Paskirtis
Šis vadovas skirtas administratoriams ir IT komandoms suteikti informaciją, kurią reikia apsvarstyti prieš konfigūruojant SSO savo ChatGPT arba platformos paskyrose. SSO prieinamas Business, Enterprise ir Edu klientams.
Pagrindinė architektūra ir terminija
SSO šiuo metu palaikomas per SAML autentifikaciją tiek ChatGPT, tiek API platformoje.
Darbo erdvė reiškia ChatGPT egzempliorių
Organizacija reiškia API platformos egzempliorių
Tapatybės teikėjas (IdP) reiškia paslaugą, kurią naudojate skaitmeninei tapatybei valdyti. Palaikome ryšius per visus IdP, kurie palaiko SAML. Kai kurie dažniausiai naudojami IdP, su kuriais esame integravęsi:
Okta
Azure Active Directory / Entra ID
Google Workspace
Duo
Visą palaikomų IdP sąrašą rasite WorkOS integracijų puslapyje. Palaikome visas šiame puslapyje nurodytas trečiųjų šalių integracijas, prie kurių galima prisijungti per SAML arba OIDC.
Šiuo metu kiekviena ChatGPT darbo erdvė turi su ja susietą platformos organizaciją. Tai reiškia, kad organizacijos ID (org-id), kurį rasite savo Enterprise platformos puslapyje „Bendra“, yra tas pats organizacijos ID (org-id), susietas su jūsų Enterprise ChatGPT darbo erdve. Todėl jūsų darbo erdvė ir organizacija naudoja tą patį autentifikacijos sluoksnį:

Dėl šios architektūros verta atkreipti dėmesį į kelis pagrindinius dalykus:
Vienas organizacijos ID (org-id) gali palaikyti tik vieną IdP konfigūraciją.
Domenų patvirtinimai ir SAML SSO nustatymai bendrinami tarp ChatGPT ir API platformos.
SSO reikia įjungti atskirai ChatGPT ir API platformoje. Tačiau sukonfigūravus jį vienoje, kitos „sąranka“ iš esmės reiškia tik jungiklio perjungimą ir, jei pageidaujate, žymelės programėlės pridėjimą jūsų IdP.
Darbo su SSO pradžia
Prieš konfigūruojant SSO savo paskyroje, svarbu pirmiausia suprasti kelias pagrindines OpenAI SSO funkcionalumo sąvokas.
Bendroji tapatybės terminija
Parengimas Kai OpenAI kalba apie naudotojų parengimą, konkrečiai turime omenyje kvietimų parengimą. Tiesiogiai nepalaikome naudotojų paskyrų kūrimo parengimo. Kvietimus galima parengti naudojant:
SCIM (palaikoma ir ChatGPT SCIM integracijoje, ir API platformos SCIM integracijoje)
ChatGPT arba API platformos puslapis „Nariai“
Automatinis paskyrų kūrimas
Invites API
Kvietimų parengimas yra nuo SSO atliekamos autentifikacijos nepriklausomas veiksmas.
Autentifikacija – „Ar esate tas, kuo prisistatote?“
Pavyzdys: IdP autentifikuoja naudotoją mūsų paslaugai, kad prisijungiant žinotume, jog jis yra tas, kuo prisistato.
Autorizacija – „Ką jums leidžiama daryti arba matyti?“
Pavyzdys: kai jūsų IdP jus autentifikuoja, nustatome, kurios (-ių) ChatGPT darbo erdvės (-ių) narys esate.
Susipažinimas su OpenAI SSO nustatymais
Domeno patvirtinimas Tai būtina sąlyga norint įjungti SSO ir automatinį paskyrų kūrimą. Iš esmės: „Ar šis domenas priklauso jums?“
Prisijungiant per chatgpt.com arba platform.openai.com, patvirtintas domenas nustato, ar naudotoją nukreipti į mūsų slaptažodžio puslapį, ar į jo IdP, kai taip pat sukonfigūruotas SSO
Kai domenas patvirtinamas jūsų darbo erdvėje, bet kuris į darbo erdvę pakviestas naudotojas, kurio el. paštas yra iš to domeno, kitą kartą prisijungdamas bus paragintas sujungti savo asmeninę paskyrą.
ChatGPT autentifikacija pagrįsta domenu IR darbo erdve: kai domenas patvirtintas ir darbo erdvėje įjungtas SSO, į SSO bus nukreipiami tik tos darbo erdvės naudotojai, turintys tą patį domeną. Naudotojai, turintys tą patį domeną, bet NEPRIKLAUSANTYS darbo erdvei (t. y. jūsų domeno Free, Plus, Pro arba Team paskyrų naudotojai), toliau prisijungs el. paštu / slaptažodžiu arba per socialinę autentifikaciją.
Platformos autentifikacija pagrįsta domenu: kai domenas patvirtintas ir įjungtas SSO, visi to domeno platformos naudotojai neteks galimybės prisijungti slaptažodžiu. Daugiau informacijos žr. toliau pateiktame skyriuje „Domeno patvirtinimas ChatGPT ir API platformoje“.
Padomenius reikia patvirtinti atskirai nuo aukščiausiojo lygio domenų
Kad galėtume sėkmingai apdoroti jūsų domeno patvirtinimą, jūsų TXT įrašas turi būti nuskaitomas per DNS užklausą.
(Tik ChatGPT) Automatinis paskyrų kūrimas (AAC) Įjungus ChatGPT darbo erdvėje, naujas naudotojas, kurio el. paštas atitinka patvirtintą (-us) domeną (-us), užsiregistravęs automatiškai gaus kvietimą į Enterprise darbo erdvę. Nerekomenduojame įjungti AAC, jei naudojate SCIM.
(Tik ChatGPT) Leisti kvietimus iš išorinių domenų Šis nustatymas valdo, ar į darbo erdvę galima kviesti naudotojus iš nepatvirtintų domenų. Naudotojams iš išorinių domenų nereikės prisijungti per SSO, nes SSO nustatymai taikomi tik naudotojams, priklausantiems patvirtintam domenui.
Įjungti SSO Šis nustatymas lemia, ar jūsų sukonfigūruoti SSO nustatymai taikomi darbo erdvei ir (arba) organizacijai.
Privalomas SSO
Kai išjungta, šis nustatymas leidžia naudotojams su patvirtintu domenu pasirinkti prisijungimą per SSO arba socialinį prisijungimą.
Globalieji administratoriai gali nustatyti „Privalomas SSO“ kaip būtiną tiek ChatGPT, tiek API platformai tiesiai iš administratoriaus konsolės puslapio „Tvarkyti SSO“. Kai įjungta, šis nustatymas lemia, kad naudotojai su patvirtintu domenu prie SSO įgalintos darbo erdvės arba organizacijos gali prisijungti tik per SSO. Slaptažodžio ir socialinė autentifikacija darbo erdvėje / organizacijoje nebegalioja, tačiau vis dar gali būti naudojamos kitose darbo erdvėse / organizacijose, kuriose jų domenas nėra patvirtintas.
Domeno patvirtinimas ChatGPT ir API platformoje
Kaip aptarta anksčiau, domeno patvirtinimas taikomas bendriems ChatGPT ir platformos egzemplioriams. Tačiau yra esminis skirtumas, kaip domeno patvirtinimas veikia prisijungimus prie ChatGPT ir prie platformos, jei įjungtas SSO:
SSO API platformoje yra visiškai pagrįstas domenu. Tai reiškia, kad patvirtinus domeną bet kurioje organizacijoje ir įjungus SSO, VISI to domeno naudotojai neteks galimybės prisijungti slaptažodžiais. Jei jie neturi socialinės autentifikacijos būdo, jie neteks prieigos prie atitinkamų organizacijų, nebent priklausys IdP prieigos grupei.
Priešingai, ChatGPT pusėje poveikį pajus tik tie naudotojai, kurie priklauso darbo erdvei, kurioje domenas buvo patvirtintas. Naudotojai, kurie nėra IdP prieigos grupėje, vis tiek galės prisijungti prie darbo erdvių naudodami kitame skyriuje aptartus metodus.
Jūsų naudotojų prisijungimo patirtis
OpenAI palaiko tris skirtingus autentifikacijos metodus:
Naudotojo vardas + slaptažodis
Socialinė autentifikacija per Microsoft / Google / Apple
SSO
Atminkite, kad veikimas skirsis priklausomai nuo to, ar naudotojas jungiasi prie ChatGPT, ar prie API platformos, ar jo domenas patvirtintas ir ar atitinkamose darbo erdvėse / organizacijose privalomas SSO.
SP inicijuotas prisijungimas
Visi naudotojai gali eiti tiesiai į chatgpt.com arba platform.openai.com, kad prisijungtų. Naudojant šią parinktį, skirtingi autentifikacijos metodai gali būti suaktyvinti, kaip parodyta toliau:

