このドキュメントは、管理者がユースケースに最適な形で SSO や、必要に応じて SCIM を導入できるよう支援することを目的としています。

このドキュメントで説明する主要な概念を理解していただくために、「SSO の概要」ページをご確認ください。

ドメインを検証する前に、以下の点について検討しておくことが重要です。

新しいユーザーへの招待をどのようにプロビジョニングしますか？
既存の個人向け（個人向け/Plus/Pro）ユーザーにどのように対応しますか？
ユーザーのログインフローをどのように設計したいですか？

自分のニーズに最も合った選択肢を選べるよう、それぞれの質問について詳しく見ていきましょう。

新規ユーザーの招待

現在、ユーザーへの招待のプロビジョニング方法を4つ提供しています。

クロスドメイン ID 管理システム（SCIM）
ChatGPT または API プラットフォームからの直接招待
ChatGPT のみ：自動アカウント作成（AAC）
プラットフォームのみ：API プラットフォーム管理者招待エンドポイント

なお、招待メールが実際に送信されるケースと、招待がバックエンドでユーザーのメールアドレスに自動的に関連付けられるケースを区別しています。

招待メールは、以下の場合に送信されます。

新規ユーザーが SCIM 経由で初めて招待される場合。
ユーザーが ChatGPT または API プラットフォームから直接招待される場合。

招待は次の場合に自動的に関連付けられます。

SCIM ユーザーが、お使いの IdP グループから削除された後、再度追加される場合。
自動アカウント作成が適用されます。

後者の場合、ユーザーの受信トレイには招待が表示されませんが、ログインを試みると、対応するワークスペース／組織に適切に誘導されます。

SCIM

SCIM は ChatGPT と API プラットフォームの両方で利用できます。SCIM により、ID プロバイダー（Okta、Entra ID など）が OpenAI とユーザーの ID データを交換し、組織の変更に基づいて招待のプロビジョニング（およびユーザーアカウントのデプロビジョニング）を自動化します。

SCIM もお使いの IdP を通じて設定できますが、SSO とは独立してセットアップすることも可能です。したがって、ドメイン検証／SSO は SCIM の要件ではありません。

SCIM と SSO の両方を使用することにした場合、区別しておくべき重要な点は次のとおりです。

SCIM は招待のみをプロビジョニングする
SSO は認証とユーザー作成を処理する

当社では、ユーザー管理全般において、SCIM は最も堅牢でスケーラブルなソリューションであると考えています。ご希望の実装方法に応じて、ChatGPT と API プラットフォームの両方にわたって展開する場合は、一般的にベストプラクティスとして以下のアーキテクチャを推奨します。

IdP setup diagram comparing one shared SAML app versus separate SCIM apps for ChatGPT and API Platform users

この設定により、招待と（ChatGPT と API Platform への）アクセスの両方を簡単に個別に管理できます。この設定にはさらに、必要な変更を管理チームが IdP 内で直接一元的に実施できるという利点もあります。

複数のアプリケーション（ChatGPT、API プラットフォーム、その他のアカウントなど）にわたって SCIM を実装している場合、SCIM アプリケーションはそれぞれ一意である必要があります。対象ユーザーベースが同一であっても、各 SCIM 実装では IdP 側の一意のアプリケーションを参照することを強く推奨します。

この要件を満たしていない場合、不整合の問題が発生し、最終的に無効なメンバーシップにつながる可能性があります。

ChatGPT または API プラットフォームからの直接招待

管理者は、ChatGPTとプラットフォームのそれぞれの「メンバー」ページから、ユーザーをメールで直接招待できます。ChatGPT では、この方法は CSV のアップロードによる一括招待にも対応しています。

Workspace invite modal with CSV upload, email entry, and Resend emails for existing invites selected

通常、拡張性はありませんが、新しいワークスペースや組織で使い始める際には、直接招待を使用することをお勧めします。SCIM とは異なり、ユーザーの受信トレイに招待が届くまでに遅延が発生する可能性がないため、迅速なアクセスの提供、権限の変更、一般的なテストに最も効果的な選択肢です。

さらに、後からいつでも SCIM を有効にして、既存のユーザーを SCIM アプリケーション配下に割り当てることができます。そのため、意図的にそう設定しない限り、直接招待されたユーザーが今後の自動化の対象から除外される心配はありません。

自動アカウント作成（AAC）

他のオプションとは異なり、AAC は ChatGPT の ID ページでのみ利用でき、事前に SSO が有効化されている必要があります。

Automatic account creation setting for verified-domain users turned off

上記のとおり、AAC では、検証済みメールドメインでサインアップまたはログインしたユーザーが自動的にお客様の Enterprise ワークスペースに追加されます。ユーザーに招待メールは送信されず、プロセスは完全に自動化されています。これにはメリットとデメリットがあります。

認証済みドメインのすべてのユーザーに制限なくアクセスを許可する方針であれば、AAC は SCIM アプリケーションの設定と管理に伴う追加の手間を回避できる優れた選択肢です。

しかし、ユーザーアクセスに対して、より厳格な制限と承認ベースのアプローチが必要な場合、AAC は理想的ではありません。

⚠️ 警告 ⚠️

AAC を有効にすると、お客様のドメイン配下にあるすべての個人ユーザー（個人向け／Plus／Pro）が、実質的に Enterprise ワークスペースに強制的に統合される点にご注意ください。これについての詳細は、以下の「既存ユーザーへの対応」セクションをご参照ください。

