OpenAI

SSO の概要

SSO および ChatGPT とプラットフォーム間の相互作用の全体概要

更新日: 2 hours ago

目的

このガイドは、ChatGPT あるいはプラットフォームアカウントで SSO を設定する前に、管理者および IT チームが考慮すべき必要な情報を提供することを目的としています。SSO は Business、Enterprise、Edu のお客様がご利用いただけます。

背景となるアーキテクチャと用語

SSO は現在、ChatGPT と API プラットフォームの両方において SAML 認証を通じてサポートされています。

  • ワークスペースとは、ChatGPT のインスタンスを指します

  • 組織とは、API プラットフォームのインスタンスを指します

  • ID プロバイダー(IdP)とは、デジタルアイデンティティを管理するために使用するサービスを指します。SAML をサポートするすべての IdP を介した接続をサポートします。当社が接続している最も一般的な IdP には、次のようなものがあります。

    • Okta

    • Azure Active Directory/Entra ID

    • Google Workspace

    • Duo

サポートされている IdP の一覧については、WorkOS の Integrations(統合)ページをご参照ください。このページに掲載されているサードパーティ統合のうち、SAML または OIDC のいずれかを介して接続可能なものはすべてサポートされています。

現在、すべての ChatGPT ワークスペースには、それに対応するプラットフォーム組織が紐付けられています。これは、Enterprise のプラットフォーム「一般」ページで確認できる組織 ID(org-id)が、Enterprise ChatGPT ワークスペースに関連付けられている組織 ID(org-id)と同じであることを意味します。その結果、ワークスペースと組織は同じ認証レイヤーを共有します。

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

このアーキテクチャによって生じる、主な留意点は以下の通りです。

  1. 1つの組織 ID(org-id)は、1つの IdP 設定のみをサポートできます。

  2. ドメイン検証と SAML SSO 設定は ChatGPT と API プラットフォームで共有されます。

  3. ChatGPT と API Platform では、それぞれ個別に SSO を有効化する必要があります。ただし、一方で設定を完了していれば、もう一方の設定は、ほぼ有効化の切り替えだけで済み、必要に応じて IdP にブックマークアプリを追加する程度です。

SSO の開始方法

アカウントで SSO を設定する前に、まず OpenAI の SSO 機能に関する重要な概念を理解しておくことが重要です。

一般的なアイデンティティ用語

プロビジョニング
OpenAI がユーザーに関してプロビジョニングについて言及する際、具体的にはプロビジョニングの招待を指します。ユーザーアカウントの作成を直接プロビジョニングすることはサポートしていません。招待は以下を通じて提供可能です。

  1. SCIM(ChatGPT SCIM 連携およびAPI プラットフォーム SCIM 連携の両方でサポート)

  2. ChatGPT もしくは API プラットフォーム の「メンバー」ページ

  3. 自動アカウント作成

  4. API の招待

招待のプロビジョニングは、SSO によって実行される認証とは独立したステップです。

認証 – 「あなたが自分が主張通りの人物かどうか?(本人確認)」

例:IdP がユーザーを認証することで、ログイン時にそのユーザーが本人であることを確認できます。

承認 – 「何を実行することが許可されているか、もしくは何を閲覧することが許可されているか?(アクセスレベル設定)」

例:IdP による認証後、あなたがどの ChatGPT ワークスペースのメンバーであるかを判断します。

OpenAI の SSO 設定の理解

ドメイン検証
これは、SSO および自動アカウント作成を有効にするための前提条件です。つまり、「あなたがこのドメインの所有者かどうか?」を検証します。

  1. ChatGPT.com あるいは platform.openai.com からログインする際、SSO が設定されている場合、検証済みドメインによってユーザーを当社のパスワードページにリダイレクトするか、そのユーザーの IdP に転送するかを決定します。

  2. ワークスペースでドメインが検証されると、そのドメインのメールアドレスを持つユーザーがワークスペースに招待された場合、次回ログイン時に個人アカウントを統合するよう促すプロンプトが表示されます。

  3. ChatGPT の認証はドメインおよびワークスペースに基づいています。ドメインが検証され、ワークスペースで SSO が有効化されている場合、そのドメインを共有するワークスペース内のユーザーのみが SSO にルーティングされます。ドメインを共有しているが、ワークスペースに属していないユーザー(すなわち、ドメインの Free、Plus、Pro、あるいは Team アカウントのユーザー)は、引き続きメールアドレスとパスワード、またはソーシャルアカウントでログインできます。

  4. プラットフォーム認証はドメインベースです。ドメインが検証され、SSO が有効化されると、そのドメインに属するすべてのプラットフォームユーザーはパスワードでのログインができなくなります。詳細については、以下の「ChatGPT と API プラットフォームでのドメイン検証の比較」を確認してください。

