXT Anda harus dapat dibaca melalui pencarian DNS.

(ChatGPT saja) Pembuatan Akun Otomatis (AAC)
Ketika diaktifkan pada workspace ChatGPT, pengguna baru yang emailnya sesuai dengan domain yang diverifikasi akan secara otomatis menerima undangan ke workspace Enterprise saat mereka mendaftar. Kami tidak menyarankan untuk mengaktifkan AAC jika Anda menggunakan SCIM.

(ChatGPT only) Izinkan Undangan Domain Eksternal
Pengaturan ini mengontrol apakah pengguna dengan domain yang belum terverifikasikan dapat diundang ke dalam workspace. Pengguna dari domain eksternal tidak akan diminta untuk masuk melalui SSO karena pengaturan SSO hanya berlaku untuk pengguna yang termasuk dalam domain yang terverifikasi.

Aktifkan SSO
Pengaturan ini menentukan apakah pengaturan SSO yang Anda konfigurasikan berlaku untuk workspace dan/atau organisasi.

Terapkan SSO

Ketika dinonaktifkan, pengaturan ini memungkinkan pengguna dengan domain yang terverifikasi untuk memilih masuk melalui SSO atau login sosial.

Admin Global dapat menetapkan Terapkan SSO ke Wajib untuk ChatGPT maupun Platform API langsung dari halaman Kelola SSO di Konsol Admin. Ketika diaktifkan, pengaturan ini memastikan bahwa pengguna dengan domain yang terverifikasi hanya dapat masuk ke workspace atau organisasi yang diaktifkan SSO melalui SSO. Kata sandi dan autentikasi sosial tidak lagi valid untuk workspace/organisasi, tetapi masih dapat digunakan di workspace/organisasi lain di mana domain mereka belum verifikasikan.

Verifikasi Domain pada ChatGPT vs. Platform API

Seperti yang telah dibahas sebelumnya, verifikasi domain diterapkan di seluruh instance ChatGPT dan Platform yang dibagikan. Namun, ada perbedaan penting dalam cara verifikasi domain memengaruhi login ke ChatGPT vs. Platform jika SSO diaktifkan:

SSO pada Platform API sepenuhnya berbasis domain. Ini berarti bahwa setelah sebuah domain telah verifikasikan pada organisasi mana pun , dan SSO telah diaktifkan, SEMUA pengguna dengan domain tersebut akan kehilangan kemampuan untuk masuk dengan kata sandi. Jika mereka tidak memiliki sarana autentikasi sosial, maka mereka akan terkunci dari organisasi masing-masing kecuali mereka termasuk dalam grup akses IdP.

Sebaliknya, di sisi ChatGPT, hanya pengguna yang termasuk dalam workspace tempat domain tersebut telah diverifikasi yang akan terdampak. Pengguna yang tidak berada dalam grup akses IdP tetap dapat masuk ke workspace menggunakan metode yang dibahas di bagian selanjutnya.

Pengalaman masuk untuk pengguna Anda

OpenAI dengan dukungan tiga metode autentikasi yang berbeda:

  1. Nama pengguna + Kata Sandi

  2. Autentikasi Sosial melalui Microsoft/Google/Apple

  3. SSO

Ingatlah bahwa perilaku akan bervariasi bergantung pada apakah pengguna masuk ke ChatGPT atau Platform API, apakah domain mereka telah verifikasikan, dan apakah workspace/organisasi mereka masing-masing telah menerapkan SSO.

Login yang Diinisiasi SP

Semua pengguna dapat langsung mengunjungi chatgpt.com atau platform.openai.com untuk masuk. Saat menggunakan opsi ini, metode autentikasi yang berbeda dapat diaktifkan seperti yang ditunjukkan di bawah ini:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Jika pengguna termasuk dalam beberapa workspace, termasuk satu di mana SSO telah diaktifkan untuk domain mereka, mereka akan di-prompt untuk memilih workspace mana yang akan mereka masuki.

Login yang Diinisiasi SP ChatGPT

Jika kami menemukan bahwa email yang dimasukkan milik workspace di mana domainnya telah verifikasikan, kami akan meneruskan pengguna ke IdP-nya untuk melakukan autentikasi. Jika tidak, pengguna akan diarahkan untuk masuk dengan memasukkan kata sandinya.

Jika pengguna termasuk dalam beberapa workspace, termasuk setidaknya satu di mana SSO telah diaktifkan untuk domain mereka, pengguna akan di-prompt untuk memilih metode yang akan digunakan untuk masuk:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Catatan: jika "Enforce SSO" telah diaktifkan untuk workspace tertentu, pengguna dengan domain yang verifikasikan hanya dapat masuk melalui SSO. Autentikasi Sosial dan Kata Sandi tidak akan tersedia.

Login yang Diinisiasi oleh Platform SP

Seperti yang disebutkan sebelumnya, ketika pengguna dengan domain yang sudah diverifikasikan memasukkan email mereka di halaman login Platform, mereka akan selalu diarahkan ke IdP pengguna untuk melakukan autentikasi.

Inilah mengapa sangat penting untuk memastikan pemahaman Anda sebelum mengaktifkan SSO untuk Platform. Jika tidak, sangat mudah untuk secara tidak sengaja mengunci pengguna Platform dari akun pribadi.

Login yang Diinisiasi oleh IdP

Saat mengonfigurasi SSO dari halaman identitas masing-masing, Anda akan menemukan URL Tile unik yang disediakan untuk ChatGPT dan Platform API:

URL Tile ini dapat dikonfigurasi dalam IdP Anda untuk memungkinkan pengguna Anda masuk/melakukan autentikasi secara otomatis dengan satu klik.

Langkah Selanjutnya

Sekarang setelah Anda memiliki dasar yang baik tentang arsitektur kami, silakan lanjutkan ke halaman "Memahami Pengaturan Manajemen Pengguna Ideal Anda" untuk menentukan implementasi ideal untuk contoh penggunaan Anda. Setelah ini, kami akan memandu Anda tentang cara mengonfigurasi SSO dan SCIM dalam akun Anda.

Apakah artikel ini membantu?