Finalidade
Este guia tem como objetivo fornecer aos administradores e equipes de TI as informações necessárias a serem consideradas antes de configurar o SSO em suas contas do ChatGPT ou da plataforma. O SSO está disponível para clientes das categorias Business, Enterprise e Educ.
Arquitetura e terminologia de fundo
O SSO (Single Sign-On) é atualmente suportado por meio da autenticação SAML tanto para o ChatGPT quanto para a Plataforma de API.
Workspace refere-se a uma instância do ChatGPT
Organização refere-se a uma instância da Plataforma de API.
O Provedor de Identidade (IdP) refere-se ao serviço que você utiliza para gerenciar sua identidade digital. Nós oferecemos suporte a conexões através de todos os IdPs que suportam SAML. Alguns dos IDPs mais comuns com os quais nos conectamos incluem:
Okta
Azure Active Directory/ID de entrada
Google Workspace
Duo
Para obter a lista completa de IdPs suportados, consulte a página de integrações do WorkOS. Oferecemos suporte a todas as integrações de terceiros nesta página que podem ser conectadas via SAML ou OIDC.
Atualmente, cada espaço de trabalho do ChatGPT possui uma organização de plataforma correspondente vinculada a ele. Isso significa que o ID da organização (org-id) que você encontra na página "Geral" da sua Plataforma Empresarial é o mesmo ID da organização (org-id) vinculado ao seu espaço de trabalho do ChatGPT Empresarial. Como resultado, seu espaço de trabalho e organização compartilham a mesma camada de autenticação:
Existem alguns pontos importantes a serem observados em decorrência dessa arquitetura:
Um único ID de organização (org-id) só pode suportar uma única configuração de IdP.
As verificações de domínio e as configurações de SSO SAML são compartilhadas entre o ChatGPT e a plataforma de API.
O SSO precisa ser habilitado separadamente no ChatGPT e na plataforma de API. No entanto, depois de configurá-lo em um, a "configuração" do outro se resume basicamente a ativar a opção e adicionar um aplicativo de favoritos no seu IdP, se desejar.
Introdução ao SSO
Antes de configurar o SSO em sua conta, é importante primeiro entender alguns conceitos-chave sobre a funcionalidade de SSO da OpenAI.
Terminologia geral de identidade
Provisionamento
Quando a OpenAI se refere ao provisionamento no contexto de usuários, estamos nos referindo especificamente ao provisionamento de convites. Não oferecemos suporte direto ao provisionamento e à criação de contas de usuário. Os convites podem ser fornecidos através de:
SCIM (compatível com a integração SCIM do ChatGPT e com a integração SCIM da plataforma de API)
A página "Membros" do ChatGPT ou da Plataforma de API
Criação automática de contas
API de Convites
O envio de convites é uma etapa independente da autenticação realizada pelo SSO.
Autenticação – “Você é quem diz ser?”
Exemplo: um IdP autentica um usuário em nosso serviço para que saibamos que ele é quem diz ser ao fazer login.
Autorização – “O que você tem permissão para fazer ou ver?”
Exemplo: Depois que seu IdP autentica você, determinamos de qual(is) espaço(s) de trabalho do ChatGPT você faz parte.
Conhecendo as configurações de SSO da OpenAI
Verificação de domínio
Este é um pré-requisito para habilitar o SSO (Single Sign-On) e a Criação Automática de Contas. Basicamente, "Você é o proprietário deste domínio?"
Ao fazer login via chatgpt.com ou platform.openai.com, um domínio verificado determina se o usuário será redirecionado para nossa página de senha ou para seu IdP, caso o SSO também esteja configurado.
Após a verificação de um domínio no seu Espaço de Trabalho, qualquer usuário convidado para o espaço de trabalho com um e-mail desse domínio será solicitado a mesclar sua conta pessoal na próxima vez que fizer login.
A autenticação do ChatGPT é baseada em domínio E espaço de trabalho - quando um domínio é verificado e o SSO está habilitado no espaço de trabalho, somente os usuários desse espaço de trabalho que compartilham o domínio serão encaminhados para o SSO. Usuários que compartilham o domínio, mas NÃO fazem parte do Workspace (ou seja, Usuários de contas gratuitas, Plus, Pro ou Team do seu domínio continuarão a fazer login por e-mail/senha ou redes sociais.
A autenticação da plataforma é baseada em domínio — quando um domínio é verificado e o SSO (Single Sign-On) é ativado, todos os usuários da plataforma vinculados a esse domínio perdem a capacidade de fazer login com senha. Veja "Verificação de domínio no ChatGPT vs. na plataforma de API" abaixo para mais detalhes.
Os subdomínios devem ser verificados separadamente dos domínios de nível superior.
Para que possamos processar com sucesso a verificação do seu domínio, o seu registro TXT deve ser legível por meio de uma consulta DNS.
(Somente ChatGPT) Criação automática de conta (AAC)
Quando ativado em um espaço de trabalho do ChatGPT, um novo usuário cujo e-mail corresponda ao(s) domínio(s) verificado(s) receberá automaticamente um convite para o espaço de trabalho corporativo ao se cadastrar. Não recomendamos ativar o AAC se estiver usando o SCIM.
