Doel

Deze handleiding is bedoeld om beheerders en IT-teams de nodige informatie te geven om te overwegen vóór het configureren van SSO in uw ChatGPT- of Platform-accounts. SSO is beschikbaar voor Business-, Enterprise- en Edu-klanten.

Achtergrondarchitectuur en terminologie

SSO wordt momenteel ondersteund via SAML-authenticatie voor zowel ChatGPT als het API-platform.

Werkruimte verwijst naar een instantie van ChatGPT
Organisatie verwijst naar een API Platform-instantie
Identity Provider (IdP) verwijst naar de service die u gebruikt om digitale identiteit te beheren. We ondersteunen verbindingen via alle IdP's die SAML ondersteunen. Enkele van de meest voorkomende IdP's waarmee we verbinding hebben gemaakt, zijn:
- Okta
- Azure Active Directory/Entra ID
- Google Workspace
- Duo

Raadpleeg voor de volledige lijst met ondersteunde IdP's de Integrations Page van WorkOS. We ondersteunen alle externe integraties op deze pagina waarmee verbinding kan worden gemaakt via SAML of OIDC.

Momenteel heeft elke ChatGPT-werkruimte een bijbehorende Platform-organisatie die eraan is gekoppeld. Dit betekent dat de organisatie-ID (org-id) die u vindt op uw Enterprise-Platform-pagina "General" dezelfde organisatie-ID (org-id) is die is gekoppeld aan uw Enterprise ChatGPT-werkruimte. Daardoor delen uw werkruimte en organisatie dezelfde authenticatielaag:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Als gevolg van deze architectuur zijn er een paar belangrijke zaken om op te merken:

Eén organisatie-ID (org-id) kan slechts één IdP-configuratie ondersteunen.
Domeinverificaties en SAML SSO-instellingen worden gedeeld tussen ChatGPT en het API-platform.
SSO moet afzonderlijk worden ingeschakeld voor ChatGPT en het API-platform. Zodra u het echter voor de ene hebt geconfigureerd, bestaat de 'setup' voor de andere grotendeels uit het omzetten van de schakelaar en desgewenst het toevoegen van een bladwijzer-app in uw IdP.

Aan de slag met SSO

Voordat u SSO in uw account configureert, is het belangrijk eerst enkele kernconcepten van de SSO-functionaliteit van OpenAI te begrijpen.

Algemene identiteitsterminologie

Provisioning
Wanneer OpenAI verwijst naar provisioning in de context van gebruikers, bedoelen we specifiek het provisionen van uitnodigingen. We ondersteunen het provisionen van het aanmaken van gebruikersaccounts niet rechtstreeks. Uitnodigingen kunnen worden geprovisioneerd via:

SCIM (ondersteund in zowel de ChatGPT SCIM-integratie als de API Platform SCIM-integratie)
De pagina 'Members' van ChatGPT of het API-platform
Automatisch accounts aanmaken
Invites API

Het provisionen van uitnodigingen is een stap die losstaat van de authenticatie die door SSO wordt uitgevoerd.

Authenticatie – ‘Bent u wie u zegt dat u bent?’

Voorbeeld: een IdP authenticeert een gebruiker bij onze service zodat we weten dat diegene is wie die zegt te zijn bij het inloggen.

Autorisatie – ‘Wat mag u doen of zien?’

Voorbeeld: nadat uw IdP u heeft geauthenticeerd, bepalen we van welke ChatGPT-werkruimte(n) u lid bent.

OpenAI SSO-instellingen leren kennen

Domeinverificatie
Dit is een vereiste voor het inschakelen van SSO en automatisch accounts aanmaken. Kort gezegd: ‘Bent u eigenaar van dit domein?’

Bij het inloggen via chatgpt.com of platform.openai.com bepaalt een geverifieerd domein of een gebruiker wordt doorgestuurd naar onze wachtwoordpagina of naar hun IdP wanneer SSO ook is ingesteld
Zodra een domein in uw werkruimte is geverifieerd, wordt elke gebruiker die met een e-mailadres van dat domein voor de werkruimte is uitgenodigd, bij de volgende login gevraagd zijn persoonlijke account samen te voegen.
ChatGPT-authenticatie is gebaseerd op domein EN werkruimte: wanneer een domein is geverifieerd en SSO is ingeschakeld voor de werkruimte, worden alleen gebruikers in die werkruimte met dat domein naar SSO geleid. Gebruikers met dat domein die GEEN deel uitmaken van de werkruimte (d.w.z. Free-, Plus-, Pro- of Team-accountgebruikers van uw domein) blijven inloggen via e-mail/wachtwoord of social login.
Platform-authenticatie is domeingebaseerd -- wanneer een domein is geverifieerd en SSO is ingeschakeld, verliezen alle Platform-gebruikers onder dat domein de mogelijkheid om met een wachtwoord in te loggen. Zie hieronder 'Domeinverificatie op ChatGPT versus het API-platform' voor meer details.
Subdomeinen moeten apart van hoofddomeinen worden geverifieerd

Om uw domeinverificatie succesvol te kunnen verwerken, moet uw TXT-record leesbaar zijn via een DNS-lookup.

(Alleen ChatGPT) Automatisch accounts aanmaken (AAC)
Wanneer dit is ingeschakeld voor een ChatGPT-werkruimte, ontvangt een nieuwe gebruiker van wie het e-mailadres overeenkomt met de geverifieerde domein(en) automatisch een uitnodiging voor de Enterprise-werkruimte bij het aanmelden. We raden het niet aan AAC in te schakelen als u SCIM gebruikt.

