OpenAI
Deze pagina is automatisch vertaald. Bekijk het oorspronkelijke Engelstalige artikel.

SSO-overzicht

Overzicht op hoofdlijnen van SSO en hoe dit werkt in ChatGPT versus Platform

Bijgewerkt: 18 days ago

Doel

Deze handleiding is bedoeld om beheerders en IT-teams de informatie te geven die ze nodig hebben voordat ze SSO configureren in hun ChatGPT- of Platform-accounts. SSO is beschikbaar voor Business-, Enterprise- en Edu-klanten.

Achtergrondarchitectuur en terminologie

SSO wordt momenteel ondersteund via SAML-authenticatie voor zowel ChatGPT als het API-platform.

  • Werkruimte verwijst naar een instantie van ChatGPT

  • Organisatie verwijst naar een instantie van het API-platform

  • Identiteitsprovider (IdP) verwijst naar de service die je gebruikt om digitale identiteit te beheren. We ondersteunen verbindingen via alle IdP's die SAML ondersteunen. Enkele van de meest voorkomende IdP's waarmee we verbinding hebben gemaakt zijn:

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

Raadpleeg voor de volledige lijst met ondersteunde IdP's de integratiepagina van WorkOS. We ondersteunen alle integraties van derden op deze pagina die via SAML of OIDC kunnen worden verbonden.

Momenteel heeft elke ChatGPT-werkruimte een bijbehorende Platform-organisatie die eraan is gekoppeld. Dit betekent dat de organisatie-ID (org-id) die je vindt op de Enterprise-Platform-pagina ‘Algemeen’ dezelfde organisatie-ID (org-id) is die is gekoppeld aan je Enterprise ChatGPT-werkruimte. Daardoor delen je werkruimte en organisatie dezelfde authenticatielaag:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Als gevolg van deze architectuur zijn er een paar belangrijke punten om op te letten:

  1. Eén organisatie-ID (org-id) kan slechts één IdP-configuratie ondersteunen.

  2. Domeinverificaties en SAML SSO-instellingen worden gedeeld tussen ChatGPT en het API-platform.

  3. SSO moet afzonderlijk worden ingeschakeld voor ChatGPT en voor het API-platform. Maar zodra je dit op de ene hebt geconfigureerd, bestaat de ‘installatie’ voor de andere grotendeels uit het omzetten van de schakelaar en, indien gewenst, het toevoegen van een bladwijzer-app in je IdP.

Aan de slag met SSO

Voordat je SSO in je account configureert, is het belangrijk eerst enkele kernconcepten van de SSO-functionaliteit van OpenAI te begrijpen.

Algemene identiteitsterminologie

Provisioning Wanneer OpenAI het in de context van gebruikers over provisioning heeft, bedoelen we specifiek het provisionen van uitnodigingen. We ondersteunen het provisionen van het aanmaken van gebruikersaccounts niet rechtstreeks. Uitnodigingen kunnen worden geprovisioned via:

  1. SCIM (ondersteund in zowel de ChatGPT SCIM-integratie als de API-platform SCIM-integratie)

  2. De pagina ‘Leden’ van ChatGPT of het API-platform

  3. Automatisch accounts aanmaken

  4. Invites-API

Het provisionen van uitnodigingen staat los van de authenticatie die door SSO wordt uitgevoerd.


Authenticatie – ‘Ben je wie je zegt dat je bent?’

Voorbeeld: een IdP authenticeert een gebruiker voor onze service, zodat we weten dat diegene is wie die zegt te zijn bij het inloggen.


Autorisatie – ‘Wat mag je doen of zien?’

Voorbeeld: nadat je IdP je heeft geauthenticeerd, bepalen we van welke ChatGPT-werkruimte(n) je lid bent.

Kennismaken met OpenAI SSO-instellingen

Domeinverificatie Dit is een vereiste voor het inschakelen van SSO en automatisch accounts aanmaken. Kort gezegd: ‘Ben jij de eigenaar van dit domein?’

  1. Bij inloggen via chatgpt.com of platform.openai.com bepaalt een geverifieerd domein of een gebruiker wordt doorgestuurd naar onze wachtwoordpagina of naar de IdP, wanneer SSO ook is ingesteld.

  2. Zodra een domein in je werkruimte is geverifieerd, wordt elke gebruiker die met een e-mailadres van dat domein voor de werkruimte wordt uitgenodigd, bij de volgende aanmelding gevraagd het persoonlijke account samen te voegen.

  3. ChatGPT-authenticatie is gebaseerd op domein EN werkruimte: wanneer een domein is geverifieerd en SSO is ingeschakeld voor de werkruimte, worden alleen gebruikers in die werkruimte die het domein delen naar SSO geleid. Gebruikers die het domein delen maar GEEN deel uitmaken van de werkruimte (d.w.z. gebruikers van Free-, Plus-, Pro- of Team-accounts van je domein), blijven inloggen via e-mail/wachtwoord of sociale authenticatie.

  4. Platform-authenticatie is domeingebaseerd: wanneer een domein is geverifieerd en SSO is ingeschakeld, verliezen alle Platform-gebruikers onder dat domein de mogelijkheid om met een wachtwoord in te loggen. Zie ‘Domeinverificatie op ChatGPT versus het API-platform’ hieronder voor meer informatie.

  5. Subdomeinen moeten apart van topniveaudomeinen worden geverifieerd.

Om je domeinverificatie succesvol te kunnen verwerken, moet je TXT-record leesbaar zijn via een DNS-lookup.


