이 문서는 ChatGPT 및 API 플랫폼의 SSO를 구성하는 방법을 안내합니다.

사전 요구 사항

SSO를 설정하려면 다음 요구 사항을 충족해야 합니다.

글로벌 관리자 콘솔이 포함된 OpenAI 플랜 사용
글로벌 관리자 되기

계속 진행하기 전에 SSO 개요 및 사용자 관리 문서 페이지를 검토하여 SSO 아키텍처를 숙지하세요.

이전에 API 플랫폼 조직이나 ChatGPT 워크스페이스에 SSO를 구성했다면 OpenAI ID 페이지에서 SSO 설정을 이미 구성할 수 있습니다. SSO를 활성화하려는 워크스페이스나 조직이 글로벌 관리자 콘솔에 표시되지 않으면 support@openai.com으로 문의하세요.

⚠️ SSO가 올바르게 설정되어 있지 않으면 사용자가 잠금 상태가 될 수 있습니다!

설정이 잘못되어 있으면 SSO가 필수로 설정된 조직 및 워크스페이스에서 사용자가 잠길 수 있습니다. 글로벌 관리자는 관리자 포털에서 SSO를 선택 사항으로 유지하는 것이 좋습니다.

설정 중에는 두 개의 로그인된 창을 열어 두세요.

하나는 시크릿 창으로 로그인
다른 하나는 일반 브라우저로 로그인

이를 통해 한 창에서 로그인 및 SSO/도메인 인증 설정을 테스트하고, 필요 시 다른 창에서 변경 사항을 되돌릴 수 있습니다.

SSO 테스트

사용자에게 영향을 주지 않고 설정 과정을 테스트하려면 여기의 애플리케이션을 사용할 수 있습니다.

이 테스트 애플리케이션에서 연결을 성공적으로 완료해도 프로덕션 조직과 연결되지 않으며 설정도 저장되지 않습니다. 따라서 준비가 되면 동일한 파라미터를 프로덕션 인스턴스에서 다시 사용할 수 있습니다. 즉, 요구 사항을 숙지하여 누락된 전제 조건을 해결하는 동시에 샌드박스 또는 플레이그라운드로 안전하게 사용할 수 있습니다.

SSO 활성화하기

시작하려면 글로벌 관리자 콘솔에서 OpenAI ID 페이지로 이동하세요. ChatGPT의 '워크스페이스 관리' 설정 아래 있는 'ID 및 프로비저닝' 페이지의 링크 또는 API 플랫폼 조직 설정의 ID 탭에서도 이 페이지로 이동할 수 있습니다.

아래 예시는 Okta 기준으로 설명하지만, 동일한 로직은 모든 SAML IdP에 적용됩니다.

도메인 인증

SSO를 활성화하려면 먼저 최소 하나의 도메인을 인증해야 합니다.

중요: 도메인 인증이 해당 도메인을 사용하는 사용자에게 미칠 수 있는 후속 영향도 반드시 검토하세요.

“+ 도메인 추가” 버튼을 클릭하고 DNS를 입력하여 시작하세요.

Verify a new domain dialog with example.com entered and Submit available

제출 후 도메인 소유권을 확인하기 위한 키가 제공됩니다. DNS 제공업체로 이동하여 제공된 값으로 TXT 레코드를 추가하세요.

인증이 성공하려면 DNS 조회를 통해 TXT 레코드에 접근할 수 있어야 합니다.

DNS 제공업체에서 설정을 완료한 후 설정 페이지로 돌아가 “확인” 버튼을 클릭하세요. 도메인 소유권이 성공적으로 확인되면 상태가 “인증됨”으로 업데이트됩니다.

Domain management page with company.abc listed as Verified

관리자 포털당 최대 99개의 검증된 도메인을 추가할 수 있으며, 도메인이 만료로 표시되기 전에 검증을 완료할 수 있도록 7일의 기간이 제공됩니다. 도메인은 하나의 관리자 포털에서만 검증할 수 있습니다. 관리자 포털에 없는 조직이나 워크스페이스에서 동일한 도메인을 검증해야 하는 경우 지원팀에 문의하세요.

