OpenAI
Denne siden ble maskinoversatt. Se den opprinnelige engelske artikkelen.

SSO-oversikt

Overordnet oversikt over SSO og hvordan det fungerer på tvers av ChatGPT kontra Platform

Oppdatert: 3 days ago

Formål

Denne veiledningen skal gi administratorer og IT-team den nødvendige informasjonen de bør vurdere før de konfigurerer SSO i ChatGPT- eller Platform-kontoene sine. SSO er tilgjengelig for Business-, Enterprise- og Edu-kunder.

Bakgrunnsarkitektur og terminologi

SSO støttes for øyeblikket gjennom SAML-autentisering for både ChatGPT og API Platform.

  • Arbeidsområde viser til en forekomst av ChatGPT

  • Organisasjon viser til en API Platform-forekomst

  • Identitetsleverandør (IdP) viser til tjenesten du bruker til å administrere digital identitet. Vi støtter tilkoblinger gjennom alle IdP-er som støtter SAML. Noen av de vanligste IdP-ene vi har koblet til, er:

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

Se WorkOS sin integrasjonsside for fullstendig liste over støttede IdP-er. Vi støtter alle tredjepartsintegrasjonene på denne siden som kan kobles til via enten SAML eller OIDC.

For øyeblikket har hvert ChatGPT-arbeidsområde en tilsvarende Platform-organisasjon knyttet til seg. Det betyr at organisasjons-ID-en (org-id) du finner på Enterprise Platform-siden «Generelt», er den samme organisasjons-ID-en (org-id) som er knyttet til Enterprise ChatGPT-arbeidsområdet ditt. Som følge av dette deler arbeidsområdet og organisasjonen din det samme autentiseringslaget:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Det er noen viktige ting å merke seg som følge av denne arkitekturen:

  1. Én enkelt organisasjons-ID (org-id) kan bare støtte én IdP-konfigurasjon.

  2. Domenebekreftelser og SAML SSO-innstillinger deles mellom ChatGPT og API Platform.

  3. SSO må aktiveres separat i ChatGPT og API Platform. Men når du har konfigurert det i én av dem, består «oppsettet» for den andre i stor grad av å slå på bryteren og legge til en bokmerkeapp i IdP-en hvis du ønsker det.

Kom i gang med SSO

Før du konfigurerer SSO i kontoen din, er det viktig å først forstå noen nøkkelbegreper om OpenAI sin SSO-funksjonalitet.

Generell identitetsterminologi

Klargjøring Når OpenAI viser til klargjøring i brukersammenheng, mener vi spesifikt klargjøring av invitasjoner. Vi støtter ikke direkte klargjøring for opprettelse av brukerkontoer. Invitasjoner kan klargjøres via:

  1. SCIM (støttes i både ChatGPT SCIM-integrasjonen og API Platform SCIM-integrasjonen)

  2. «Medlemmer»-siden i ChatGPT eller API Platform

  3. Automatisk kontoopprettelse

  4. Invitasjons-API

Klargjøring av invitasjoner er et separat trinn fra autentiseringen som utføres av SSO.


Autentisering – «Er du den du sier du er?»

Eksempel: En IdP autentiserer en bruker mot tjenesten vår, slik at vi vet at brukeren er den de utgir seg for å være ved innlogging.


Autorisasjon – «Hva har du lov til å gjøre eller se?»

Eksempel: Etter at IdP-en har autentisert deg, avgjør vi hvilke ChatGPT-arbeidsområder du er medlem av.

Bli kjent med OpenAI SSO-innstillinger

Domenebekreftelse Dette er en forutsetning for å aktivere SSO og automatisk kontoopprettelse. Kort sagt: «Eier du dette domenet?»

  1. Ved innlogging via chatgpt.com eller platform.openai.com avgjør et bekreftet domene om en bruker skal sendes videre til passordsiden vår eller til IdP-en sin når SSO også er konfigurert

  2. Når et domene er bekreftet i arbeidsområdet ditt, vil alle brukere som inviteres til arbeidsområdet med en e-postadresse fra dette domenet, bli bedt om å slå sammen sin personlige konto neste gang de logger inn.

  3. ChatGPT-autentisering er basert på både domene OG arbeidsområde – når et domene er bekreftet og SSO er aktivert for arbeidsområdet, blir bare brukere i dette arbeidsområdet som deler domenet, sendt til SSO. Brukere som deler domenet, men IKKE er en del av arbeidsområdet (f.eks. brukere fra domenet ditt med Free-, Plus-, Pro- eller Team-konto), fortsetter å logge inn med e-post/passord eller sosial innlogging.

  4. Platform-autentisering er domenebasert – når et domene er bekreftet og SSO er aktivert, mister alle Platform-brukere under dette domenet muligheten til å logge inn med passord. Se «Domenebekreftelse i ChatGPT kontra API Platform» nedenfor for mer informasjon.

  5. Underdomener må bekreftes separat fra toppnivådomener

For at vi skal kunne behandle domenebekreftelsen din, må TXT-oppføringen kunne leses via et DNS-oppslag.


