Cel
Ten przewodnik ma dostarczyć administratorom i zespołom IT niezbędnych informacji do rozważenia przed skonfigurowaniem logowania jednokrotnego w kontach ChatGPT lub Platformy. Logowanie jednokrotne jest dostępne dla klientów Business, Enterprise i Edu.
Architektura bazowa i terminologia
Logowanie jednokrotne jest obecnie obsługiwane przez uwierzytelnianie SAML zarówno w ChatGPT, jak i na Platformie API.
Przestrzeń robocza oznacza instancję ChatGPT
Organizacja oznacza instancję Platformy API
Dostawca tożsamości (IdP) oznacza usługę, której używasz do zarządzania tożsamością cyfrową. Obsługujemy połączenia przez wszystkich dostawców IdP, którzy obsługują SAML. Niektórzy z najczęściej używanych dostawców IdP, z którymi się łączyliśmy, to:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Pełną listę obsługiwanych dostawców IdP znajdziesz na stronie integracji WorkOS. Obsługujemy wszystkie integracje zewnętrzne na tej stronie, które można połączyć przez SAML lub OIDC.
Obecnie każda przestrzeń robocza ChatGPT ma powiązaną z nią odpowiadającą jej organizację Platformy. Oznacza to, że identyfikator organizacji (org-id), który znajdziesz na swojej stronie „Ogólne” Platformy Enterprise, jest tym samym identyfikatorem organizacji (org-id) powiązanym z przestrzenią roboczą ChatGPT Enterprise. W rezultacie Twoja przestrzeń robocza i organizacja współdzielą tę samą warstwę uwierzytelniania:
W związku z tą architekturą warto zwrócić uwagę na kilka kluczowych kwestii:
Jeden identyfikator organizacji (org-id) może obsługiwać tylko jedną konfigurację IdP.
Weryfikacje domen i ustawienia SAML SSO są współdzielone między ChatGPT a Platformą API.
Logowanie jednokrotne trzeba włączyć osobno w ChatGPT i na Platformie API. Jednak po skonfigurowaniu go w jednym miejscu „konfiguracja” w drugim sprowadza się głównie do przełączenia opcji i ewentualnego dodania aplikacji zakładki w IdP.
Wprowadzenie do logowania jednokrotnego
Przed skonfigurowaniem logowania jednokrotnego na swoim koncie важно najpierw zrozumieć kilka kluczowych pojęć dotyczących funkcji logowania jednokrotnego OpenAI.
Ogólna terminologia związana z tożsamością
Provisioning
Gdy OpenAI mówi o provisioningu w kontekście użytkowników, mamy konkretnie na myśli provisioning zaproszeń. Nie obsługujemy bezpośrednio provisioningu tworzenia kont użytkowników. Zaproszenia mogą być provisionowane przez:
SCIM (obsługiwany zarówno w integracji SCIM ChatGPT, jak i integracji SCIM Platformy API)
Stronę „Członkowie” w ChatGPT lub na Platformie API
Automatyczne tworzenie kont
API zaproszeń
Provisioning zaproszeń to krok niezależny od uwierzytelniania wykonywanego przez logowanie jednokrotne.
Uwierzytelnianie – „Czy jesteś tym, za kogo się podajesz?”
Przykład: dostawca IdP uwierzytelnia użytkownika w naszej usłudze, abyśmy wiedzieli, że podczas logowania jest tym, za kogo się podaje.
Autoryzacja – „Co możesz robić lub zobaczyć?”
Przykład: po uwierzytelnieniu przez IdP ustalamy, do których przestrzeni roboczych ChatGPT należysz.
Poznanie ustawień logowania jednokrotnego OpenAI
Weryfikacja domeny
To warunek wstępny włączenia logowania jednokrotnego i automatycznego tworzenia kont. Zasadniczo: „Czy jesteś właścicielem tej domeny?”
