Cel
Ten przewodnik ma dostarczyć administratorom i zespołom IT informacje potrzebne przed skonfigurowaniem logowania jednokrotnego na kontach ChatGPT lub platformy. Logowanie jednokrotne jest dostępne dla klientów Business, Enterprise i Edu.
Architektura bazowa i terminologia
Logowanie jednokrotne jest obecnie obsługiwane przez uwierzytelnianie SAML zarówno w ChatGPT, jak i na platformie API.
Przestrzeń robocza oznacza instancję ChatGPT
Organizacja oznacza instancję platformy API
Dostawca tożsamości (IdP) oznacza usługę, której używasz do zarządzania tożsamością cyfrową. Obsługujemy połączenia przez wszystkich dostawców IdP obsługujących SAML. Do najpopularniejszych dostawców IdP, z którymi nawiązywaliśmy połączenia, należą:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Pełną listę obsługiwanych dostawców IdP znajdziesz na stronie integracji WorkOS. Obsługujemy wszystkie integracje zewnętrzne na tej stronie, z którymi można połączyć się przez SAML lub OIDC.
Obecnie każda przestrzeń robocza ChatGPT ma odpowiadającą jej organizację platformy. Oznacza to, że identyfikator organizacji (org-id), który znajdziesz na stronie „Ogólne” platformy Enterprise, jest tym samym identyfikatorem organizacji (org-id), który jest powiązany z Twoją przestrzenią roboczą ChatGPT Enterprise. W efekcie Twoja przestrzeń robocza i organizacja współdzielą tę samą warstwę uwierzytelniania:
W związku z tą architekturą warto zwrócić uwagę na kilka kluczowych kwestii:
Jeden identyfikator organizacji (org-id) może obsługiwać tylko jedną konfigurację IdP.
Weryfikacje domen i ustawienia logowania jednokrotnego SAML są współdzielone między ChatGPT a platformą API.
Logowanie jednokrotne trzeba włączyć oddzielnie w ChatGPT i na platformie API. Jednak po skonfigurowaniu go w jednym miejscu „konfiguracja” drugiego sprowadza się w dużej mierze do przełączenia ustawienia i, jeśli chcesz, dodania aplikacji zakładki w IdP.
Pierwsze kroki z logowaniem jednokrotnym
Przed skonfigurowaniem logowania jednokrotnego na koncie warto najpierw zrozumieć kilka kluczowych pojęć dotyczących funkcji logowania jednokrotnego OpenAI.
Ogólna terminologia dotycząca tożsamości
Aprowizacja Gdy OpenAI mówi o aprowizacji w kontekście użytkowników, chodzi konkretnie o aprowizację zaproszeń. Nie obsługujemy bezpośrednio aprowizacji tworzenia kont użytkowników. Zaproszenia można aprowizować za pomocą:
SCIM (obsługiwane zarówno w integracji SCIM z ChatGPT, jak i w integracji SCIM z platformą API)
Strona „Członkowie” w ChatGPT lub na platformie API
Automatyczne tworzenie kont
Interfejs API zaproszeń
Aprowizacja zaproszeń jest krokiem niezależnym od uwierzytelniania wykonywanego przez logowanie jednokrotne.
Uwierzytelnianie – „Czy jesteś osobą, za którą się podajesz?”
Przykład: IdP uwierzytelnia użytkownika w naszej usłudze, dzięki czemu wiemy, że podczas logowania jest on osobą, za którą się podaje.
Autoryzacja – „Co możesz robić lub zobaczyć?”
Przykład: po uwierzytelnieniu przez IdP ustalamy, do których przestrzeni roboczych ChatGPT należysz.
Poznaj ustawienia logowania jednokrotnego OpenAI
Weryfikacja domeny To warunek wstępny włączenia logowania jednokrotnego i automatycznego tworzenia kont. W skrócie: „Czy jesteś właścicielem tej domeny?”