(Alleen ChatGPT) Externe domeinuitnodigingen toestaan
Deze instelling bepaalt of gebruikers met niet-geverifieerde domeinen kunnen worden uitgenodigd voor de werkruimte. Gebruikers van externe domeinen hoeven niet via SSO in te loggen, omdat SSO-instellingen alleen gelden voor gebruikers die tot het geverifieerde domein behoren.

SSO inschakelen
Deze instelling bepaalt of uw geconfigureerde SSO-instellingen van toepassing zijn op de werkruimte en/of organisatie.

SSO afdwingen

Wanneer uitgeschakeld, kunnen gebruikers met een geverifieerd domein met deze instelling kiezen tussen inloggen via SSO of via social login.

Global Admins kunnen SSO afdwingen instellen op Verplicht voor zowel ChatGPT als het API-platform, rechtstreeks vanaf de pagina SSO beheren in de Admin Console. Wanneer ingeschakeld, zorgt deze instelling ervoor dat gebruikers met een geverifieerd domein alleen via SSO kunnen inloggen op de werkruimte of organisatie waarvoor SSO is ingeschakeld. Wachtwoord- en social-authenticatie zijn niet langer geldig voor de werkruimte/organisatie, maar kunnen nog wel worden gebruikt in andere werkruimten/organisaties waar hun domein niet is geverifieerd.

Domeinverificatie op ChatGPT versus het API-platform

Zoals eerder besproken, wordt domeinverificatie toegepast op de gedeelde ChatGPT- en Platform-instanties. Er is echter een cruciaal verschil in hoe domeinverificatie inlogpogingen op ChatGPT versus het Platform beïnvloedt als SSO is ingeschakeld:

SSO op het API-platform is volledig domeingebaseerd. Dit betekent dat zodra een domein is geverifieerd in een organisatie en SSO is ingeschakeld, ALLE gebruikers met dat domein niet meer met een wachtwoord kunnen inloggen. Als zij geen mogelijkheid hebben voor sociale authenticatie, worden zij buitengesloten van hun respectieve organisaties, tenzij zij tot de toegangsgroep van de IdP behoren.

Omgekeerd worden aan de ChatGPT-kant alleen gebruikers beïnvloed die behoren tot de werkruimte waarin het domein is geverifieerd. Gebruikers die niet in de toegangsgroep van de IdP zitten, kunnen nog steeds inloggen op werkruimtes met de methoden die in de volgende sectie worden besproken.

Inlogervaring voor uw gebruikers

OpenAI ondersteunt drie verschillende authenticatiemethoden:

Gebruikersnaam + wachtwoord
Sociale authenticatie via Microsoft/Google/Apple
SSO

Houd er rekening mee dat het gedrag varieert afhankelijk van of de gebruiker inlogt op ChatGPT of het API-platform, of hun domein is geverifieerd en of voor hun respectieve werkruimten/organisaties SSO wordt afgedwongen.

Door SP geïnitieerde login

Alle gebruikers kunnen rechtstreeks naar chatgpt.com of platform.openai.com gaan om in te loggen. Bij gebruik van deze optie kunnen de verschillende authenticatiemethoden worden geactiveerd zoals hieronder weergegeven:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Als de gebruiker tot meerdere werkruimten behoort, waaronder één waar SSO is ingeschakeld voor hun domein, wordt diegene gevraagd te selecteren bij welke werkruimte moet worden ingelogd.

Door SP geïnitieerde login voor ChatGPT

Als we vaststellen dat het ingevoerde e-mailadres behoort tot een werkruimte waarin het domein is geverifieerd, sturen we de gebruiker door naar hun IdP om te authenticeren. Anders wordt de gebruiker doorgestuurd om in te loggen door het wachtwoord in te voeren.

Als de gebruiker tot meerdere werkruimten behoort, waaronder ten minste één waar SSO is ingeschakeld voor hun domein, wordt diegene gevraagd te selecteren welke methode moet worden gebruikt om in te loggen:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Opmerking: als "SSO afdwingen" is ingeschakeld voor een bepaalde werkruimte, kunnen gebruikers met het/de geverifieerde domein(en) alleen via SSO inloggen. Sociale authenticatie en wachtwoordauthenticatie zijn dan niet beschikbaar.

Door SP geïnitieerde login voor Platform

Zoals eerder vermeld, wordt een gebruiker met een geverifieerd domein die zijn e-mailadres invoert op de inlogpagina van Platform altijd doorgestuurd naar zijn IdP om te authenticeren.

Daarom is het van cruciaal belang dat u dit begrijpt voordat u SSO voor Platform inschakelt. Anders is het erg gemakkelijk om Platform-gebruikers met persoonlijke accounts per ongeluk buiten te sluiten.

Door IdP geïnitieerde login

Wanneer u SSO configureert vanaf de respectieve identiteitspagina's, vindt u een unieke Tile URL voor zowel ChatGPT als het API-platform:

ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login

Deze Tile URL's kunnen in uw IdP worden geconfigureerd zodat uw gebruikers zich met één klik automatisch kunnen aanmelden/authenticeren.

Volgende stappen

Nu u een goede basis van onze architectuur hebt, gaat u verder naar onze pagina ‘Uw ideale setup voor gebruikersbeheer begrijpen’ om de ideale implementatie voor uw use-case te bepalen. Daarna leiden we u door het configureren van SSO en SCIM binnen uw account.

SSO-overzicht