OpenAI
Denne siden ble maskinoversatt. Se den opprinnelige engelske artikkelen.

Oversikt over SSO

Overordnet oversikt over SSO og hvordan det fungerer på tvers av ChatGPT og plattformen

Oppdatert: 5 hours ago

Formål

Denne veiledningen er ment å gi administratorer og IT-team nødvendig informasjon å vurdere før de konfigurerer SSO i ChatGPT- eller Platform-kontoene sine. SSO er tilgjengelig for Business-, Enterprise- og Edu-kunder.

Bakgrunnsarkitektur og terminologi

SSO støttes for øyeblikket gjennom SAML-autentisering for både ChatGPT og API Platform.

  • Arbeidsområde viser til en ChatGPT-instans

  • Organisasjon viser til en API Platform-instans

  • Identitetsleverandør (IdP) viser til tjenesten du bruker for å administrere digital identitet. Vi støtter tilkoblinger gjennom alle IdP-er som støtter SAML. Noen av de vanligste IdP-ene vi har koblet til inkluderer:

    • Okta

    • Azure Active Directory/Entra ID

    • Google Workspace

    • Duo

For en fullstendig liste over støttede IdP-er, se WorkOS sin integrasjonsside. Vi støtter alle tredjepartsintegrasjonene på denne siden som kan kobles til via enten SAML eller OIDC.

For øyeblikket har hvert ChatGPT-arbeidsområde en tilsvarende Platform-organisasjon knyttet til seg. Dette betyr at organisasjons-ID-en (org-id) du finner på Enterprise-Platform-siden "General", er den samme organisasjons-ID-en (org-id) som er knyttet til Enterprise-arbeidsområdet ditt i ChatGPT. Som et resultat deler arbeidsområdet og organisasjonen samme autentiseringslag:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Det er noen viktige ting å merke seg som følge av denne arkitekturen:

  1. En enkelt organisasjons-ID (org-id) kan bare støtte én IdP-konfigurasjon.

  2. Domenebekreftelser og SAML SSO-innstillinger deles mellom ChatGPT og API Platform.

  3. SSO må aktiveres separat på ChatGPT og API Platform. Når du har konfigurert det på den ene, er oppsettet for den andre i stor grad bare å slå på bryteren og legge til en bokmerkeapp i IdP-en hvis ønskelig.

Komme i gang med SSO

Før du konfigurerer SSO i kontoen din, er det viktig først å forstå noen sentrale konsepter om OpenAIs SSO-funksjonalitet.

Generell identitetsterminologi

Provisioning
Når OpenAI viser til provisioning i brukerkontekst, viser vi spesifikt til klargjøring av invitasjoner. Vi støtter ikke direkte klargjøring av opprettelse av brukerkontoer. Invitasjoner kan klargjøres gjennom:

  1. SCIM (støttes både i ChatGPT SCIM Integration og API Platform SCIM Integration)

  2. Siden "Members" i ChatGPT eller API Platform

  3. Automatisk kontoopprettelse

  4. Invites API

Klargjøring av invitasjoner er et eget trinn, uavhengig av autentiseringen som utføres av SSO.

Autentisering – «Er du den du sier at du er?»

Eksempel: En IdP autentiserer en bruker mot tjenesten vår slik at vi vet at de er den de utgir seg for å være når de logger inn.

Autorisasjon – «Hva har du lov til å gjøre eller se?»

Eksempel: Etter at IdP-en din har autentisert deg, avgjør vi hvilket eller hvilke ChatGPT-arbeidsområder du er medlem av.

Bli kjent med OpenAI SSO-innstillinger

Domenebekreftelse
Dette er en forutsetning for å aktivere SSO og automatisk kontoopprettelse. I praksis: «Eier du dette domenet?»

  1. Ved innlogging via chatgpt.com eller platform.openai.com avgjør et bekreftet domene om en bruker skal sendes til passordsiden vår eller til IdP-en sin når SSO også er satt opp

  2. Når et domene er bekreftet i arbeidsområdet ditt, vil enhver bruker som inviteres til arbeidsområdet med en e-postadresse fra dette domenet, bli bedt om å slå sammen den personlige kontoen sin neste gang de logger inn.

  3. ChatGPT-autentisering er domene- OG arbeidsområdebasert – når et domene er bekreftet og SSO er aktivert på arbeidsområdet, vil bare brukere i det arbeidsområdet som deler domenet, bli rutet til SSO. Brukere som deler domenet, men IKKE er en del av arbeidsområdet (dvs. brukere med Free-, Plus-, Pro- eller Team-kontoer fra domenet ditt), vil fortsatt logge inn via e-post/passord eller sosial innlogging.

  4. Platform-autentisering er domenebasert -- når et domene er bekreftet og SSO er aktivert, vil alle Platform-brukere under det domenet miste muligheten til å logge inn med passord. Se "Domenebekreftelse på ChatGPT kontra API Platform" nedenfor for flere detaljer.

  5. Underdomener må bekreftes separat fra toppnivådomener

For at vi skal kunne behandle domenebekreftelsen din, må TXT-posten din kunne leses gjennom et DNS-oppslag.

