Pré-requisitos
Para configurar o SSO, você precisa:
ter um plano da OpenAI com um Console de administração global;
ser administrador global.
Antes de prosseguir, revise nossas páginas de documentação sobre Visão Geral do SSO e Gerenciamento de Usuários para garantir que você esteja familiarizado com nossa arquitetura de SSO.
Se você já tiver configurado o SSO para uma organização da plataforma de API ou um workspace do ChatGPT, seus ajustes de SSO deverão estar disponíveis para configuração na página Identidade da OpenAI. Se o workspace ou a organização em que deseja habilitar o SSO não aparecer no seu Console de administração global, entre em contato com support@openai.com.
⚠️ Seus usuários ficarão bloqueados se o SSO não estiver configurado corretamente!
Uma configuração incorreta pode impedir que seus usuários acessem organizações e espaços de trabalho nos quais o SSO é obrigatório. Recomendamos que, como administrador global, você mantenha o SSO como opcional no portal de administração.
Durante a configuração, mantenha duas janelas abertas com a sessão iniciada:
Um usuário fez login através de uma janela anônima.
Uma sessão iniciada através do seu navegador padrão
Isso permite testar o processo de login e a configuração de SSO/Verificação de Domínio em uma janela e reverter as alterações, se necessário, em uma segunda janela.
Testando SSO
Se desejar testar o processo de configuração sem correr o risco de afetar seus usuários, você pode fazê-lo através do aplicativo aqui.
Estabelecer uma conexão bem-sucedida neste aplicativo de teste não a vinculará à sua organização de produção, nem salvará a conexão (portanto, você poderá reutilizar os mesmos parâmetros em sua instância de produção quando estiver pronto). Isso significa que é seguro usá-lo como um ambiente de testes ou de experimentação enquanto você se familiariza com os requisitos e resolve quaisquer pré-requisitos que estejam faltando.
Habilitando o SSO
Para começar, acesse a página Identidade OpenAI no Console de Administração Global. Você também pode acessar essa página pelo link na página "Identidade e Provisionamento", abaixo das configurações de "Gerenciar Espaço de Trabalho" no ChatGPT, ou na aba Identidade das configurações da sua organização na Plataforma de API.
Alguns dos exemplos abaixo mostrarão a configuração no Okta, mas a mesma lógica deve ser aplicável a todos os IdPs SAML.
Verificação de domínio
Para habilitar o SSO, solicitamos que você primeiro verifique pelo menos um domínio.
Importante: Lembre-se de analisar o impacto subsequente que a verificação de domínio pode ter sobre os usuários desse domínio.
Clique no botão "+ Adicionar Domínio" e insira seu DNS para começar:
Após o envio, forneceremos uma chave para que você possa verificar a propriedade do seu domínio. Acesse o site do seu provedor de DNS e adicione um registro TXT com o valor fornecido:
Para que a verificação seja bem-sucedida, seu registro TXT precisa estar acessível por meio de uma consulta DNS.
Após concluir essa etapa no seu provedor de DNS, retorne à página de configuração e clique no botão "Verificar". Se a propriedade do seu domínio for validada com sucesso, você verá o status atualizado para “Verificado”.
Você pode adicionar até 99 domínios verificados por portal de administração, e oferecemos um período de sete dias para que a verificação seja concluída antes de marcar um domínio como expirado. Os domínios só podem ser verificados em um único portal de administração. Se for necessário verificar o mesmo domínio em uma organização ou um espaço de trabalho que não esteja no seu portal de administração, entre em contato com o suporte.
Configurando seu aplicativo
Após verificar com sucesso o seu domínio, você pode prosseguir com a configuração do SSO configurando seu aplicativo IdP.
Para começar, clique no botão "Configurar SSO":
Selecionando seu provedor de identidade
Você tem a opção de selecionar em uma lista dos IdPs mais populares que oferecem suporte nativo a integrações SAML. Se você não encontrar seu IdP na lista ou se preferir usar uma conexão OIDC, selecione o botão Conexão personalizada apropriado, exibido na parte inferior:
Criando/Conectando o Aplicativo
Agora você pode seguir o assistente de configuração passo a passo para criar e conectar seu aplicativo IdP conosco. Dependendo do IdP que você estiver usando, as instruções podem variar um pouco, mas a configuração geral permanece a mesma:
Observe que os URLs fornecidos na etapa de criação serão exclusivos da sua organização:
Importante: Se optar por redefinir uma conexão SSO ativa, esses valores de URL serão alterados. Ao configurar o SSO novamente, você precisará atualizá-los adequadamente em seu aplicativo.
Após concluir a configuração da URL, você pode prosseguir para a definição do mapeamento de atributos para usuários autenticados por meio do seu aplicativo.
Mapeamento de Atributos
O mapeamento de atributos que você define no seu aplicativo de SSO determina quais contas da OpenAI são autenticadas e como os usuários aparecem nos produtos da OpenAI. Nosso modelo de usuário atual suporta três propriedades:
Endereço de e-mail (obrigatório na resposta SAML, determina qual conta é acessada)
Nome (opcional, mas recomendado)
Sobrenome (opcional, mas recomendado)
Observação: Não oferecemos suporte à descriptografia de respostas SAML. Certifique-se de não criptografar sua resposta ou declaração para garantir que possamos identificar os atributos corretamente.
