このドキュメントは、こちらにある既存のプラットフォームの SSO ドキュメントを置き換えます。
前提条件
SSO を設定するには、以下が必要です。
カスタム/Enterprise 請求プラン利用の API プラットフォーム組織があること
この組織の所有者であること
1つ以上の検証済みドメインを持つこと
作業を進める前に、SSO の概要とユーザー管理に関するドキュメントを確認し、SSO の構成を理解していることを確認してください。
最近、Enterprise ChatGPT ライセンスを購入し、ChatGPT ワークスペースで SSO を設定しようとしている場合は、こちらの手順に従ってください。
以前に Enterprise ChatGPT ワークスペースで SSO を設定していた場合、SSO の設定はすでに引き継がれて有効になっているはずです。この場合、API プラットフォーム ID ページに各フィールドがあらかじめ入力された状態で表示されるため、組織の「シングルサインオン」ボタンがオンになっていることを確認するだけで済みます。
⚠️ SSO が正しく設定されていない場合、ワークスペースの所有者と全ユーザーがログインできなくなります。
設定が誤っていると、所有者とすべてのユーザーがアクセスできなくなります。ワークスペースの所有者は、次の 2 つのウィンドウを同時に開いておくことをお勧めします。
1 つはシークレットウィンドウでログインしたもの
もう 1 つは通常のブラウザでログインしたもの
これにより、一方のウィンドウでログイン動作や SSO/ドメイン検証の設定をテストし、必要に応じてもう一方のウィンドウから設定を元に戻すことができます。
SSO のテスト
Enterprise 組織に影響を与えることなく設定プロセスをテストしたい場合は、こちらのアプリケーションからテストできます。
このテストアプリケーションで接続に成功しても、本番組織には反映されず、設定も保存されません(そのため、準備ができた段階で Enterprise 組織で同じパラメータを再利用できます)。つまり、このアプリケーションは要件の確認や不足している前提条件の洗い出しを行う際のサンドボックス/プレイグラウンド環境として安全に利用できます。
SSO を有効にする
まず、組織の設定内の ID ページに移動します。
このリンクが解決しない場合は、組織が適切に構成されていないか、ユーザーアカウントに関連付けられた適切な権限がない可能性があります。この状況が正しくないとお考えの場合は、サポートチームにご連絡ください。
ドメインの検証
SSO を有効にするには、まず最低 1 つのドメインを検証する必要があります。
重要:SSO を有効にしたら、そのドメインを使用するユーザーに生じうる後続の影響についても確認してください。
「+ Add Domain(ドメインを追加)」ボタンをクリックし、DNS 情報を入力して開始します。
送信後、ドメインの所有権を確認するためのキーが提供されます。DNS プロバイダーに移動し、指定された値で TXT レコードを追加します。
検証を成功させるには、この TXT レコードが DNS ルックアップで参照可能である必要があります。
DNS プロバイダー側で設定を完了したら、セットアップページに戻り、「Check(確認する)」ボタンをクリックします。ドメイン所有が正常に検証されると、ステータスが「Verified(検証済み)」に更新されます。
1 つの組織 ID あたり最大 99 個のドメインを検証できます。ドメインが期限切れになる前に検証を完了するため、7 日間の猶予期間が設けられています。
デフォルトでは、ドメインは1つの組織に対して検証されます。ただし、複数組織でのドメイン検証をサポートする環境(たとえば、複数組織/複数ドメインのサポートが有効になっている場合)では、同じドメインを複数の組織で検証できます。ご利用の環境がこれに対応しているか不明な場合は、サポートまでお問い合わせください。
アプリケーションの設定
ドメインの検証が完了したら、IdP アプリケーションを設定して SSO のセットアップを進めることができます。
まず、「Manage Single Sign On(シングルサインオンを管理する)」ボタンをクリックします。
ID プロバイダーの選択
SAML 連携をネイティブにサポートする主要な IdP のリストから選択できます。リストに IdP が表示されない場合や、OIDC 接続を使用したい場合は、画面下部の該当するカスタム接続ボタンを選択できます。
アプリケーションの作成/接続
ステップバイステップの設定ウィザードに従って、IdP アプリケーションを作成し、OpenAI と接続できます。使用する IdP によって指示が多少異なる場合がありますが、基本的なセットアップ手順は同じです。
作成ステップで表示される URL は、組織ごとに固有であることに注意してください。
重要:正常に動作している SSO 接続をリセットすると、これらの URL 値は変更されます。SSO を再設定する際は、必ずアプリケーション側でもそれらを更新してください。
URL の設定が完了したら、アプリケーションを通じて認証されるユーザーの属性マッピングを定義します。
属性マッピング
アプリケーションで定義する属性マッピングにより、ユーザーがどのように作成されるか、API プラットフォームでどのように表示されるかが決まります。現在のユーザーモデルは、以下の3つのプロパティをサポートしています。
メールアドレス(SAML レスポンスで必須)
名(任意ですが推奨)
姓(任意ですが推奨)
注:当社は SAML レスポンスの復号化には対応していません。属性を正しく特定できるよう、レスポンスやアサーションを暗号化しないようにしてください。