(Alleen ChatGPT) Automatisch accounts aanmaken (AAC) Wanneer dit is ingeschakeld voor een ChatGPT-werkruimte, ontvangt een nieuwe gebruiker van wie het e-mailadres overeenkomt met de geverifieerde domein(en) automatisch een uitnodiging voor de Enterprise-werkruimte wanneer die zich registreert. We raden af AAC in te schakelen als je SCIM gebruikt.


(Alleen ChatGPT) Uitnodigingen voor externe domeinen toestaan Met deze instelling bepaal je of gebruikers met niet-geverifieerde domeinen kunnen worden uitgenodigd voor de werkruimte. Gebruikers van externe domeinen hoeven niet via SSO in te loggen, omdat SSO-instellingen alleen gelden voor gebruikers die tot het geverifieerde domein behoren.


SSO inschakelen Deze instelling bepaalt of je geconfigureerde SSO-instellingen van toepassing zijn op de werkruimte en/of organisatie.


SSO afdwingen

Wanneer deze instelling is uitgeschakeld, kunnen gebruikers met een geverifieerd domein kiezen of ze inloggen via SSO of via sociale aanmelding.

Globale beheerders kunnen SSO afdwingen rechtstreeks op Vereist zetten voor zowel ChatGPT als het API-platform, via de pagina SSO beheren in de beheerdersconsole. Wanneer deze instelling is ingeschakeld, kunnen gebruikers met een geverifieerd domein alleen via SSO inloggen bij de werkruimte of organisatie waarvoor SSO is ingeschakeld. Wachtwoord- en sociale authenticatie zijn niet langer geldig voor de werkruimte/organisatie, maar kunnen nog wel worden gebruikt in andere werkruimten/organisaties waar hun domein niet is geverifieerd.

Domeinverificatie op ChatGPT versus het API-platform

Zoals eerder besproken, wordt domeinverificatie toegepast op de gedeelde ChatGPT- en Platform-instanties. Er is echter een belangrijk verschil in hoe domeinverificatie invloed heeft op inloggen bij ChatGPT versus het Platform wanneer SSO is ingeschakeld:

SSO op het API-platform is volledig domeingebaseerd. Dit betekent dat zodra een domein in een willekeurige organisatie is geverifieerd en SSO is ingeschakeld, ALLE gebruikers met dat domein niet meer met wachtwoorden kunnen inloggen. Als ze geen mogelijkheid voor sociale authenticatie hebben, worden ze buitengesloten van hun respectieve organisaties, tenzij ze tot de toegangsgroep van de IdP behoren.

Aan de ChatGPT-kant worden daarentegen alleen gebruikers getroffen die behoren tot de werkruimte waar het domein is geverifieerd. Gebruikers die niet in de toegangsgroep van de IdP zitten, kunnen nog steeds inloggen bij werkruimten via de methoden die in de volgende sectie worden besproken.

Inlogervaring voor je gebruikers

OpenAI ondersteunt drie verschillende authenticatiemethoden:

  1. Gebruikersnaam + wachtwoord

  2. Sociale authenticatie via Microsoft/Google/Apple

  3. SSO

Houd er rekening mee dat het gedrag verschilt afhankelijk van of de gebruiker inlogt bij ChatGPT of het API-platform, of hun domein is geverifieerd en of hun respectieve werkruimten/organisaties SSO hebben afgedwongen.

Door SP geïnitieerd inloggen

Alle gebruikers kunnen rechtstreeks naar chatgpt.com of platform.openai.com gaan om in te loggen. Bij gebruik van deze optie kunnen de verschillende authenticatiemethoden worden geactiveerd zoals hieronder weergegeven:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Als de gebruiker tot meerdere werkruimten behoort, waaronder een werkruimte waar SSO voor het domein is ingeschakeld, wordt de gebruiker gevraagd te selecteren bij welke werkruimte die wil inloggen.

Door SP geïnitieerd inloggen bij ChatGPT

Als we vaststellen dat het ingevoerde e-mailadres hoort bij een werkruimte waarvan het domein is geverifieerd, sturen we de gebruiker door naar de IdP om te authenticeren. Anders wordt de gebruiker gevraagd in te loggen door het wachtwoord in te voeren.

Als de gebruiker tot meerdere werkruimten behoort, waaronder ten minste één werkruimte waar SSO voor het domein is ingeschakeld, wordt de gebruiker gevraagd te kiezen welke methode die wil gebruiken om in te loggen:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Opmerking: als ‘SSO afdwingen’ is ingeschakeld voor een bepaalde werkruimte, kunnen gebruikers met de geverifieerde domein(en) alleen inloggen via SSO. Sociale authenticatie en wachtwoordauthenticatie zijn dan niet beschikbaar.

Door SP geïnitieerd inloggen op Platform

Zoals eerder vermeld, wordt een gebruiker met een geverifieerd domein die zijn e-mailadres invoert op de inlogpagina van Platform altijd naar de IdP geleid om te authenticeren.

Daarom is het cruciaal dat je dit goed begrijpt voordat je SSO voor Platform inschakelt. Anders kun je heel gemakkelijk per ongeluk Platform-gebruikers met persoonlijke accounts buitensluiten.

Door IdP geïnitieerd inloggen

Wanneer je SSO configureert vanaf de bijbehorende identiteitspagina's, vind je een unieke tegel-URL voor zowel ChatGPT als het API-platform:

Deze tegel-URL's kunnen in je IdP worden geconfigureerd, zodat je gebruikers met één klik automatisch kunnen inloggen/authenticeren.

Volgende stappen

Nu je een goede basiskennis van onze architectuur hebt, ga je naar onze pagina ‘Je ideale configuratie voor gebruikersbeheer begrijpen’ om de ideale implementatie voor jouw gebruikssituatie te bepalen. Daarna leggen we je uit hoe je SSO en SCIM binnen je account configureert.

Was dit artikel nuttig?