(Kun ChatGPT) Automatisk kontoopprettelse (AAC)
Når dette er aktivert på et ChatGPT-arbeidsområde, vil en ny bruker hvis e-post samsvarer med de bekreftede domenene, automatisk få en invitasjon til Enterprise-arbeidsområdet når de registrerer seg. Vi anbefaler ikke å aktivere AAC hvis du bruker SCIM.

(Kun ChatGPT) Tillat invitasjoner fra eksterne domener
Denne innstillingen styrer om brukere med ikke-bekreftede domener kan inviteres til arbeidsområdet eller ikke. Brukere fra eksterne domener må ikke logge inn via SSO, siden SSO-innstillinger bare gjelder for brukere som tilhører det bekreftede domenet.

Aktiver SSO
Denne innstillingen avgjør om de konfigurerte SSO-innstillingene dine gjelder for arbeidsområdet og/eller organisasjonen.

Håndhev SSO

Når denne er deaktivert, lar innstillingen brukere med et bekreftet domene velge mellom å logge inn via SSO eller sosial innlogging.

Globale administratorer kan sette Håndhev SSO til Required for både ChatGPT og API Platform direkte fra siden Manage SSO i Admin Console. Når denne er aktivert, betyr det at brukere med et bekreftet domene bare kan logge på det SSO-aktiverte arbeidsområdet eller organisasjonen via SSO. Passord- og sosial autentisering er ikke lenger gyldig for arbeidsområdet/organisasjonen, men kan fortsatt brukes i andre arbeidsområder/organisasjoner der domenet deres ikke er bekreftet.

Domenebekreftelse på ChatGPT kontra API Platform

Som nevnt tidligere brukes domenebekreftelse på tvers av de delte ChatGPT- og Platform-instansene. Det er imidlertid en avgjørende forskjell i hvordan domenebekreftelse påvirker innlogging til ChatGPT kontra Platform hvis SSO er aktivert:

SSO på API-plattformen er fullstendig domenebasert. Dette betyr at når et domene er verifisert i en hvilken som helst organisasjon, og SSO er aktivert, vil ALLE brukere med dette domenet miste muligheten til å logge inn med passord. Hvis de ikke har en metode for sosial autentisering, vil de bli låst ute fra sine respektive organisasjoner med mindre de tilhører IdP-tilgangsgruppen.

På ChatGPT-siden vil derimot bare brukere som tilhører arbeidsområdet der domenet er verifisert, bli påvirket. Brukere som ikke er i IdP-ens tilgangsgruppe, vil fortsatt kunne logge inn i arbeidsområder ved hjelp av metodene som er omtalt i neste del.

Innloggingsopplevelse for brukerne dine

OpenAI støtter tre forskjellige autentiseringsmetoder:

  1. Brukernavn + passord

  2. Sosial autentisering via Microsoft/Google/Apple

  3. SSO

Husk at virkemåten vil variere avhengig av om brukeren logger inn på ChatGPT eller API Platform, om domenet deres er bekreftet, og om de respektive arbeidsområdene/organisasjonene deres har håndhevet SSO.

SP-initiert innlogging

Alle brukere kan gå direkte til enten chatgpt.com eller platform.openai.com for å logge inn. Når du bruker dette alternativet, kan de ulike autentiseringsmetodene utløses som vist nedenfor:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Hvis brukeren tilhører flere arbeidsområder, inkludert ett der SSO er aktivert for domenet deres, blir de bedt om å velge hvilket arbeidsområde de vil logge inn på.

ChatGPT SP-initiert innlogging

Hvis vi finner at den angitte e-postadressen tilhører et arbeidsområde der domenet er bekreftet, sender vi brukeren videre til IdP-en for autentisering. Ellers blir brukeren sendt til innlogging ved å oppgi passordet sitt.

Hvis brukeren tilhører flere arbeidsområder, inkludert minst ett der SSO er aktivert for domenet deres, blir de bedt om å velge hvilken metode de vil bruke for å logge inn:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Merk: Hvis «Enforce SSO» er aktivert for et bestemt arbeidsområde, kan brukere med de verifiserte domenene bare logge inn via SSO. Sosial autentisering og passordautentisering vil ikke være tilgjengelig.

Platform SP-initiert innlogging

Som nevnt tidligere vil en bruker med et bekreftet domene som oppgir e-postadressen sin på Platform-innloggingssiden, alltid bli sendt til IdP-en sin for autentisering.

Derfor er det avgjørende at du forstår dette før du aktiverer SSO for Platform. Ellers er det veldig lett å ved et uhell stenge ute Platform-brukere med personlige kontoer.

IdP-initiert innlogging

Når du konfigurerer SSO fra de respektive identitetssidene, finner du en unik Tile URL for både ChatGPT og API Platform:

Disse Tile URL-ene kan konfigureres i IdP-en din slik at brukerne dine kan logge inn/autentisere seg automatisk med ett enkelt klikk.

Neste trinn

Nå som du har et godt grunnlag for arkitekturen vår, kan du gå videre til siden vår "Forstå ditt ideelle oppsett for brukeradministrasjon" for å finne den ideelle implementeringen for ditt brukstilfelle. Deretter vil vi veilede deg gjennom hvordan du konfigurerer SSO og SCIM i kontoen din.

Var denne artikkelen nyttig?