全般

Enterprise／Edu プランと Business プランにおける SSO の機能上の違いは何ですか？

Business SSO がセルフサービス型であることに加え、機能上の違いには次が挙げられます。

• Business プランでは SCIM／AD グループ同期を利用できないため、すべてのユーザーのプロビジョニングとデプロビジョニングを手動で行う必要があります。

• 対象範囲：Business SSO は ChatGPT のみに適用され、platform.openai.com には適用されません。これは Enterprise／Edu における SSO とは異なります。Enterprise／Edu では、必要に応じて SSO を ChatGPT と Platform の両方に適用できます。

• アカウント移行：Enterprise／Edu では、検証済みドメイン上のユーザーに対し、一致するコンシューマーアカウントの移行または削除が強制されます。ChatGPT Business プランのユーザーは、個々のユーザーレベルでアカウント移行を行うことができますが、Business プランのワークスペース管理者はこれを強制することはできません。

ChatGPT Business はどの SSO プロトコルに対応していますか？

SAML と OIDC です。

IdP、SSO、SP とは、それぞれ何を意味しますか？

• ID プロバイダー（IdP）：デジタルアイデンティティを管理するために使用するサービスを指します。

• シングルサインオン（SSO）：一元管理された1つの IdP ログインで、ユーザーは認証情報を再入力せずに、リンク済みのすべてのアプリにアクセスできます。

• サービスプロバイダー（SP）– ChatGPT： IDP のトークンを信頼してユーザーにアクセス権を付与するアプリ（例：ChatGPT）を指します。

Business ワークスペースの SSO はどこで設定できますか？

https://chatgpt.com/admin/identity にある ChatGPT Business ワークスペースの設定の「ID とプロビジョニング」タブで、ワークスペースの設定を行えます。

1. 検証済みドメイン

2. ID 管理

Business プランのワークスペースで、SCIM プロビジョニングやデプロビジョニングのディレクトリ同期を設定するにはどうすればよいですか？

SCIM のディレクトリ同期が必要な場合は、ChatGPT Enterprise にアップグレードしてください。

SSO を有効化するには、ドメインを検証する必要がありますか？

はい。ドメイン検証により、ID プロバイダー（IdP）とフェデレーション連携する予定のメール名前空間を所有していることが確認されます。少なくとも1件のドメインが検証されるまで、SSO 設定は無効となります。

ドメインの検証には追加料金がかかりますか？

いいえ、追加料金はかかりません。ドメイン検証は、ChatGPT Business のすべてのサブスクリプションに含まれています。

SSO を有効にしようとすると「ドメインはすでに別のワークスペースで検証済みです」と表示されるのはなぜですか？

ドメインが Enterprise（または他の Business、または他の API Platform の SSO インスタンス）ワークスペースによってすでに所有されている場合、Business のウィザードでエラーが発生します。

ワークスペースの統合に関するご相談は、弊社の「営業担当へのお問い合わせ」フォームを通じて、貴社の IT チームから OpenAI の営業チームにお問い合わせください。OpenAI の営業チームへのお問い合わせ方法をご覧ください。

自分の IdP に登録されていない業務委託者や外部の協力者を招待することはできますか？

はい。外部ドメインの招待を許可することで、それらのユーザーや外部の協力者を ChatGPT Business ワークスペースに招待できます。

今後、この Business ワークスペースを ChatGPT Enterprise にアップグレードした場合、SSO 設定はどうなりますか？

Enterprise にアップグレードするには、「営業担当へのお問い合わせ」フォーム経由で OpenAI の営業チームにご連絡ください。OpenAI の営業チームへのお問い合わせ方法をご覧ください。

ユーザー全員が SSO 経由で認証しており、接続に失敗した場合、アクセスを回復するにはどうすればよいですか？

この場合、次の2つの選択肢があります。

1. Business ワークスペースの管理者が弊社のサポートチームに連絡し、SSO を無効化するためのサポートを依頼します。管理者は、パスワードまたはソーシャルログイン経由でログインする必要があります。

2. 外部ドメインを許可すると、外部ドメインを使用したバックドア管理者アカウントを実装し、そのアカウントを SSO の強制適用の対象外にすることができます。以降は、ロックアウトされた場合、このユーザー（パスワードまたはソーシャルログインによる認証が必要）を使用してログインできます。

SSO とパスワードによるログインを併用することはできますか？

はい。Business ワークスペースで ChatGPT のみに SSO を 使用している場合、Platform または Intercom にもアクセスする必要があるユーザーは、「パスワードをお忘れですか？」 をクリックして通常のパスワードを設定すれば、引き続きメールアドレスとパスワードでサインインできます。

どの ID プロバイダー（IdP）がサポートされていますか？

ADP OpenID Connect、Auth0 SAML、CAS SAML、ClassLink SAML、Cloudflare SAML、CyberArk SAML、Duo SAML、Entra ID (Azure AD)、Google SAML、JumpCloud SAML、Keycloak SAML、LastPass SAML、Login.gov OpenID Connect、Microsoft AD FS、miniOrange SAML、NetIQ SAML、Okta、OneLogin、Oracle、PingFederate、PingOne、Rippling、Salesforce、Shibboleth Generic SAML、Shibboleth、SimpleSAMLphp SAML、VMware Workspace One がサポートされています。

