OpenAI
Šis puslapis buvo išverstas mašininiu būdu. Peržiūrėti originalų straipsnį anglų kalba.

SSO apžvalga

Aukšto lygio SSO apžvalga ir jo sąveika tarp ChatGPT ir platformos

Atnaujinta: 10 days ago

Paskirtis

Šis vadovas skirtas administratoriams ir IT komandoms suteikti informaciją, kurią reikia apsvarstyti prieš konfigūruojant SSO savo ChatGPT arba platformos paskyrose. SSO prieinamas Business, Enterprise ir Edu klientams.

Pagrindinė architektūra ir terminija

SSO šiuo metu palaikomas per SAML autentifikaciją tiek ChatGPT, tiek API platformoje.

  • Darbo erdvė reiškia ChatGPT egzempliorių

  • Organizacija reiškia API platformos egzempliorių

  • Tapatybės teikėjas (IdP) reiškia paslaugą, kurią naudojate skaitmeninei tapatybei valdyti. Palaikome ryšius per visus IdP, kurie palaiko SAML. Kai kurie dažniausiai naudojami IdP, su kuriais esame integravęsi:

  • Okta

  • Azure Active Directory / Entra ID

  • Google Workspace

  • Duo

Visą palaikomų IdP sąrašą rasite WorkOS integracijų puslapyje. Palaikome visas šiame puslapyje nurodytas trečiųjų šalių integracijas, prie kurių galima prisijungti per SAML arba OIDC.

Šiuo metu kiekviena ChatGPT darbo erdvė turi su ja susietą platformos organizaciją. Tai reiškia, kad organizacijos ID (org-id), kurį rasite savo Enterprise platformos puslapyje „Bendra“, yra tas pats organizacijos ID (org-id), susietas su jūsų Enterprise ChatGPT darbo erdve. Todėl jūsų darbo erdvė ir organizacija naudoja tą patį autentifikacijos sluoksnį:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Dėl šios architektūros verta atkreipti dėmesį į kelis pagrindinius dalykus:

  1. Vienas organizacijos ID (org-id) gali palaikyti tik vieną IdP konfigūraciją.

  2. Domenų patvirtinimai ir SAML SSO nustatymai bendrinami tarp ChatGPT ir API platformos.

  3. SSO reikia įjungti atskirai ChatGPT ir API platformoje. Tačiau sukonfigūravus jį vienoje, kitos „sąranka“ iš esmės reiškia tik jungiklio perjungimą ir, jei pageidaujate, žymelės programėlės pridėjimą jūsų IdP.

Darbo su SSO pradžia

Prieš konfigūruojant SSO savo paskyroje, svarbu pirmiausia suprasti kelias pagrindines OpenAI SSO funkcionalumo sąvokas.

Bendroji tapatybės terminija

Parengimas Kai OpenAI kalba apie naudotojų parengimą, konkrečiai turime omenyje kvietimų parengimą. Tiesiogiai nepalaikome naudotojų paskyrų kūrimo parengimo. Kvietimus galima parengti naudojant:

  1. SCIM (palaikoma ir ChatGPT SCIM integracijoje, ir API platformos SCIM integracijoje)

  2. ChatGPT arba API platformos puslapis „Nariai“

  3. Automatinis paskyrų kūrimas

  4. Invites API

Kvietimų parengimas yra nuo SSO atliekamos autentifikacijos nepriklausomas veiksmas.


Autentifikacija – „Ar esate tas, kuo prisistatote?“

Pavyzdys: IdP autentifikuoja naudotoją mūsų paslaugai, kad prisijungiant žinotume, jog jis yra tas, kuo prisistato.


Autorizacija – „Ką jums leidžiama daryti arba matyti?“

Pavyzdys: kai jūsų IdP jus autentifikuoja, nustatome, kurios (-ių) ChatGPT darbo erdvės (-ių) narys esate.