Podczas logowania przez chatgpt.com lub platform.openai.com zweryfikowana domena decyduje, czy użytkownik zostanie przekierowany na naszą stronę hasła, czy do IdP, jeśli skonfigurowano też logowanie jednokrotne
Po zweryfikowaniu domeny w przestrzeni roboczej każdy użytkownik zaproszony do niej z adresem e-mail z tej domeny zostanie poproszony o połączenie konta osobistego przy następnym logowaniu.
Uwierzytelnianie w ChatGPT opiera się na domenie ORAZ przestrzeni roboczej — gdy domena jest zweryfikowana, a w przestrzeni roboczej włączono logowanie jednokrotne, tylko użytkownicy z tej przestrzeni roboczej, którzy korzystają z tej domeny, zostaną przekierowani do logowania jednokrotnego. Użytkownicy korzystający z tej domeny, ale NIE należący do przestrzeni roboczej (np. użytkownicy kont Free, Plus, Pro lub Team z Twojej domeny), nadal będą logować się przez e-mail/hasło albo logowanie społecznościowe.
Uwierzytelnianie na platformie jest oparte na domenie — gdy domena jest zweryfikowana i włączone jest logowanie jednokrotne, wszyscy użytkownicy platformy w tej domenie utracą możliwość logowania się hasłem. Więcej informacji znajdziesz poniżej w sekcji „Weryfikacja domeny w ChatGPT a na platformie API”.
Subdomeny trzeba weryfikować oddzielnie od domen najwyższego poziomu
Abyśmy mogli pomyślnie przetworzyć weryfikację domeny, rekord TXT musi być możliwy do odczytania przez wyszukiwanie DNS.
(Tylko ChatGPT) Automatyczne tworzenie kont (AAC) Po włączeniu w przestrzeni roboczej ChatGPT nowy użytkownik, którego adres e-mail pasuje do zweryfikowanych domen, automatycznie otrzyma zaproszenie do przestrzeni roboczej Enterprise podczas rejestracji. Nie zalecamy włączania AAC, jeśli korzystasz z SCIM.
(Tylko ChatGPT) Zezwalaj na zaproszenia z domen zewnętrznych To ustawienie określa, czy użytkownicy z niezweryfikowanych domen mogą być zapraszani do przestrzeni roboczej. Użytkownicy z domen zewnętrznych nie będą musieli logować się przez logowanie jednokrotne, ponieważ jego ustawienia dotyczą tylko użytkowników należących do zweryfikowanej domeny.
Włącz logowanie jednokrotne To ustawienie określa, czy skonfigurowane ustawienia logowania jednokrotnego mają zastosowanie do przestrzeni roboczej i/lub organizacji.
Wymuś logowanie jednokrotne
Gdy to ustawienie jest wyłączone, użytkownicy ze zweryfikowaną domeną mogą wybrać logowanie przez logowanie jednokrotne albo logowanie społecznościowe.
Administratorzy globalni mogą ustawić wymuszanie logowania jednokrotnego jako wymagane zarówno dla ChatGPT, jak i platformy API bezpośrednio na stronie Zarządzaj logowaniem jednokrotnym w konsoli administratora. Gdy to ustawienie jest włączone, użytkownicy ze zweryfikowaną domeną mogą logować się do przestrzeni roboczej lub organizacji z włączonym logowaniem jednokrotnym wyłącznie przez logowanie jednokrotne. Uwierzytelnianie hasłem i społecznościowe nie obowiązuje już w tej przestrzeni roboczej/organizacji, ale nadal można z niego korzystać w innych przestrzeniach roboczych/organizacjach, w których ich domena nie jest zweryfikowana.
Weryfikacja domeny w ChatGPT a na platformie API
Jak omówiono wcześniej, weryfikacja domeny jest stosowana we współdzielonych instancjach ChatGPT i platformy. Istnieje jednak zasadnicza różnica w tym, jak weryfikacja domeny wpływa na logowanie do ChatGPT i do platformy, gdy włączone jest logowanie jednokrotne:
Logowanie jednokrotne na platformie API jest w całości oparte na domenie. Oznacza to, że gdy domena zostanie zweryfikowana w dowolnej organizacji i włączone zostanie logowanie jednokrotne, WSZYSCY użytkownicy z tą domeną utracą możliwość logowania się hasłem. Jeśli nie mają możliwości uwierzytelnienia społecznościowego, utracą dostęp do swoich organizacji, chyba że należą do grupy dostępu IdP.
