Obiettivo
Questa guida vuole fornire agli amministratori e ai team IT le informazioni necessarie da considerare prima di configurare SSO negli account ChatGPT o Platform. SSO è disponibile per i clienti Business, Enterprise ed Edu.
Architettura di base e terminologia
Attualmente, SSO è supportato tramite autenticazione SAML sia per ChatGPT che per la piattaforma API.
Area di lavoro si riferisce a un'istanza di ChatGPT
Organizzazione si riferisce a un'istanza della piattaforma API
Identity Provider (IdP) si riferisce al servizio che utilizzi per gestire l'identità digitale. Forniamo assistenza per le connessioni tramite tutti gli IdP che supportano SAML. Gli IdP più comuni con cui ci siamo connessi includono:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Per l'elenco completo degli IdP supportati, consulta la pagina Integrazioni di WorkOS. Supportiamo tutte le integrazioni di terze parti presenti in questa pagina a cui è possibile connettersi tramite SAML o OIDC.
Attualmente, a ogni area di lavoro di ChatGPT è associata un'organizzazione della piattaforma corrispondente. Questo significa che l'ID organizzazione (org-id) che trovi nella pagina "Generale" della piattaforma Enterprise è lo stesso ID organizzazione (org-id) associato alla tua area di lavoro ChatGPT Enterprise. Di conseguenza, la tua area di lavoro e la tua organizzazione condividono lo stesso livello di autenticazione:
Questa architettura implica alcuni aspetti di cui essere al corrente:
Un singolo ID organizzazione (org-id) può fornire assistenza solo a una singola configurazione IdP.
Le verifiche del dominio e le impostazioni SSO SAML sono condivise tra ChatGPT e la piattaforma API.
SSO deve essere abilitato separatamente su ChatGPT e sulla piattaforma API. Tuttavia, una volta configurato su uno, la "configurazione" dell'altro consiste principalmente in un semplice passaggio e nell'aggiunta di un'app segnalibro nel tuo IdP, se lo desideri.
Introduzione a SSO
Prima di configurare SSO nel tuo account, è importante comprendere alcuni concetti chiave sulla funzionalità SSO di OpenAI.
Terminologia generale per l'identità
Provisioning
Quando OpenAI parla di provisioning nel contesto degli utenti, si riferisce in modo specifico al provisioning degli inviti. Non forniamo direttamente assistenza per il provisioning della creazione di account utente. Gli inviti possono essere forniti tramite:
SCIM (supportato sia nell'integrazione SCIM di ChatGPT che nell'integrazione SCIM della piattaforma API)
La pagina "Membri" di ChatGPT o della piattaforma API
Creazione automatica di un account
Inviti API
Il provisioning degli inviti è un passaggio indipendente dall'autenticazione effettuata tramite SSO.
Autenticazione: "Sei chi dici di essere?"
Esempio: un IdP autentica un utente al nostro servizio così che sappiamo che è chi dice di essere quando effettua l'accesso.
Autorizzazione: "Cosa ti è permesso di fare o vedere?"
Esempio: dopo che il tuo IdP ti ha autenticato, determiniamo a quali aree di lavoro di ChatGPT appartieni.
Informazioni sulle impostazioni SSO di OpenAI
Verifica del dominio
Questa è una condizione preliminare per abilitare SSO e la creazione automatica degli account. In altre parole: "Possiedi questo dominio?"
Quando accedi tramite chatgpt.com o platform.openai.com, un dominio verificato determina se indirizzare l'utente alla nostra pagina delle password o al loro IdP quando è configurato anche SSO
Una volta che un dominio è verificato nella tua area di lavoro, qualsiasi utente invitato nell'area di lavoro con un'e-mail da quel dominio verrà invitato a unire il proprio account personale la prossima volta che effettua l'accesso.
L'autenticazione di ChatGPT si basa su dominio e area di lavoro: quando un dominio è verificato e l'SSO è abilitato sull'area di lavoro, solo gli utenti in quell'area di lavoro che condividono il dominio verranno indirizzati alla procedura SSO. Utenti che condividono il dominio ma NON fanno parte dell'area di lavoro (ad es. gli utenti con account Free, Plus, Pro o Team del tuo dominio continueranno ad accedere tramite e-mail/password o social.
L'autenticazione della piattaforma è basata sul dominio: quando un dominio è verificato e l'SSO è abilitato, tutti gli utenti della piattaforma sotto quel dominio non potranno più accedere tramite password. Consulta "Verifica del dominio su ChatGPT rispetto alla piattaforma API" qui di seguito per ulteriori dettagli.
I sottodomini devono essere verificati separatamente dai domini di primo livello
Per elaborare correttamente la verifica del tuo dominio, il record TXT deve essere leggibile tramite una ricerca DNS.
(Solo ChatGPT) Creazione automatica di account (AAC) Quando questa funzionalità è abilitata su un'area di lavoro di ChatGPT, un nuovo utente la cui e-mail corrisponde ai domini verificati riceverà automaticamente un invito all'area di lavoro Enterprise quando si registra. Non consigliamo di abilitare AAC se stai usando SCIM.