애플리케이션 구성하기

도메인을 성공적으로 인증한 후 IdP 애플리케이션을 구성하여 SSO 설정을 진행할 수 있습니다.

시작하려면 "SSO 설정" 버튼을 클릭하세요.

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

ID 공급자 선택하기

SAML 통합을 기본으로 지원하는 주요 IdP 목록에서 선택할 수 있습니다. 목록에 IdP가 없거나 OIDC 연결을 사용하려면 하단에 표시된 해당 사용자 지정 연결 버튼을 선택하세요.

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

애플리케이션 생성/연결

이제 단계별 구성 마법사를 따라 IdP 애플리케이션을 생성하고 연결할 수 있습니다. 사용 중인 IdP에 따라 지침이 약간 달라질 수 있지만 전반적인 설정 과정은 동일합니다.

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

생성 단계에서 제공되는 URL은 조직마다 고유합니다.

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

중요: 정상적인 SSO 연결을 재설정하면 URL 값이 변경됩니다. SSO를 다시 설정할 때 애플리케이션에서도 해당 값을 반드시 업데이트해야 합니다.

URL 설정을 완료하면 애플리케이션을 통해 인증되는 사용자에 대한 속성 매핑을 정의할 수 있습니다.

속성 매핑

SSO 애플리케이션에 정의한 속성 매핑은 어떤 OpenAI 계정이 인증되고 사용자가 OpenAI 제품에서 어떻게 나타나는지를 결정합니다. 현재 사용자 모델은 다음 세 가지 속성을 지원합니다.

이메일 주소(SAML 응답에서 필수이며, 액세스할 계정을 결정)
이름(선택 사항이지만 권장)
성(선택 사항이지만 권장)

참고: SAML 응답 복호화는 지원하지 않습니다. 속성을 올바르게 식별할 수 있도록 응답 또는 어설션을 암호화하지 않았는지 확인하세요.

IdP에 따라 정확한 속성 매핑은 달라집니다. 설정 마법사에 표시된 IdP별 정확한 매핑을 따르는 것을 권장합니다. 예를 들어, Okta의 경우 다음과 같습니다.

새 사용자가 이메일 주소가 표시 이름으로 설정된 상태로 생성된다면 속성 매핑을 검토하고 응답을 암호화하지 않았는지 확인하세요.

또는 새 사용자에게 이름과 생년월일 입력을 요구한다면 속성 응답에서 올바른 이름 값을 식별하지 못하고 있음을 의미할 수 있습니다.

이메일 변경

간혹 IdP에서 사용자의 이메일 주소가 변경될 수 있습니다. 예를 들어,

결혼 후 법적 이름 변경
회사 인수로 인해 새 도메인을 사용하는 경우
등

이로 인해 SSO SAMLResponse에서 이메일 주소 클레임의 값이 변경되면, SSO에 성공하면 새로운 이메일 주소에 연결된 다른 OpenAI 사용자에게 접근합니다(이전에 존재하지 않았을 경우 생성됨). 이 사용자는 원래 사용자와는 다른 조직 또는 워크스페이스에 초대해야 합니다.

기본 이메일 주소

일부 경우 사용자가 여러 개의 이메일 주소를 가질 수 있습니다. 이는 분산된 메일 시스템을 사용하는 대기업이나 여러 학교를 가진 Edu 고객에게 흔한 상황입니다. 예를 들어,

이 경우 SAML 응답의 속성에 단일 이메일 주소만 포함되도록 권장합니다. 여러 이메일이 포함되면 신규 또는 기존 사용자와 연결하는 과정에서 혼란이 발생할 수 있습니다.