Susipažinimas su OpenAI SSO nustatymais

Domeno patvirtinimas Tai būtina sąlyga norint įjungti SSO ir automatinį paskyrų kūrimą. Iš esmės: „Ar šis domenas priklauso jums?“

  1. Prisijungiant per chatgpt.com arba platform.openai.com, patvirtintas domenas nustato, ar naudotoją nukreipti į mūsų slaptažodžio puslapį, ar į jo IdP, kai taip pat sukonfigūruotas SSO

  2. Kai domenas patvirtinamas jūsų darbo erdvėje, bet kuris į darbo erdvę pakviestas naudotojas, kurio el. paštas yra iš to domeno, kitą kartą prisijungdamas bus paragintas sujungti savo asmeninę paskyrą.

  3. ChatGPT autentifikacija pagrįsta domenu IR darbo erdve: kai domenas patvirtintas ir darbo erdvėje įjungtas SSO, į SSO bus nukreipiami tik tos darbo erdvės naudotojai, turintys tą patį domeną. Naudotojai, turintys tą patį domeną, bet NEPRIKLAUSANTYS darbo erdvei (t. y. jūsų domeno Free, Plus, Pro arba Team paskyrų naudotojai), toliau prisijungs el. paštu / slaptažodžiu arba per socialinę autentifikaciją.

  4. Platformos autentifikacija pagrįsta domenu: kai domenas patvirtintas ir įjungtas SSO, visi to domeno platformos naudotojai neteks galimybės prisijungti slaptažodžiu. Daugiau informacijos žr. toliau pateiktame skyriuje „Domeno patvirtinimas ChatGPT ir API platformoje“.

  5. Padomenius reikia patvirtinti atskirai nuo aukščiausiojo lygio domenų

Kad galėtume sėkmingai apdoroti jūsų domeno patvirtinimą, jūsų TXT įrašas turi būti nuskaitomas per DNS užklausą.


(Tik ChatGPT) Automatinis paskyrų kūrimas (AAC) Įjungus ChatGPT darbo erdvėje, naujas naudotojas, kurio el. paštas atitinka patvirtintą (-us) domeną (-us), užsiregistravęs automatiškai gaus kvietimą į Enterprise darbo erdvę. Nerekomenduojame įjungti AAC, jei naudojate SCIM.


(Tik ChatGPT) Leisti kvietimus iš išorinių domenų Šis nustatymas valdo, ar į darbo erdvę galima kviesti naudotojus iš nepatvirtintų domenų. Naudotojams iš išorinių domenų nereikės prisijungti per SSO, nes SSO nustatymai taikomi tik naudotojams, priklausantiems patvirtintam domenui.


Įjungti SSO Šis nustatymas lemia, ar jūsų sukonfigūruoti SSO nustatymai taikomi darbo erdvei ir (arba) organizacijai.


Privalomas SSO

Kai išjungta, šis nustatymas leidžia naudotojams su patvirtintu domenu pasirinkti prisijungimą per SSO arba socialinį prisijungimą.

Globalieji administratoriai gali nustatyti „Privalomas SSO“ kaip būtiną tiek ChatGPT, tiek API platformai tiesiai iš administratoriaus konsolės puslapio „Tvarkyti SSO“. Kai įjungta, šis nustatymas lemia, kad naudotojai su patvirtintu domenu prie SSO įgalintos darbo erdvės arba organizacijos gali prisijungti tik per SSO. Slaptažodžio ir socialinė autentifikacija darbo erdvėje / organizacijoje nebegalioja, tačiau vis dar gali būti naudojamos kitose darbo erdvėse / organizacijose, kuriose jų domenas nėra patvirtintas.