Podczas logowania przez chatgpt.com lub platform.openai.com zweryfikowana domena określa, czy użytkownik ma zostać przekierowany na stronę hasła, czy do swojego IdP, jeśli skonfigurowano też logowanie jednokrotne
Po zweryfikowaniu domeny w przestrzeni roboczej każdy użytkownik zaproszony do niej z adresem e-mail z tej domeny zostanie przy następnym logowaniu poproszony o scalenie konta osobistego.
Uwierzytelnianie ChatGPT zależy od domeny ORAZ przestrzeni roboczej — gdy domena jest zweryfikowana i logowanie jednokrotne jest włączone w przestrzeni roboczej, do logowania jednokrotnego będą kierowani tylko użytkownicy z tej przestrzeni roboczej współdzielący tę domenę. Użytkownicy współdzielący domenę, ale NIEbędący częścią przestrzeni roboczej (tj. użytkownicy kont Free, Plus, Pro lub Team z Twojej domeny), nadal będą logować się przez e-mail/hasło lub logowanie społecznościowe.
Uwierzytelnianie Platformy zależy od domeny — gdy domena jest zweryfikowana i logowanie jednokrotne jest włączone, wszyscy użytkownicy Platformy w tej domenie utracą możliwość logowania hasłem. Więcej informacji znajdziesz poniżej w sekcji „Weryfikacja domeny w ChatGPT a na Platformie API”.
Subdomeny muszą być weryfikowane osobno od domen najwyższego poziomu
Abyśmy mogli pomyślnie przetworzyć weryfikację domeny, rekord TXT musi być możliwy do odczytania przez wyszukiwanie DNS.
(Tylko ChatGPT) Automatyczne tworzenie kont (AAC)
Po włączeniu w przestrzeni roboczej ChatGPT nowy użytkownik, którego e-mail pasuje do zweryfikowanych domen, automatycznie otrzyma zaproszenie do przestrzeni roboczej Enterprise podczas rejestracji. Nie zalecamy włączania AAC, jeśli używasz SCIM.
(Tylko ChatGPT) Zezwalaj na zaproszenia z domen zewnętrznych
To ustawienie określa, czy użytkownicy z niezweryfikowanych domen mogą być zapraszani do przestrzeni roboczej. Użytkownicy z domen zewnętrznych nie będą musieli logować się przez logowanie jednokrotne, ponieważ ustawienia logowania jednokrotnego dotyczą tylko użytkowników należących do zweryfikowanej domeny.
Włącz logowanie jednokrotne
To ustawienie określa, czy skonfigurowane ustawienia logowania jednokrotnego mają zastosowanie do przestrzeni roboczej i/lub organizacji.
Wymuś logowanie jednokrotne
Po wyłączeniu to ustawienie pozwala użytkownikom ze zweryfikowaną domeną wybrać logowanie przez logowanie jednokrotne lub logowanie społecznościowe.
Administratorzy globalni mogą ustawić opcję Wymuś logowanie jednokrotne jako Wymagane zarówno dla ChatGPT, jak i Platformy API bezpośrednio na stronie Zarządzaj logowaniem jednokrotnym w konsoli administracyjnej. Po włączeniu to ustawienie sprawia, że użytkownicy ze zweryfikowaną domeną mogą logować się do przestrzeni roboczej lub organizacji z włączonym logowaniem jednokrotnym wyłącznie przez logowanie jednokrotne. Uwierzytelnianie hasłem i logowanie społecznościowe nie są już ważne dla tej przestrzeni roboczej/organizacji, ale nadal mogą być używane w innych przestrzeniach roboczych/organizacjach, w których domena użytkownika nie jest zweryfikowana.
Weryfikacja domeny w ChatGPT a na Platformie API
Jak omówiono wcześniej, weryfikacja domeny jest stosowana we współdzielonych instancjach ChatGPT i Platformy. Istnieje jednak kluczowa różnica w tym, jak weryfikacja domeny wpływa na logowanie do ChatGPT i do Platformy, jeśli logowanie jednokrotne jest włączone:
SSO na Platformie API jest w pełni oparte na domenie. Oznacza to, że gdy domena zostanie zweryfikowana w dowolnej organizacji i SSO zostanie włączone, WSZYSCY użytkownicy z tą domeną utracą możliwość logowania za pomocą hasła. Jeśli nie mają możliwości uwierzytelniania społecznościowego, zostaną zablokowani w swoich organizacjach, chyba że należą do grupy dostępu IdP.
