OpenAI

SSO 개요

SSO의 고급 개요 및 ChatGPT 및 플랫폼에서의 상호 작용 방식

마지막 수정: 11 hours ago

목적

이 가이드는 관리자와 IT 팀이 ChatGPT 또는 플랫폼 계정에서 SSO를 구성하기 전에 고려해야 할 필수 정보를 제공하기 위해 마련되었습니다. SSO는 Business, Enterprise, Edu 고객에게 제공됩니다.

기초적인 구조 체계와 용어

SSO는 현재 ChatGPT와 API 플랫폼 모두에서 SAML 인증을 통해 지원됩니다.

  • 워크스페이스는 ChatGPT의 인스턴스를 의미합니다.

  • 조직은 API 플랫폼 인스턴스를 의미합니다.

  • ID 공급자(IdP)는 디지털 ID를 관리하는 데 사용되는 서비스를 의미합니다. OpenAI는 SAML을 지원하는 모든 IdP와의 연결을 지원합니다. 연결이 지원되는 가장 일반적인 IdP는 다음과 같습니다.

    • Okta

    • Azure Active Directory/Entra ID

    • Google Workspace

    • Duo

지원되는 IdP의 전체 목록을 보려면 WorkOS의 통합 페이지를 참조하세요. 이 페이지에 있는 서드파티 통합 중 SAML 또는 OIDC를 통해 연결할 수 있는 모든 통합이 지원됩니다.

현재 모든 ChatGPT 워크스페이스에는 연결된 각각의 플랫폼 조직이 있습니다. 이는 Enterprise 플랫폼 "일반" 페이지에 있는 조직 ID(org-id)가 Enterprise ChatGPT 워크스페이스에 연결된 조직 ID(org-id)와 동일하다는 것을 의미합니다. 결과적으로, 워크스페이스와 조직은 동일한 인증 계층을 공유합니다.

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

이 구조 체계의 결과로 주목해야 할 몇 가지 주요 사항이 있습니다.

  1. 하나의 조직 ID(org-id)는 하나의 IdP 구성만 지원할 수 있습니다.

  2. 도메인 검증 및 SAML SSO 설정은 ChatGPT와 API 플랫폼 간에 공유됩니다.

  3. SSO는 ChatGPT와 API 플랫폼에서 각각 별도로 활성화해야 합니다. 하지만 한 쪽에 SSO를 구성하면 다른 쪽의 "설정"은 IdP에서 주로 스위치를 전환하고 필요에 따라 북마크 앱을 추가하는 것뿐입니다.

SSO 시작하기

계정에서 SSO를 구성하기 전에 OpenAI의 SSO 기능에 대한 몇 가지 핵심 개념을 이해하는 것이 중요합니다.

일반적인 개념 용어

프로비저닝
OpenAI가 사용자와 관련하여 프로비저닝을 언급할 때는 특히 초대장의 프로비저닝을 의미합니다. 하지만 사용자 계정 생성을 위한 프로비저닝을 직접 지원하지는 않습니다. 다음 방법으로 초대장을 프로비저닝할 수 있습니다.

  1. SCIM(ChatGPT SCIM 통합API 플랫폼 SCIM 통합 모두에서 지원됨)

  2. ChatGPT의 "멤버" 페이지 또는 API 플랫폼

  3. 자동 계정 생성

  4. 초대 API

초대장 프로비저닝은 SSO에서 수행하는 인증과는 별개의 단계입니다.

인증: “본인이 맞는지 여부 확인”

예를 들어, IdP가 사용자를 인증하여 OpenAI 서비스에 로그인할 때 해당 사용자가 본인인지 확인할 수 있도록 합니다.

권한 부여: “사용자가 수행하거나 볼 수 있는 사항”

예를 들어, IdP가 사용자를 인증한 후 OpenAI는 사용자가 어느 ChatGPT 워크스페이스의 멤버인지 파악합니다.