「カスタム SAML」と「カスタム OIDC」は、いずれもウィザードで選択できます。

ChatGPT Business プランでは、ワークスペースごとに複数の検証済みメールドメインを使用できますか？

はい。

ChatGPT Business プランのワークスペースがまだ無料トライアル中の場合でも SSO を有効にできますか？それとも、支払いが確定するまで有効化はブロックされますか？

現時点では、ChatGPT Business プランに無料トライアルのフローはありません。新規ワークスペースで SSO を有効化するには、その前に1ドルの launch-promo の購入と決済を完了する必要があります。

SSO の全機能は、ユーザー1人につき月額30ドルの ChatGPT Business プラン料金に含まれていますか？それとも、開示すべき隠れた料金（例：接続ごとの料金）がありますか？

はい、Business プランの SSO については、Business プラン自体の基本シート料金以外に別途料金はかかりません。SSO は追加料金なしでご利用になれます。

有効期限が近づいている証明書はどのように処理されますか？

現在、証明書の更新の責任は、Business ワークスペースの管理者および担当の IT チームにあります。OpenAI のサポートチームは、必要な対応があればサポートを提供いたしますが、証明書の更新やローテーションはお客様の IdP で行われることが想定されています。

SSO を設定したワークスペース所有者が1人しかおらず、その人物がアクセス権の引き継ぎを行う前に離職した場合、どのようなフローが推奨されますか？

現在のフローでは退出が制限されています。ワークスペース所有者が1人しかいない場合、その人物は離職する前に所有権を他のメンバーに移管する必要があります。

ユーザーが最初にパスワードでログインし、その後（同じメールアドレスを使って）SSO 経由でログインした場合、会話は自動的に統合されますか？それとも重複するアカウントが作成されますか？

SSO アサーションが同じメールアドレスを返す場合、ChatGPT はそのサインインを既存のプロフィールにリンクします。会話履歴はそのまま保持され、重複するアカウントが作成されることはありません。SSO レスポンスで別のメールアドレスが提供された場合にのみ、新規の（空の）アカウントが作成されます。このマッピングが修正されると、ユーザーの元のアカウント（すべての履歴を含む）を引き続き利用できます。

SSO のシナリオと想定される動作

組織が同じ検証済みドメイン上に Enterprise および Business ワークスペースの両方を所有している場合

Business プランの設定ウィザードがドメインを確認すると、そのドメインは「すでに検証済みです」と表示されます。ドメインを所有しているワークスペース（Enterprise など）は明らかにされず、他のユーザーがすでに検証を完了していることのみが示されます。

2つの別々の Business ワークスペースが1つのドメインを共有している場合

ドメイン認証を所有できるのは、1つの Business ワークスペースのみです。

ワークスペースの統合に関するご相談は、弊社の「営業担当へのお問い合わせ」フォームを通じて、貴社の IT チームから OpenAI の営業チームにお問い合わせください。OpenAI の営業チームへのお問い合わせ方法をご覧ください。

ChatGPT の SSO は有効になっているが Platform の SSO はまだオフになっている場合

ChatGPT の SSO と API Platform の SSO は、それぞれの管理ポータル（ChatGPT および API）で設定する必要があります。

SSO が有効な状態で Business ワークスペースがダウングレードまたはキャンセルされた場合

ここでの解決策として、各ユーザーが再度アクセスできるようにするには、「パスワードを忘れた場合」の手続きを行う必要があります。

Enterprise で SCIM に管理されているユーザーが Business ワークスペースに参加する場合

このシナリオは実現可能であり、サポート対象でもあります。SCIM により、元の招待が設定済みの組織またはワークスペースにプロビジョニングされます。ユーザーが OpenAI システム内に存在するようになると、そのユーザーを他の Business／Enterprise ワークスペースに招待することを妨げるものは何もありません。想定されるこの動作は、Team プラン向けのセルフサービス型 SSO のリリースにより変更されることはありません。

複数のドメインを持つ企業（例：acme.com と acme-intl.com）の場合

Business ワークスペースでは、複数のメールドメインを検証できます。SSO で使用する予定の各ドメインを同じポータルに追加し、それぞれについて検証を完了してください。

Platform ではドメインがすでに検証済みであるものの、ChatGPT では検証されていない場合

ワークスペースの統合に関するご相談は、弊社の「営業担当へのお問い合わせ」フォームを通じて、貴社の IT チームから OpenAI の営業チームにお問い合わせください。OpenAI の営業チームへのお問い合わせ方法をご覧ください。

管理者がドメインの検証を完了する前に離職する場合

ワークスペースには、ドメイン認証を完了できる別の管理者または所有者を必ず設定するようにしてください。