(Kun ChatGPT) Automatisk kontoopprettelse (AAC) Når dette er aktivert for et ChatGPT-arbeidsområde, vil en ny bruker med e-postadresse som samsvarer med de bekreftede domenene, automatisk motta en invitasjon til Enterprise-arbeidsområdet når brukeren registrerer seg. Vi anbefaler ikke å aktivere AAC hvis du bruker SCIM.


(Kun ChatGPT) Tillat invitasjoner fra eksterne domener Denne innstillingen styrer om brukere med ikke-bekreftede domener kan inviteres til arbeidsområdet. Brukere fra eksterne domener må ikke logge inn via SSO, ettersom SSO-innstillingene bare gjelder for brukere som tilhører det bekreftede domenet.


Aktiver SSO Denne innstillingen avgjør om de konfigurerte SSO-innstillingene dine skal gjelde for arbeidsområdet og/eller organisasjonen.


Håndhev SSO

Når denne innstillingen er deaktivert, kan brukere med et bekreftet domene velge mellom å logge inn via SSO eller med sosial innlogging.

Globale administratorer kan sette Håndhev SSO til Påkrevd for både ChatGPT og API Platform direkte fra Administrer SSO-siden i administrasjonskonsollen. Når denne innstillingen er aktivert, kan brukere med et bekreftet domene bare logge inn på det SSO-aktiverte arbeidsområdet eller den SSO-aktiverte organisasjonen via SSO. Passordautentisering og sosial autentisering er ikke lenger gyldige for arbeidsområdet/organisasjonen, men kan fortsatt brukes i andre arbeidsområder/organisasjoner der domenet deres ikke er bekreftet.

Domenebekreftelse i ChatGPT kontra API Platform

Som nevnt tidligere brukes domenebekreftelse på tvers av de delte ChatGPT- og Platform-forekomstene. Det er imidlertid en viktig forskjell i hvordan domenebekreftelse påvirker innlogging i ChatGPT kontra Platform når SSO er aktivert:

SSO på API Platform er utelukkende domenebasert. Det betyr at når et domene er bekreftet i en hvilken som helst organisasjon og SSO er aktivert, mister ALLE brukere med dette domenet muligheten til å logge inn med passord. Hvis de ikke har en metode for sosial autentisering, blir de låst ute av sine respektive organisasjoner med mindre de tilhører IdP-tilgangsgruppen.

På ChatGPT-siden er det derimot bare brukere som tilhører arbeidsområdet der domenet er bekreftet, som blir berørt. Brukere som ikke er i IdP-ens tilgangsgruppe, vil fortsatt kunne logge inn på arbeidsområder med metodene som omtales i neste del.

Innloggingsopplevelse for brukerne dine

OpenAI støtter tre ulike autentiseringsmetoder:

  1. Brukernavn + passord

  2. Sosial autentisering via Microsoft/Google/Apple

  3. SSO

Husk at atferden varierer avhengig av om brukeren logger inn på ChatGPT eller API Platform, om domenet er bekreftet, og om de aktuelle arbeidsområdene/organisasjonene har håndhevet SSO.

SP-initiert innlogging

Alle brukere kan gå direkte til enten chatgpt.com eller platform.openai.com for å logge inn. Når dette alternativet brukes, kan de ulike autentiseringsmetodene utløses som vist nedenfor:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Hvis brukeren tilhører flere arbeidsområder, inkludert ett der SSO er aktivert for domenet, blir brukeren bedt om å velge hvilket arbeidsområde hen vil logge inn på.

ChatGPT SP-initiert innlogging

Hvis vi finner ut at den angitte e-postadressen tilhører et arbeidsområde der domenet er bekreftet, sender vi brukeren videre til IdP-en sin for autentisering. Ellers blir brukeren sendt til innlogging ved å skrive inn passordet sitt.

Hvis brukeren tilhører flere arbeidsområder, inkludert minst ett der SSO er aktivert for domenet, blir brukeren bedt om å velge hvilken metode som skal brukes for å logge inn:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Merk: Hvis «Håndhev SSO» er aktivert for et bestemt arbeidsområde, kan brukere med de bekreftede domenene bare logge inn via SSO. Sosial autentisering og passordautentisering vil ikke være tilgjengelig.

Platform SP-initiert innlogging

Som nevnt tidligere vil en bruker med et bekreftet domene alltid bli sendt til IdP-en sin for autentisering når brukeren skriver inn e-postadressen sin på innloggingssiden for Platform.

Derfor er det avgjørende å sikre at du forstår dette før du aktiverer SSO for Platform. Ellers er det svært lett å utilsiktet låse ute Platform-brukere på personlige kontoer.

IdP-initiert innlogging

Når du konfigurerer SSO fra de respektive identitetssidene, finner du en unik Tile-URL for både ChatGPT og API Platform:

Disse Tile-URL-ene kan konfigureres i IdP-en for å la brukerne dine logge inn/autentisere seg automatisk med ett klikk.

Neste trinn

Nå som du har et godt grunnlag for å forstå arkitekturen vår, kan du gå til siden «Forstå ditt ideelle oppsett for brukeradministrasjon» for å finne den beste implementeringen for ditt brukstilfelle. Deretter veileder vi deg gjennom hvordan du konfigurerer SSO og SCIM i kontoen din.

Var denne artikkelen nyttig?