OpenAI SSO 설정에 대해 알아보기

도메인 검증
SSO 및 자동 계정 생성을 활성화하기 위한 전제 조건입니다. 기본적으로 “이 도메인 소유 여부를 확인”하는 것입니다.

  1. chatgpt.com 또는 platform.openai.com을 통해 로그인하면, SSO가 설정된 경우 검증된 도메인은 사용자를 OpenAI의 비밀번호 페이지로 연결할지 해당 IdP로 연결할지를 결정합니다.

  2. 도메인이 워크스페이스에서 검증되면, 해당 도메인의 이메일을 사용하고 워크스페이스에 초대된 사용자가 다음에 로그인할 때 개인 계정을 통합하라는 메시지가 표시됩니다.

  3. ChatGPT 인증은 도메인 및 워크스페이스를 기반으로 수행됩니다. 도메인이 검증되고 워크스페이스에서 SSO가 활성화되어 있으면, 해당 도메인을 공유하는 워크스페이스의 사용자만 SSO로 라우팅됩니다. 도메인을 공유하지만 워크스페이스에 속하지 않은 사용자(즉, 도메인의 Free, Plus, Pro 또는 Team 계정 사용자)는 이메일/비밀번호 또는 소셜을 통해 계속 로그인할 수 있습니다.

  4. 플랫폼 인증은 도메인을 기반으로 수행됩니다. 도메인이 검증되고 SSO가 활성화되어 있으면, 해당 도메인 아래의 모든 플랫폼 사용자는 비밀번호로 로그인할 수 없게 됩니다. 자세한 내용은 아래의 "ChatGPT와 API 플랫폼의 도메인 검증"을 참조하세요.

  5. 하위 도메인은 최상위 도메인과 별도로 검증해야 합니다.

도메인 검증을 성공적으로 처리하기 위해서는 DNS 조회를 통해 TXT 레코드를 읽을 수 있어야 합니다.

(ChatGPT에만 해당) 자동 계정 생성(AAC)
ChatGPT 워크스페이스에서 활성화되어 있는 경우, 이메일이 검증된 도메인과 일치하는 신규 사용자는 회원 가입 시 자동으로 Enterprise 워크스페이스 초대를 받습니다. SCIM을 사용하는 경우 AAC를 활성화하는 것을 권장하지 않습니다.

(ChatGPT에만 해당) 외부 도메인 초대 허용
이 설정은 검증되지 않은 도메인의 사용자가 워크스페이스에 초대될 수 있는지를 제어합니다. SSO 설정은 검증된 도메인에 속한 사용자에게만 적용되므로 외부 도메인의 사용자는 SSO를 통해 로그인할 필요가 없습니다.

SSO 활성화
이 설정은 구성된 SSO 설정을 워크스페이스 및/또는 조직에 적용할지를 결정합니다.

SSO 강제 적용

이 설정을 비활성화하면 검증된 도메인의 사용자가 SSO 또는 소셜 로그인을 통해 로그인할 수 있습니다.

글로벌 관리자는 관리자 콘솔의 SSO 관리 페이지에서 ChatGPT와 API 플랫폼 모두에 대해 SSO 강제 적용을 필수로 설정할 수 있습니다. 이 설정을 활성화하면 검증된 도메인의 사용자는 SSO가 활성화된 워크스페이스나 조직에 SSO를 통해서만 로그인할 수 있습니다. 비밀번호와 소셜 인증은 해당 워크스페이스/조직에 더 이상 유효하지 않지만, 도메인이 검증되지 않은 다른 워크스페이스/조직에는 여전히 사용할 수 있습니다.

ChatGPT와 API 플랫폼의 도메인 검증

앞서 언급한 바와 같이, 도메인 검증은 공유된 ChatGPT 및 플랫폼 인스턴스 전반에 걸쳐 적용됩니다. 그러나 SSO가 활성화된 경우, 도메인 검증이 ChatGPT와 플랫폼의 로그인에 미치는 영향에는 중요한 차이가 있습니다.