属性マッピングの内容は、使用する IdP によって異なります。設定ウィザードに表示される IdP ごとの推奨マッピングに従うことを推奨します。例:Okta の場合:
新規ユーザーのメールアドレスが表示名として設定されている場合、属性マッピングを確認し、SAML 応答が暗号化されていないことをご確認ください。
また、新規ユーザーが名前や生年月日の入力を求められる場合は、属性レスポンスから適切な名前の値を取得できていない可能性があります。
メールアドレスの変更
IdP 側でユーザーのメールアドレスが更新されることがあります。例:
結婚による氏名変更
会社が買収され、新しいドメインに変更された場合
など。
この場合、新しいメールアドレスに紐づく新規の OpenAI ユーザーが作成されることになります。場合によっては、以前の認証プロファイルが残存し、新しいユーザーが正常にログインできなくなることがあります。この場合は、サポートまでお問い合わせください。
プライマリメールアドレス
場合によっては、複数の異なるメールアドレスを持つユーザーが存在することがあります。これは、大規模企業で分散したメールシステムを使用している場合や、複数の学校を持つ教育機関のお客様によく見られるケースです。例:
このような場合、SAML レスポンスの属性に含めるメールアドレスを 1 つに統一することを推奨します。複数のメールアドレスが含まれていると、新規ユーザーまたは既存ユーザーに紐づける際に混乱を招く可能性があります。
また、ユーザーが静的なメールアドレス(例:UPN)を持っている場合は、それを属性マッピングで使用することを推奨します。他のメールアドレスが変更されても、OpenAI のユーザーアカウントが影響を受けないようにするためです。
IdP アプリケーションアクセスのプロビジョニング
属性マッピングが正常に作成されると、ウィザードが、指定したグループを通じて該当ユーザーにアクセス権を付与する手順を案内します。
ベストプラクティスについては、ユーザー管理に関する推奨事項をご確認ください。
IdP メタデータの設定
この段階では、IdP メタデータを定義する方法として「Dynamic Configuration(動的構成)」と「Manual Configuration(手動構成)」の 2 つのオプションがあります。
Dynamic Configuration(動的構成)
これは推奨される最も簡単なオプションです。動的構成では、アプリケーションに関連付けられたメタデータ URL(以前に設定した SSO URL と Entity ID に基づいて生成)を入力するだけです。設定ウィザードに、IdP 内のどこでこの URL を確認できるかが表示されます。
Manual Configuration(手動構成)
その名のとおり、手動構成は追加の作業が必要になります。使用する IdP に応じて、対応する SSO URL、IdP Issuer(発行者)、および x.509 証明書を入力する必要があります。
IdP-Initiated Login(IdP 主導のログイン)
ユーザーがダッシュボードのタイルをクリックするだけで自動認証されるようにしたい場合、セットアップの一環として IdP 主導の認証を設定できます。正確な手順は IdP によって異なりますが、一般的には次の形式の提供 URL を使用します。
例として、Okta ではこの URL を使用して新しいブックマークアプリケーションを作成する手順が案内されます。
一方、Entra ID では提供された Sign on URL(サインオン URL)を該当するフォームに入力できます。
重要:正常に動作している SSO 接続をリセットすると、これらの URL 値は変更されます。
そのため、新しい接続を設定する際には Sign on URL(サインオン URL)も更新する必要があります。更新しない場合、タイルからの認証ができなくなります。
セットアップの完了
IdP メタデータの設定が完了したら、「Continue(続行)」をクリックして、任意のブックマークアプリの設定に進むことができます。最終的な必須設定は「Test Single Sign-On(シングルサインオンのテスト)」ページで行います。
「Continue to sign-in(サインインに進む)」をクリックすると、ウィザードが新しい接続のテストを実行します。問題なく成功すれば、API プラットフォーム組織で SSO が有効化されます。設定ページにも、この変更が反映されていることを確認できます。
IdP グループ内のユーザーは、Enterprise ワークスペースでメンバー登録済みまたは招待済みであれば、SSO を使用してログインできるようになります。
ユーザーは platform.openai.com にアクセスし、メールアドレスを入力すると、IdP にリダイレクトされ認証が行われます。
また、セットアップ時に(任意で)設定したブックマークタイルの URL を使用することもできます。
ユーザーが正常に認証できず、設定を元に戻す際にも問題が生じる場合には、早急なサポートが必要となるため、サポートまでお問い合わせください。
API プラットフォームで SSO を有効にすると、そのドメインを持つすべてのユーザーにドメイン認証が適用されることに注意してください。つまり、ユーザーが Enterprise 組織に属していない場合でも、個人の組織にアクセスするには IdP グループに属している必要があることを意味します。
ログインのトラブルシューティング
SSO を有効化した後にログインで問題が発生した場合は、FAQ とトラブルシューティングのページをご確認いただくと、一般的なエラーの特定に役立ちます。解決に至らない場合は、遠慮なくサポートまでお問い合わせください。