(Apenas ChatGPT) Permitir convites de domínio externo
Essa configuração controla se usuários com domínios não verificados podem ou não ser convidados para o espaço de trabalho. Usuários de domínios externos não precisarão fazer login por meio do SSO, pois as configurações de SSO se aplicam somente a usuários pertencentes ao domínio verificado.
Ativar SSO
Essa configuração determina se as suas configurações de SSO (Single Sign-On) se aplicam ao espaço de trabalho e/ou à organização.
Ative o SSO
Quando desativada, essa configuração permite que usuários com um domínio verificado escolham entre fazer login via SSO ou por meio de login social.
Os administradores globais podem definir a opção "Impor SSO" como "Obrigatório" tanto para o ChatGPT quanto para a Plataforma de API diretamente na página "Gerenciar SSO" no Console de Administração. Quando ativada, essa configuração faz com que apenas usuários com domínio verificado possam acessar o espaço de trabalho ou a organização com SSO habilitado. A autenticação por senha e autenticação social não são mais válidas para o workspace/organização, mas ainda podem ser usadas em outros workspaces/organizações onde o domínio não está verificado.
Verificação de domínio no ChatGPT versus a plataforma de API
Conforme discutido anteriormente, a verificação de domínio é aplicada em todas as instâncias compartilhadas do ChatGPT e da Plataforma. No entanto, existe uma diferença crucial na forma como a verificação de domínio afeta os logins no ChatGPT em comparação com a Plataforma, caso o SSO esteja ativado:
O SSO na plataforma de API é inteiramente baseado em domínio. Isso significa que, uma vez que um domínio tenha sido verificado em qualquer organização e o SSO ativado, TODOS os usuários desse domínio perderão a capacidade de fazer login com senhas. Caso não possuam um meio de autenticação social, ficarão impedidos de acessar suas respectivas organizações, a menos que pertençam ao grupo de acesso do IdP.
Por outro lado, no ChatGPT, apenas os usuários que pertencem ao espaço de trabalho onde o domínio foi verificado serão afetados. Usuários que não fazem parte do grupo de acesso do IdP ainda poderão acessar os espaços de trabalho usando os métodos discutidos na próxima seção.
Experiência de login para seus usuários
A OpenAI oferece suporte a três métodos de autenticação diferentes:
Nome de usuário + Senha
Autenticação social via Microsoft/Google/Apple
SSO
Lembre-se de que o comportamento pode variar dependendo se o usuário está fazendo login no ChatGPT ou na Plataforma de API, se o domínio dele está verificado e se seus respectivos espaços de trabalho/organizações implementaram o SSO (Single Sign-On).
Login iniciado pelo SP
Todos os usuários podem acessar diretamente o site chatgpt.com ou platform.openai.com para fazer login. Ao usar esta opção, os diferentes métodos de autenticação podem ser acionados, conforme mostrado abaixo:
Se o usuário pertencer a vários espaços de trabalho, incluindo um onde o SSO (Single Sign-On) esteja habilitado para seu domínio, ele será solicitado a selecionar em qual espaço de trabalho deseja fazer login.
Login iniciado pelo SP do ChatGPT
Se constatarmos que o e-mail inserido pertence a um espaço de trabalho cujo domínio foi verificado, encaminharemos o usuário para o IdP (provedor de identidade) para autenticação. Caso contrário, o usuário será direcionado para a página de login, onde deverá inserir sua senha.
Se o usuário pertencer a vários espaços de trabalho, incluindo pelo menos um onde o SSO (Single Sign-On) esteja habilitado para seu domínio, ele será solicitado a selecionar qual método usar para fazer login:
Observação: se a opção "Impor SSO" estiver ativada para um determinado espaço de trabalho, os usuários com domínio(s) verificado(s) só poderão fazer login por meio do SSO. A autenticação por redes sociais e senha não estará disponível.
Login iniciado pelo SP da plataforma
Conforme mencionado anteriormente, quando um usuário com um domínio verificado insere seu e-mail na página de login da Plataforma, ele sempre será direcionado ao seu IdP para autenticação.
Por isso, é fundamental garantir que você compreenda o processo antes de habilitar o SSO para a Plataforma. Caso contrário, é muito fácil bloquear acidentalmente o acesso de usuários da Plataforma a contas pessoais.
Login iniciado pelo IdP
Ao configurar o SSO nas respectivas páginas de identidade, você encontrará um URL exclusivo do Tile, fornecido tanto para o ChatGPT quanto para a Plataforma de API:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Plataforma: https://platform.openai.com/enterprise/conn_012abc/login
Esses URLs de bloco podem ser configurados em seu IdP para permitir que seus usuários façam login/autenticação automaticamente com um único clique.
Próximos passos
Agora que você tem uma boa base da nossa arquitetura, acesse a página "Entendendo a Configuração Ideal de Gerenciamento de Usuários" para determinar a implementação ideal para o seu caso de uso. Em seguida, mostraremos como configurar o SSO e o SCIM em sua conta.