なお、このシナリオでは、ユーザーが IdP アクセスグループのメンバーではなく、SSO が適用されている場合にワークスペースに正常にアクセスできないとしても、そのユーザーは Enterprise アカウント上では引き続きシートを消費します。

このため、通常、ほとんどの場合は AAC ではなく、SCIM または直接招待をお勧めします。混乱を避けるため、SCIM を使用する予定がある場合は、AAC をオフのままにしておくことをお勧めします。

API プラットフォーム管理者招待エンドポイント

当社の API プラットフォームは、Invites エンドポイントをサポートしており、このエンドポイントを使用することで API 組織にユーザーをプログラムで招待できます。

SCIM と比較すると、このエンドポイントの主な利点は、招待されたユーザーが所属するプロジェクトを指定できる点です。

これにより、個別の直接招待を手動で行う必要なく、さらにきめ細かい制御が可能になります。

既存の消費者ユーザーへの対応

個人向け、Plus、Pro のいずれかのサブスクリプションを利用しているユーザーを個人ユーザーと定義します。Enterprise 契約を締結する前から、検証済みドメインに一致するメールアドレスでアカウントを持つ既存の個人ユーザーがいることはよくあります。ドメインの検証と SSO の有効化は、これらの個人ユーザーに影響を与える可能性があるため、事前に望ましい結果を明確にしておくことが重要です。

ChatGPT の個人ユーザーへの影響

ChatGPT 側では、個人ユーザーへの影響は主に次の2つの要因によって決まります。

Enterprise ワークスペースに招待されますか？
SSO を有効にしますか？

結果として生じる動作は以下のとおりです。

招待待ちですか？	SSO は適用されていますか？	結果
はい	はい	個人ユーザーアカウントは強制的に Enterprise に統合され、ログイン方法は SSO のみになります。
はい	いいえ	個人ユーザーアカウントは強制的に Enterprise に統合され、ユーザーは SSO またはソーシャルログインで認証できます。
いいえ	はい	影響なし：個人ユーザーは、パスワードまたはソーシャル認証によって個人用ワークスペースに引き続きアクセスできます。
いいえ	いいえ	影響なし：個人ユーザーは、パスワードまたはソーシャル認証によって個人用ワークスペースに引き続きアクセスできます。

最終的に個人アカウントを一切許可しないことが目的の場合は、考えられるオプションについてご相談いただくため、担当のアカウントディレクターまでお問い合わせください。

アカウントマージ

個人アカウントを Enterprise アカウントに自動的に統合するための前提条件は、以下のとおりです。

ユーザーのドメインは検証済みです。
ユーザーは、自身のドメインが検証済みである Enterprise ワークスペースへの招待を受け取りました。
- 注：AAC を有効にしている場合、この条件は検証済みドメインを持つすべてのユーザーに対して常に満たされます。

これらの条件が満たされると、ユーザーが次回 ChatGPT にログインするか、ChatGPT を更新したときに、次のモーダルが表示されます。

ChatGPT Enterprise invite flow with options to transfer chat history and GPTs or export and delete the old workspace

画像で示されているように、統合前に既存の Plus または Pro サブスクリプションについては自動的に返金されます。ユーザーは、既存のチャット履歴と GPT を移行するか、またはチャット履歴をメールでエクスポートして、Enterprise ワークスペースを「白紙の状態」で開始するかを選択できます。

注：移行先の Enterprise または Edu ワークスペースでデータレジデンシーが有効になっている場合、個人ワークスペースのデータは転送できません。ユーザーが実行できるのは、自分のチャットをエクスポートし、個人ワークスペースを削除することだけです。詳しくは、メール招待とアカウント移行をご覧ください。

個人アカウントは一度統合されると、復元できません。ユーザーが「既存のチャット履歴と GPT を移行する」オプションを選択したにもかかわらず、その内容が Enterprise ワークスペースに反映されていない場合は、サポートまでお問い合わせください。

API プラットフォームの個人ユーザーへの影響

プラットフォーム上の SSO は引き続きドメインベースであるため（SSO が有効化されているワークスペースに限定される ChatGPT とは異なり）、ドメインを検証していずれかの組織で SSO を有効にした時点で、個人ユーザーは影響を受けます。

ドメインの一致が検出され、ユーザーがお客様の IdP にリダイレクトされるため、個人ユーザーはパスワードで認証できなくなります。ご利用の IdP のメンバーであれば、正常に認証できます。または、利用可能な場合はソーシャル OAuth オプションを使用してログインできます。そうでない場合、ユーザーは事実上、自分の個人用アカウントにログインできなくなります。

このワークフローの詳細なガイドについては、「ユーザーログインフロー」セクションをご覧ください。

ID とプロビジョニングに関する推奨パターン

ID 認証と招待のプロビジョニングに関する基本的な動作について説明しましたので、次に Enterprise ユーザーが利用できる、より一般的な実装パターンをいくつか確認してみましょう。

Comparison table of four Enterprise user management setups by provisioning, authentication, and user experience

ユーザーのログインフロー

保留中の招待と SSO の強制が及ぼす影響についてはすでに説明しました。このセクションでは、ユーザーがログインする際にメールアドレスを入力したときに実行される想定フローやチェックを視覚的に把握できるようサポートします。

ChatGPT ログインフロー

注：この図には、ソーシャルログインまたは Tile URL 経由でのログイン試行は含まれていません。

Flowchart of ChatGPT login paths for personal accounts, password sign-in, workspace picker, and SSO redirection

API プラットフォームのログインフロー