API 플랫폼에서 SSO는 전적으로 도메인을 기반으로 합니다. 이는 어느 조직에서든 도메인 검증이 완료되고 SSO가 활성화되면, 해당 도메인의 모든 사용자는 비밀번호로 로그인할 수 없게 된다는 의미입니다. 소셜 인증 방법이 없으면, 이러한 사용자는 IdP 액세스 그룹에 속하지 않는 한 해당 조직에서 차단됩니다.

반면, ChatGPT에서는 도메인이 검증된 워크스페이스에 속한 사용자에게만 영향을 줍니다. IdP의 액세스 그룹에 속하지 않은 사용자도 다음 섹션에 설명된 방법을 사용하여 워크스페이스에 로그인할 수 있습니다.

사용자 로그인 경험

OpenAI는 다음과 같은 세 가지 인증 방법을 지원합니다.

  1. 사용자 이름 + 비밀번호

  2. Microsoft/Google/Apple을 통한 소셜 인증

  3. SSO

사용자가 ChatGPT에 로그인하는지 API 플랫폼에 로그인하는지, 사용자의 도메인이 검증되었는지, 그리고 해당 워크스페이스/조직에 SSO를 강제 적용했는지에 따라 동작이 달라질 수 있음에 유의하세요.

SP(서비스 공급자)-실행 로그인

모든 사용자가 chatgpt.com 또는 platform.openai.com으로 직접 이동하여 로그인할 수 있습니다. 이 옵션을 사용하면 아래와 같은 다양한 인증 방법이 활성화될 수 있습니다.

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

사용자가 여러 워크스페이스에 속해 있으며 그 중 하나의 도메인에 SSO가 활성화된 경우, 로그인할 워크스페이스를 선택하라는 메시지가 표시됩니다.

ChatGPT SP-실행 로그인

입력된 이메일이 도메인이 검증된 워크스페이스에 속하는 경우 사용자는 인증을 위해 IdP로 연결됩니다. 그렇지 않으면 사용자는 비밀번호를 입력하여 로그인해야 합니다.

사용자가 여러 워크스페이스에 속해 있으며 그 중 하나 이상의 도메인에 SSO가 활성화된 경우, 로그인 방법을 선택하라는 메시지가 표시됩니다.

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

참고: 특정 워크스페이스에 "SSO 강제 적용"이 활성화된 경우, 검증된 도메인의 사용자는 SSO를 통해서만 로그인할 수 있습니다. 소셜 및 비밀번호 인증은 사용할 수 없습니다.

플랫폼 SP-실행 로그인

앞서 언급했듯이, 검증된 도메인의 사용자가 플랫폼 로그인 페이지에 이메일을 입력하면 인증을 위해 항상 IdP로 연결됩니다.

플랫폼에서 SSO를 활성화하기 전에 확실하게 이해해야 하는 이유가 바로 이것입니다. 그렇지 않으면 개인 계정에서 플랫폼 사용자를 실수로 잠글 수 있습니다.

IdP 시작 로그인

각 ID 페이지에서 SSO를 구성할 때, ChatGPT와 API 플랫폼에 대해 제공된 고유한 타일 URL을 찾을 수 있습니다.

이 타일 URL은 IdP 내에서 구성할 수 있으며 사용자가 한 번의 클릭으로 자동 로그인/인증할 수 있도록 합니다.

다음 단계

이제 OpenAI의 구조 체계에 대한 기초를 잘 이해하셨으니 "이상적인 사용자 관리 설정 이해하기" 페이지로 이동하여 귀사의 사용 사례에 적합한 구현을 결정하세요. 이어서, 계정 내에서 SSO 및 SCIM을 구성하는 방법을 안내해 드리겠습니다.

이 문서가 도움이 되었나요?