  5. サブドメインはトップレベルドメインとは別に検証する必要があります

ドメイン検証を正常に処理するには、DNS ルックアップを通じて TXT レコードが読み取れる必要があります。

(ChatGPT のみ)自動アカウント作成(AAC)
ChatGPT ワークスペースで有効にすると、検証済みドメインと一致するメールアドレスを持つ新規ユーザーは、サインアップ時に Enterprise ワークスペースへの招待を自動的に受け取ります。SCIM を使用している場合は、AAC を有効にしないことをお勧めします。

(ChatGPT のみ)外部ドメインの招待を許可
この設定は、未検証のドメインを持つユーザーをワークスペースに招待できるかどうかを制御します。外部ドメインのユーザーは、SSO 設定が検証済みドメインに属するユーザーにのみ適用されるため、SSO を使用してログインする必要はありません。

SSO を有効にする
この設定は、設定済みの SSO 設定がワークスペースや組織に適用されるかどうかを決定します。

SSO を強制する

この設定を無効にすると、検証済みドメインを持つユーザーは、SSO 経由でのログインもしくはソーシャルログインのどちらかを選択できます。

グローバル管理者は、管理者コンソールの「SSO 管理」ページから、ChatGPT および API プラットフォームの両方に対して「SSO を強制する」を「必須」に設定できます。この設定を有効にすると、検証済みドメインを持つユーザーは、SSO 対応のワークスペースもしくは組織に SSO 経由でのみサインインできるようになります。パスワードやソーシャル認証は、ワークスペースもしくは組織ではもはや有効ではありませんが、ドメインが検証されていない他のワークスペースまたは組織では引き続き使用できます。

ChatGPT と API プラットフォームでのドメイン検証の比較

前述のとおり、ドメイン検証は共有されている ChatGPT およびプラットフォームのインスタンス全体に適用されます。ただし、SSO が有効な場合、ドメイン検証が ChatGPT へのログインとプラットフォームへのログインに与える影響には、以下の重要な違いがあります。

API プラットフォームにおける SSO は完全にドメインベースです。これは、ドメインがいずれかの組織で検証され、SSO が有効化されると、そのドメインを持つすべてのユーザーはパスワードでのログインができなくなることを意味します。ソーシャル認証手段を持たない場合、IdP アクセスグループに所属していない限り、それぞれの組織からロックアウトされます。

検一方、ChatGPT 側では、ドメイン検証済みのワークスペースに所属するユーザーのみが影響を受けます。IdP のアクセスグループに属していないユーザーも、次のセクションで説明する方法を使用してワークスペースにログインできます。

ユーザーのログイン体験

OpenAI は3種類の認証方法をサポートしています。

  1. ユーザー名 + パスワード

  2. Microsoft/Google/Apple によるソーシャル認証

  3. SSO

ユーザーが ChatGPT もしくは API プラットフォームにログインしているかどうか、ドメインが検証済みかどうか、またそれぞれのワークスペースや組織で SSO が強制されているかどうかによって動作が異なることに留意してください。

SP-Initiated Login(SP 主導のログイン)

すべてのユーザーは、chatgpt.com もしくは platform.openai.com に直接アクセスしてログインできます。このオプションを使用すると、異なる認証方法が以下のように起動されます。

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

ユーザーが複数のワークスペースに所属しており、その中にドメインで SSO が有効化されているワークスペースが含まれている場合は、ログインするワークスペースを選択するよう促されます。

ChatGPT SP-Initiated Login(ChatGPT SP 主導のログイン)

入力されたメールアドレスがドメインが検証済みのワークスペースに属していると判明した場合、ユーザーを認証のためにそのユーザーの IdP に転送します。それ以外の場合、ユーザーはパスワードを入力してログインするように案内されます。

ユーザーが複数のワークスペースに所属しており、その中に少なくとも 1 つのワークスペースで SSO が有効になっている場合は、ログイン方法を選択するように促されます。

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

注:特定のワークスペースで「SSO を強制」が有効化されている場合、検証済みドメインを持つユーザーは SSO 経由でのみログインできます。ソーシャル認証およびパスワード認証は利用できません。

プラットフォーム SP-Initiated ログイン(プラットフォーム SP 主導のログイン)

前述のとおり、検証済みドメインを持つユーザーがプラットフォームのログインページでメールアドレスを入力すると、常に認証のために自身の IdP にリダイレクトされます。

プラットフォームで SSO を有効化する前に、理解しておくことが極めて重要です。そうでなければ、個人アカウントで誤ってプラットフォームユーザーをロックアウトしてしまう可能性が非常に高くなります。

IdP-Initiated Login(IdP 主導のログイン)

それぞれのアイデンティティページから SSO を設定する際、ChatGPT と API プラットフォームの両方に固有のタイル URL が提供されることがわかります。

これらのタイル URL は、ユーザーがワンクリックで自動的にログイン/認証できるように、IdP 内で設定することができます。

次のステップ

当社のアーキテクチャについて基本的な理解が得られたところで、ご自身のユースケースに最適な実装を決定するため、「理想的なユーザー管理設定の理解」ページへ進んでください。その後、アカウント内での SSO と SCIM の設定方法を順を追って説明します。

この記事は役に立ちましたか?