Z kolei po stronie ChatGPT wpływ odczują tylko użytkownicy należący do przestrzeni roboczej, w której zweryfikowano domenę. Użytkownicy, którzy nie należą do grupy dostępu IdP, nadal będą mogli logować się do przestrzeni roboczych metodami omówionymi w następnej sekcji.
Sposób logowania użytkowników
OpenAI obsługuje trzy różne metody uwierzytelniania:
Nazwa użytkownika + hasło
Logowanie społecznościowe przez Microsoft/Google/Apple
Logowanie jednokrotne
Pamiętaj, że działanie będzie się różnić w zależności od tego, czy użytkownik loguje się do ChatGPT czy do Platformy API, czy jego domena jest zweryfikowana oraz czy odpowiednie przestrzenie robocze/organizacje mają wymuszone logowanie jednokrotne.
Logowanie inicjowane przez SP
Wszyscy użytkownicy mogą przejść bezpośrednio na chatgpt.com lub platform.openai.com, aby się zalogować. Przy użyciu tej opcji różne metody uwierzytelniania mogą zostać uruchomione, jak pokazano poniżej:
Jeśli użytkownik należy do wielu przestrzeni roboczych, w tym jednej, w której dla jego domeny włączono logowanie jednokrotne, zostanie poproszony o wybranie przestrzeni roboczej, do której chce się zalogować.
Logowanie do ChatGPT inicjowane przez SP
Jeśli ustalimy, że wpisany adres e-mail należy do przestrzeni roboczej, w której jego domena jest zweryfikowana, skierujemy użytkownika do jego IdP w celu uwierzytelnienia. W przeciwnym razie użytkownik zostanie skierowany do logowania przez wpisanie hasła.
Jeśli użytkownik należy do wielu przestrzeni roboczych, w tym co najmniej jednej, w której dla jego domeny włączono logowanie jednokrotne, zostanie poproszony o wybranie metody logowania:
Uwaga: jeśli dla danej przestrzeni roboczej włączono „Wymuś SSO”, użytkownicy ze zweryfikowaną domeną(ami) mogą logować się tylko przez SSO. Uwierzytelnianie społecznościowe i hasłem nie będą dostępne.
Logowanie do Platformy inicjowane przez SP
Jak wspomniano wcześniej, gdy użytkownik ze zweryfikowaną domeną wpisze swój adres e-mail na stronie logowania do Platformy, zawsze zostanie skierowany do swojego IdP w celu uwierzytelnienia.
Dlatego tak ważne jest, aby dobrze to rozumieć przed włączeniem logowania jednokrotnego na Platformie. W przeciwnym razie bardzo łatwo jest przez pomyłkę zablokować użytkownikom Platformy dostęp do kont osobistych.
Logowanie inicjowane przez IdP
Podczas konfigurowania logowania jednokrotnego na odpowiednich stronach tożsamości znajdziesz unikalny adres URL kafelka zarówno dla ChatGPT, jak i Platformy API:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platforma: https://platform.openai.com/enterprise/conn_012abc/login
Te adresy URL kafelków można skonfigurować w IdP, aby umożliwić użytkownikom automatyczne logowanie/uwierzytelnianie jednym kliknięciem.
Następne kroki
Teraz, gdy masz już dobre podstawy naszej architektury, przejdź do strony „Zrozumienie idealnej konfiguracji zarządzania użytkownikami”, aby określić idealne wdrożenie dla swojego przypadku użycia. Następnie przeprowadzimy Cię przez konfigurację logowania jednokrotnego i SCIM na Twoim koncie.