(Solo ChatGPT) Consenti inviti da domini esterni
Questa impostazione controlla se gli utenti con domini non verificati possono essere invitati nell'area di lavoro. Gli utenti provenienti da domini esterni non saranno tenuti ad accedere tramite SSO, poiché le impostazioni SSO si applicano solo agli utenti che appartengono al dominio verificato.
Abilita SSO
Questa impostazione determina se le impostazioni SSO configurate si applicano all'area di lavoro e/o all'organizzazione.
Applica SSO
Quando è disabilitata, questa impostazione consente agli utenti con un dominio verificato di scegliere se accedere tramite SSO o tramite accesso social.
I Global Admin possono impostare l'opzione Applica SSO su Obbligatorio sia per ChatGPT che per la piattaforma API direttamente dalla pagina Gestisci SSO nella Console di amministrazione. Quando abilitata, questa impostazione consente agli utenti con un dominio verificato di accedere all'area di lavoro o all'organizzazione abilitate per SSO solo tramite SSO. La password e l'autenticazione social non sono più valide per l'area di lavoro o l'organizzazione, ma possono ancora essere utilizzate in altre aree di lavoro o organizzazioni dove il loro dominio non è verificato.
Verifica del dominio su ChatGPT rispetto alla piattaforma API
Come discusso in precedenza, la verifica del dominio viene applicata alle istanze condivise di ChatGPT e della piattaforma. Tuttavia, esiste una differenza cruciale nel modo in cui la verifica del dominio influisce sugli accessi a ChatGPT rispetto alla piattaforma se SSO è abilitato:
L'accesso SSO sulla piattaforma API è completamente basato sul dominio. Ciò significa che una volta verificato un dominio su qualsiasi organizzazione e una volta abilitato SSO, TUTTI gli utenti con quel dominio perderanno la possibilità di accedere tramite password. Se non dispongono di un metodo di autenticazione social, saranno esclusi dalle rispettive organizzazioni, a meno che non facciano parte del gruppo di accesso IdP.
Al contrario, per ChatGPT, solo gli utenti che appartengono all'area di lavoro in cui il dominio è stato verificato saranno coinvolti. Gli utenti che non sono nel gruppo di accesso dell'IdP potranno comunque accedere alle aree di lavoro utilizzando i metodi illustrati nella sezione successiva.
Esperienza di login per i tuoi utenti
OpenAI offre tre diversi metodi di assistenza all'autenticazione:
Username + Password
Autenticazione social tramite Microsoft/Google/Apple
SSO
Nota: il comportamento varierà se l'utente sta accedendo a ChatGPT oppure alla piattaforma API, se il suo dominio è verificato e se le rispettive aree di lavoro/organizzazioni hanno imposto la procedura SSO.
Accesso avviato da SP
Tutti gli utenti possono navigare direttamente su chatgpt.com o platform.openai.com per accedere. Quando usi questa opzione, i diversi metodi di autenticazione possono essere attivati come mostrato di seguito:
Se l'utente appartiene a più aree di lavoro, inclusa una in cui SSO è stato abilitato per il suo dominio, apparirà un prompt per selezionare a quale area di lavoro accedere.
Accesso avviato da SP di ChatGPT
Se scopriamo che l'e-mail inserita appartiene a un'area di lavoro il cui dominio è verificato, indirizzeremo l'utente al proprio IdP per autenticarsi. In caso contrario, all'utente sarà chiesto di effettuare il login inserendo la propria password.
Se l'utente appartiene a più aree di lavoro, inclusa almeno una in cui SSO è stato abilitato per il suo dominio, gli verrà chiesto di selezionare quale metodo utilizzare per accedere:
Nota: se "Applica SSO" è stato abilitato per una determinata area di lavoro, gli utenti con domini verificati possono accedere solo tramite SSO. L'autenticazione tramite social e password non sarà disponibile.
Accesso avviato da SP della piattaforma
Come menzionato in precedenza, quando un utente con un dominio verificato immette la propria e-mail nella pagina di accesso della piattaforma, verrà sempre reindirizzato al proprio IdP per autenticarsi.
È fondamentale assicurarsi di comprendere bene cosa comporta l'abilitazione di SSO per la piattaforma per non rischiare di bloccare per errore gli utenti della piattaforma sugli account personali.
Accesso avviato da IdP
Quando configuri SSO dalle rispettive pagine di identità, troverai un URL Tile unico fornito sia per ChatGPT che per la piattaforma API:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Piattaforma: https://platform.openai.com/enterprise/conn_012abc/login
Questi URL Tile possono essere configurati nel tuo IdP per permettere agli utenti di effettuare l'accesso/autenticazione automaticamente con un solo clic.
Passi successivi
Ora che possiedi una buona conoscenza di base della nostra architettura, vai alla pagina "Comprendere la configurazione ideale per la gestione degli utenti" per determinare l'implementazione ideale per il tuo caso d'uso. Ti spiegheremo quindi come configurare SSO e SCIM nel tuo account.