前提条件
SSO を設定するには、以下が必要です。
グローバル管理者コンソールが含まれる OpenAI プランに登録している
グローバル管理者である
作業を進める前に、SSO の概要とユーザー管理に関するドキュメントを確認し、SSO の構成を理解していることを確認してください。API プラットフォームの組織または ChatGPT ワークスペースで以前に SSO を設定したことがある場合、SSO 設定はすでに OpenAI Identity ページで設定可能な状態になっているはずです。SSO を有効にするワークスペースまたは組織がグローバル管理コンソールに表示されていない場合は、support@openai.com までお問い合わせください。
⚠️ SSO が正しく設定されていない場合、ユーザーがログインできなくなります。
設定が間違っていると、SSO が必須に設定されている組織やワークスペースにユーザーがログインできなくなる可能性があります。そのため、グローバル管理者の方は、管理者ポータルで SSO 設定を「Optional(任意)」の状態にしておくことを強く推奨します。
設定中は、ログイン済みのウィンドウを2つ、別々に開いたままにしておいてください。
1 つはシークレットウィンドウでログインしたもの
もう 1 つは通常のブラウザでログインしたもの
これにより、一方のウィンドウでログイン動作や SSO/ドメイン検証の設定をテストし、必要に応じてもう一方のウィンドウから設定を元に戻すことができます。
SSO のテスト
ユーザーに影響を与えることなく設定プロセスをテストしたい場合は、こちらのアプリケーションでテストできます。
このテストアプリケーションで接続に成功しても、本番組織には反映されず、設定も保存されません(そのため、準備ができた段階で本番環境インスタンスで同じパラメータを再利用できます)。つまり、このアプリケーションは要件の確認や不足している前提条件の洗い出しを行う際のサンドボックス/プレイグラウンド環境として安全に利用できます。
SSO を有効にする
開始するには、グローバル管理者コンソールから OpenAI Identity ページに移動します。このページへは、ChatGPT の「Manage Workspace(ワークスペースを管理する)」設定内にある「Identity & Provisioning(ID とプロビジョニング)」ページのリンク、または API プラットフォームの組織設定にある「Identity(ID)」タブからもアクセスできます。
以下の例では Okta を使用した設定画面を示していますが、同じ手順はすべての SAML 対応 IdP に適用できます。
ドメインの検証
SSO を有効にするには、まず最低 1 つのドメインを検証する必要があります。
重要:ドメイン検証が、そのドメインを使用するユーザーに生じうる後続の影響についても確認してください。
「+ Add Domain(ドメインを追加)」ボタンをクリックし、DNS 情報を入力して開始します。
送信後、ドメインの所有権を確認するためのキーが提供されます。DNS プロバイダーに移動し、指定された値で TXT レコードを追加します。
検証を成功させるには、この TXT レコードが DNS ルックアップで参照可能である必要があります。
DNS プロバイダー側で設定を完了したら、セットアップページに戻り、「Check(確認する)」ボタンをクリックします。ドメイン所有が正常に検証されると、ステータスが「Verified(検証済み)」に更新されます。
管理者ポータルあたり最大99個のドメインを検証できます。ドメインが期限切れになる前に検証を完了するため、7日間の猶予期間が設けられています。ドメインは 1 つの管理者ポータルでのみ検証可能です。管理者ポータルに含まれていない組織またはワークスペースで同じドメインを検証する必要がある場合は、サポートにお問い合わせください。
アプリケーションの設定
ドメインの検証が完了したら、IdP アプリケーションを設定して SSO のセットアップを進めることができます。
まず、「Set up SSO(SSO を設定)」ボタンをクリックします。
ID プロバイダーの選択
SAML 連携をネイティブにサポートする主要な IdP のリストから選択できます。リストに IdP が表示されない場合や、OIDC 接続を使用したい場合は、画面下部の該当するカスタム接続ボタンを選択できます。
アプリケーションの作成/接続
ステップバイステップの設定ウィザードに従って、IdP アプリケーションを作成し、OpenAI と接続できます。使用する IdP によって指示が多少異なる場合がありますが、基本的なセットアップ手順は同じです。
作成ステップで表示される URL は、組織ごとに固有であることに注意してください。
重要:正常な SSO 接続をリセットすると URL 値は変わります。再設定する際は、必ずアプリケーション側でもそれらを更新してください。
URL の設定が完了したら、アプリケーションを通じて認証されるユーザーの属性マッピングを定義します。
属性マッピング
SSO アプリケーションで定義した属性マッピングは、最終的にどの OpenAI アカウントが認証されるか、またユーザーが OpenAI 製品でどのように表示されるかを決定します。現在のユーザーモデルは、以下の3つのプロパティをサポートしています。
メールアドレス(SAML レスポンスで必須、アクセスするアカウントを決定します)
名(任意ですが推奨)
姓(任意ですが推奨)
注:当社は SAML レスポンスの復号化には対応していません。属性を正しく特定できるよう、レスポンスやアサーションを暗号化しないようにしてください。
属性マッピングの内容は、使用する IdP によって異なります。設定ウィザードに表示される IdP ごとの推奨マッピングに従うことを推奨します。例:Okta の場合:
新規ユーザーのメールアドレスが表示名として設定されている場合、属性マッピングを確認し、SAML 応答が暗号化されていないことをご確認ください。
また、新規ユーザーが名前や生年月日の入力を求められる場合は、属性レスポンスから適切な名前の値を取得できていない可能性があります。
メールアドレスの変更
IdP 側でユーザーのメールアドレスが更新されることがあります。例:
結婚による氏名変更
会社が買収され、新しいドメインに変更された場合
など。
SSO のSAML レスポンスにおける「emailaddress」クレームの値を変更すると、SSO 認証の成功時に、新しいメールアドレスに紐付いた別の OpenAI ユーザーとしてアクセスされます(既存のユーザーがいない場合は新規作成されます)。このユーザーは、元のユーザーとは別に、組織またはワークスペースへ招待する必要があります。
プライマリメールアドレス
場合によっては、複数の異なるメールアドレスを持つユーザーが存在することがあります。これは、大規模企業で分散したメールシステムを使用している場合や、複数の学校を持つ教育機関のお客様によく見られるケースです。例:
このような場合、SAML レスポンスの属性に含めるメールアドレスを 1 つに統一することを推奨します。複数のメールアドレスが含まれていると、新規ユーザーまたは既存ユーザーに紐づける際に混乱を招く可能性があります。
また、ユーザーが静的なメールアドレス(例:UPN)を持っている場合は、それを属性マッピングで使用することを推奨します。他のメールアドレスが変更されても、OpenAI のユーザーアカウントが影響を受けないようにするためです。
IdP アプリケーションアクセスのプロビジョニング
属性マッピングが正常に作成されると、ウィザードが、指定したグループを通じて該当ユーザーにアクセス権を付与する手順を案内します。
ベストプラクティスについては、ユーザー管理に関する推奨事項をご確認ください。
IdP メタデータの設定
この段階では、IdP メタデータを定義する方法として「Dynamic Configuration(動的構成)」と「Manual Configuration(手動構成)」の 2 つのオプションがあります。
Dynamic Configuration(動的構成)
これは推奨される最も簡単なオプションです。動的構成では、アプリケーションに関連付けられたメタデータ URL(以前に設定した SSO URL と Entity ID に基づいて生成)を入力するだけです。設定ウィザードに、IdP 内のどこでこの URL を確認できるかが表示されます。
Manual Configuration(手動構成)
その名のとおり、手動構成は追加の作業が必要になります。使用する IdP に応じて、対応する SSO URL、IdP Issuer(発行者)、および x.509 証明書を入力する必要があります。
IdP-Initiated Login(IdP 主導のログイン)
ユーザーがダッシュボードのタイルをクリックするだけで自動認証されるようにしたい場合、セットアップの一環として IdP 主導の認証を設定できます。正確な手順は IdP によって異なりますが、一般的には次の形式の提供 URL を使用します。
ChatGPT:https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API プラットフォーム:https://platform.openai.com/enterprise/conn_01ABC02DEF/login
例として、Okta ではこの URL を使用して新しいブックマークアプリケーションを作成する手順が案内されます。
一方、Entra ID では提供された Sign on URL(サインオン URL)を該当するフォームに入力できます。
重要:正常に動作している SSO 接続をリセットすると、これらの URL 値は変更されます。
そのため、新しい接続を設定する際には Sign on URL(サインオン URL)も更新する必要があります。更新しない場合、タイルからの認証ができなくなります。
セットアップの完了
IdP メタデータの設定が完了したら、「Continue(続行)」をクリックして、任意のブックマークアプリの設定に進むことができます。最終的な必須設定は「Test Single Sign-On(シングルサインオンのテスト)」ページで行います。
「Continue to sign-in(サインインに進む)」をクリックすると、ウィザードが新しい接続のテストを実行します。問題なく成功すれば、SSO が有効化されます。設定ページにも、この変更が反映されていることを確認できます。
IdP グループ内のユーザーは、アカウント登録済みまたは招待済みであれば、SSO を使用してログインできるようになります。
ユーザーは chatgpt.com または platform.openai.com にアクセスし、メールアドレスを入力すると、IdP にリダイレクトされ認証が行われます。
また、セットアップ時に(任意で)設定したブックマークタイルの URL を使用することもできます。
ユーザーが正常に認証できず、設定を元に戻す際にも問題が生じる場合には、早急なサポートが必要となるため、サポートまでお問い合わせください。
API プラットフォームで SSO を有効にすると、そのドメインを持つすべてのユーザーにドメイン認証が適用されることに注意してください。つまり、ユーザーが Enterprise 組織に属していない場合でも、個人の組織にアクセスするには IdP グループに属している必要があることを意味します。
ログインのトラブルシューティング
SSO を有効化した後にログインで問題が発生した場合は、FAQ とトラブルシューティングのページをご確認いただくと、一般的なエラーの特定に役立ちます。解決に至らない場合は、遠慮なくサポートまでお問い合わせください。