Z kolei po stronie ChatGPT dotyczy to tylko użytkowników należących do przestrzeni roboczej, w której zweryfikowano domenę. Użytkownicy, którzy nie należą do grupy dostępu IdP, nadal będą mogli logować się do przestrzeni roboczych metodami omówionymi w następnej sekcji.
Doświadczenie logowania użytkowników
OpenAI obsługuje trzy różne metody uwierzytelniania:
Nazwa użytkownika + hasło
Uwierzytelnianie społecznościowe przez Microsoft/Google/Apple
Logowanie jednokrotne
Pamiętaj, że działanie będzie się różnić w zależności od tego, czy użytkownik loguje się do ChatGPT czy na platformę API, czy jego domena jest zweryfikowana oraz czy w odpowiednich przestrzeniach roboczych/organizacjach wymuszono logowanie jednokrotne.
Logowanie inicjowane przez SP
Wszyscy użytkownicy mogą przejść bezpośrednio do chatgpt.com lub platform.openai.com, aby się zalogować. W przypadku tej opcji różne metody uwierzytelniania można uruchomić w sposób pokazany poniżej:
Jeśli użytkownik należy do wielu przestrzeni roboczych, w tym do takiej, w której dla jego domeny włączono logowanie jednokrotne, zostanie poproszony o wybranie przestrzeni roboczej, do której chce się zalogować.
Logowanie do ChatGPT inicjowane przez SP
Jeśli ustalimy, że podany adres e-mail należy do przestrzeni roboczej, w której zweryfikowano jego domenę, przekierujemy użytkownika do IdP w celu uwierzytelnienia. W przeciwnym razie użytkownik zostanie skierowany do logowania przez podanie hasła.
Jeśli użytkownik należy do wielu przestrzeni roboczych, w tym co najmniej jednej, w której dla jego domeny włączono logowanie jednokrotne, zostanie poproszony o wybranie metody logowania:
Uwaga: jeśli dla danej przestrzeni roboczej włączono opcję „Wymuś logowanie jednokrotne”, użytkownicy ze zweryfikowanymi domenami mogą logować się tylko przez logowanie jednokrotne. Uwierzytelnianie społecznościowe i hasłem nie będzie dostępne.
Logowanie na platformie inicjowane przez SP
Jak wspomniano wcześniej, gdy użytkownik ze zweryfikowaną domeną wpisze swój adres e-mail na stronie logowania platformy, zawsze zostanie przekierowany do IdP w celu uwierzytelnienia.
Dlatego przed włączeniem logowania jednokrotnego dla platformy trzeba koniecznie dobrze zrozumieć jego działanie. W przeciwnym razie bardzo łatwo omyłkowo zablokować dostęp użytkownikom platformy korzystającym z kont osobistych.
Logowanie inicjowane przez IdP
Podczas konfigurowania logowania jednokrotnego na odpowiednich stronach tożsamości znajdziesz unikalny adres URL kafelka udostępniony zarówno dla ChatGPT, jak i platformy API:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platforma: https://platform.openai.com/enterprise/conn_012abc/login
Te adresy URL kafelków można skonfigurować w IdP, aby użytkownicy mogli automatycznie logować się i uwierzytelniać jednym kliknięciem.
Następne kroki
Teraz, gdy masz już solidne podstawy dotyczące naszej architektury, przejdź do strony „Jak zrozumieć idealną konfigurację zarządzania użytkownikami”, aby określić najlepsze wdrożenie dla swojego przypadku użycia. Następnie przeprowadzimy Cię przez konfigurację logowania jednokrotnego i SCIM na Twoim koncie.