Jei naudotojas priklauso kelioms darbo erdvėms, įskaitant tokią, kurioje jo domenui įjungtas SSO, jo bus paprašyta pasirinkti, prie kurios darbo erdvės prisijungti.
ChatGPT SP inicijuotas prisijungimas
Jei nustatysime, kad įvestas el. paštas priklauso darbo erdvei, kurioje jo domenas patvirtintas, nukreipsime naudotoją į jo IdP autentifikuotis. Priešingu atveju naudotojas bus nukreiptas prisijungti įvedant slaptažodį.
Jei naudotojas priklauso kelioms darbo erdvėms, įskaitant bent vieną, kurioje jo domenui įjungtas SSO, jo bus paprašyta pasirinkti, kurį prisijungimo metodą naudoti:

Pastaba: jei konkrečioje darbo erdvėje įjungta „Privalomas SSO“, naudotojai su patvirtintu (-ais) domenu (-ais) gali prisijungti tik per SSO. Socialinė ir slaptažodžio autentifikacija nebus pasiekiamos.
Platformos SP inicijuotas prisijungimas
Kaip minėta anksčiau, kai naudotojas su patvirtintu domenu platformos prisijungimo puslapyje įveda savo el. paštą, jis visada bus nukreiptas į savo IdP autentifikuotis.
Todėl prieš įjungiant SSO platformai labai svarbu įsitikinti, kad viską suprantate. Priešingu atveju labai lengva per klaidą užblokuoti platformos naudotojus asmeninėse paskyrose.
IdP inicijuotas prisijungimas
Konfigūruodami SSO atitinkamuose tapatybės puslapiuose, rasite unikalų plytelės URL, pateiktą tiek ChatGPT, tiek API platformai:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platforma: https://platform.openai.com/enterprise/conn_012abc/login
Šiuos plytelių URL galima sukonfigūruoti jūsų IdP, kad naudotojai galėtų automatiškai prisijungti / autentifikuotis vienu spustelėjimu.
Kiti veiksmai
Dabar, kai gerai suprantate mūsų architektūros pagrindus, eikite į puslapį „Kaip suprasti idealų naudotojų valdymo sąrankos variantą“, kad nustatytumėte tinkamiausią įgyvendinimą savo naudojimo atvejui. Po to parodysime, kaip jūsų paskyroje sukonfigūruoti SSO ir SCIM.