또한 사용자가 고정된 이메일 주소(예: UPN)를 가지고 있다면 이를 속성 매핑에 사용하는 것이 좋습니다. 그러면 다른 이메일 주소가 변경되더라도 안정적인 OpenAI 사용자 계정을 유지할 수 있습니다.

IdP 애플리케이션 액세스 프로비저닝

속성 매핑을 성공적으로 생성하면 마법사가 원하는 그룹을 통해 적절한 사용자에게 액세스를 프로비저닝하는 단계를 안내합니다.

모범 사례를 보려면 사용자 관리에 대한 권장 사항을 검토하세요.

IdP 메타데이터 설정

이 단계에서는 IdP 메타데이터를 정의하는 두 가지 옵션인 동적 구성과 수동 구성을 선택할 수 있습니다.

동적 구성

이는 권장되며 가장 간단한 옵션입니다. 동적 구성을 사용하면 애플리케이션과 연결된 메타데이터 URL(이전에 구성한 SSO URL과 엔티티 ID로 채워짐)만 제공하면 됩니다. 설정 마법사가 IdP에서 해당 URL을 찾는 위치를 안내합니다.

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

수동 구성

이름에서 알 수 있듯이 수동 구성은 더 많은 작업이 필요합니다. IdP에 따라 해당 SSO URL, IdP 발급자, 그리고 x.509 인증서를 입력해야 합니다.

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

IdP 시작 로그인

사용자가 대시보드의 타일을 클릭해 자동으로 인증되도록 하려면 설정 과정에서 IdP 시작 인증을 구성할 수 있습니다. 구체적인 과정은 IdP에 따라 다르지만 일반적으로 다음 형식의 URL을 사용합니다.

ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
API 플랫폼: https://platform.openai.com/enterprise/conn_01ABC02DEF/login

예를 들어 Okta는 이 URL을 사용해 새 북마크 애플리케이션을 생성하도록 안내합니다.

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

반면 Entra ID는 제공된 “로그인 URL”을 해당 양식에 입력할 수 있도록 합니다.

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

중요: 정상적인 SSO 연결을 재설정하면 URL 값이 변경됩니다.

즉, 새 연결을 구성할 때 로그인 URL도 함께 업데이트하지 않으면 사용자가 타일을 통해 인증할 수 없습니다.

설정 완료하기

IdP 메타데이터 구성을 완료하면 “계속”을 클릭하여 선택적 북마크 앱 설정을 진행할 수 있습니다. 마지막 필수 구성 단계는 “단일 로그인 테스트” 페이지에서 진행됩니다.

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

“로그인으로 계속”을 클릭하면 마법사가 새 연결을 테스트합니다. 모든 단계에 성공하면 SSO가 활성화됩니다. 이제 구성 페이지에 해당 내용이 반영된 것을 확인할 수 있습니다.

OpenAI Single Sign-On test succeeded confirmation page

Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

IdP 그룹에 속한 사용자는 해당 계정이나 초대장이 있으면 이제 SSO로 로그인할 수 있습니다.

사용자가 chatgpt.com 또는 platform.openai.com으로 이동하여 이메일을 입력하고, IdP로 리디렉션된 후 인증을 완료합니다.
설정 과정에서 선택적으로 구성한 북마크 타일 URL을 사용할 수도 있습니다.

사용자가 인증에 실패하고 변경 사항을 되돌리는 데 문제가 발생하면 즉시 지원팀에 문의하세요.

API Platform에서 SSO를 활성화하면 해당 도메인을 사용하는 모든 사용자에게 도메인 인증이 적용된다는 점을 기억하세요. 즉, 사용자가 Enterprise 조직에 속해 있지 않더라도 개인 조직에 액세스하려면 IdP 그룹에 포함되어 있어야 합니다.

로그인 문제 해결하기

SSO 활성화 후 로그인 문제가 발생하면 자주 묻는 질문 및 문제 해결 페이지를 검토하여 일반적인 오류를 확인하세요. 충분한 답변을 찾지 못하면 지원팀에 문의하세요.

SSO 구성하기