Domeno patvirtinimas ChatGPT ir API platformoje

Kaip aptarta anksčiau, domeno patvirtinimas taikomas bendriems ChatGPT ir platformos egzemplioriams. Tačiau yra esminis skirtumas, kaip domeno patvirtinimas veikia prisijungimus prie ChatGPT ir prie platformos, jei įjungtas SSO:

SSO API platformoje yra visiškai pagrįstas domenu. Tai reiškia, kad patvirtinus domeną bet kurioje organizacijoje ir įjungus SSO, VISI to domeno naudotojai neteks galimybės prisijungti slaptažodžiais. Jei jie neturi socialinės autentifikacijos būdo, jie neteks prieigos prie atitinkamų organizacijų, nebent priklausys IdP prieigos grupei.

Priešingai, ChatGPT pusėje poveikį pajus tik tie naudotojai, kurie priklauso darbo erdvei, kurioje domenas buvo patvirtintas. Naudotojai, kurie nėra IdP prieigos grupėje, vis tiek galės prisijungti prie darbo erdvių naudodami kitame skyriuje aptartus metodus.

Jūsų naudotojų prisijungimo patirtis

OpenAI palaiko tris skirtingus autentifikacijos metodus:

  1. Naudotojo vardas + slaptažodis

  2. Socialinė autentifikacija per Microsoft / Google / Apple

  3. SSO

Atminkite, kad veikimas skirsis priklausomai nuo to, ar naudotojas jungiasi prie ChatGPT, ar prie API platformos, ar jo domenas patvirtintas ir ar atitinkamose darbo erdvėse / organizacijose privalomas SSO.

SP inicijuotas prisijungimas

Visi naudotojai gali eiti tiesiai į chatgpt.com arba platform.openai.com, kad prisijungtų. Naudojant šią parinktį, skirtingi autentifikacijos metodai gali būti suaktyvinti, kaip parodyta toliau:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Jei naudotojas priklauso kelioms darbo erdvėms, įskaitant tokią, kurioje jo domenui įjungtas SSO, jo bus paprašyta pasirinkti, prie kurios darbo erdvės prisijungti.

ChatGPT SP inicijuotas prisijungimas

Jei nustatysime, kad įvestas el. paštas priklauso darbo erdvei, kurioje jo domenas patvirtintas, nukreipsime naudotoją į jo IdP autentifikuotis. Priešingu atveju naudotojas bus nukreiptas prisijungti įvedant slaptažodį.

Jei naudotojas priklauso kelioms darbo erdvėms, įskaitant bent vieną, kurioje jo domenui įjungtas SSO, jo bus paprašyta pasirinkti, kurį prisijungimo metodą naudoti:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Pastaba: jei konkrečioje darbo erdvėje įjungta „Privalomas SSO“, naudotojai su patvirtintu (-ais) domenu (-ais) gali prisijungti tik per SSO. Socialinė ir slaptažodžio autentifikacija nebus pasiekiamos.

Platformos SP inicijuotas prisijungimas

Kaip minėta anksčiau, kai naudotojas su patvirtintu domenu platformos prisijungimo puslapyje įveda savo el. paštą, jis visada bus nukreiptas į savo IdP autentifikuotis.

Todėl prieš įjungiant SSO platformai labai svarbu įsitikinti, kad viską suprantate. Priešingu atveju labai lengva per klaidą užblokuoti platformos naudotojus asmeninėse paskyrose.

IdP inicijuotas prisijungimas

Konfigūruodami SSO atitinkamuose tapatybės puslapiuose, rasite unikalų plytelės URL, pateiktą tiek ChatGPT, tiek API platformai:

Šiuos plytelių URL galima sukonfigūruoti jūsų IdP, kad naudotojai galėtų automatiškai prisijungti / autentifikuotis vienu spustelėjimu.

Kiti veiksmai

Dabar, kai gerai suprantate mūsų architektūros pagrindus, eikite į puslapį „Kaip suprasti idealų naudotojų valdymo sąrankos variantą“, kad nustatytumėte tinkamiausią įgyvendinimą savo naudojimo atvejui. Po to parodysime, kaip jūsų paskyroje sukonfigūruoti SSO ir SCIM.

Ar šis straipsnis buvo naudingas?