Dependendo do seu IdP, o mapeamento exato dos atributos pode variar. Recomendamos seguir o mapeamento exato apresentado para o seu IdP no assistente de configuração, por exemplo. Okta seria:
Se você estiver vendo novos usuários acessando o sistema com seus endereços de e-mail definidos como seus nomes de exibição, revise seu mapeamento de atributos e confirme se você não está criptografando suas respostas.
Alternativamente, se novos usuários estiverem sendo solicitados a inserir seu nome e data de nascimento, isso provavelmente indica que não estamos identificando um valor de nome válido na resposta do seu atributo.
Alterações de E-mail
Ocasionalmente, o endereço de e-mail de um usuário pode ser atualizado em seu IdP, por exemplo.
Uma mudança legal de nome após o casamento.
A empresa deles foi adquirida e eles têm um novo domínio.
etc.
Se essa atualização alterar o valor da declaração de endereço de e-mail na resposta SAML do SSO, outro usuário da OpenAI associado ao novo endereço de e-mail será acessado (e criado, se ainda não existir) após um SSO bem-sucedido. Esse usuário precisará ser convidado para a organização ou o espaço de trabalho separadamente do usuário original.
Endereços de e-mail principais
Em alguns casos, você pode ter usuários com vários endereços de e-mail diferentes. Este é um cenário comum em grandes empresas que possuem sistemas de distribuição de e-mail ou para clientes da área educacional com diferentes escolas, por exemplo.
Nessa situação, recomendamos garantir que sua resposta SAML inclua apenas um único endereço de e-mail em seus atributos, pois incluir vários endereços de e-mail pode causar confusão quando tentarmos associá-la a um usuário novo ou existente.
Além disso, se os usuários tiverem um endereço de e-mail estático (por exemplo, um UPN), recomendamos utilizá-lo no mapeamento de atributos para garantir que eles tenham uma conta de usuário OpenAI estável, que não será afetada caso seus outros endereços de e-mail sejam alterados.
Provisionar acesso ao aplicativo IdP
Após criar com sucesso o mapeamento de atributos, o assistente irá guiá-lo pelos passos para conceder acesso aos usuários apropriados através dos grupos desejados.
Por favor, revise nossas recomendações sobre Gerenciamento de Usuários para conhecer as melhores práticas.
Configuração de metadados do IdP
Nesta etapa da configuração, você tem duas opções distintas para definir os metadados do seu IdP: Configuração Dinâmica e Configuração Manual.
Configuração dinâmica
Esta é a opção recomendada e mais simples. Com a Configuração Dinâmica, basta fornecer o URL de Metadados (agora preenchido com o URL de SSO e o ID da Entidade que você configurou anteriormente) associado ao seu aplicativo. O assistente de configuração mostrará onde você pode encontrar isso no seu IDP:
Configuração manual
Como o próprio nome indica, a Configuração Manual requer um pouco mais de trabalho. Dependendo do seu IdP, você precisará inserir o URL de SSO correspondente e a entidade emissora do IdP, juntamente com um certificado x.509:
Login iniciado pelo IdP
Se você deseja que seus usuários possam clicar em um bloco no painel e serem autenticados automaticamente, pode configurar a autenticação iniciada pelo IdP em seu aplicativo como parte do processo de configuração. Embora o processo exato varie dependendo do seu IdP, o processo geral utilizará um URL fornecido no formato de:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_0123abc
Plataforma de API: https://platform.openai.com/enterprise/conn_01ABC02DEF/login
Por exemplo, a Okta irá orientá-lo na criação de um novo aplicativo de favoritos com este URL:
Enquanto o Entra ID permitirá que você insira o "URL de login" fornecido no formulário apropriado:
Importante: Se optar por redefinir uma conexão SSO ativa, esses valores de URL serão alterados.
Isso significa que, ao configurar a nova conexão, você também precisará atualizar o URL de login de acordo, caso contrário, os usuários não conseguirão se autenticar por meio de seus blocos.
Concluir a configuração
Após configurar os metadados do seu IdP, você pode clicar em "Continuar" para prosseguir com a configuração de quaisquer aplicativos de favoritos opcionais. A etapa final obrigatória de configuração será na página “Test Single Sign-On”:
Após clicar em "Continuar para iniciar sessão", o assistente tentará testar sua nova conexão. Se tudo der certo, você terá habilitado o SSO. Agora você deverá ver isso refletido na sua página de configuração:
Os usuários do seu grupo IdP com contas ou convites correspondentes agora devem conseguir fazer login com SSO:
Eles podem acessar chatgpt.com ou platform.openai.com, inserir o endereço de e-mail e, em seguida, fazer a autenticação depois que os encaminharmos para o IdP deles.
Eles podem usar o URL do bloco de favoritos que você (opcionalmente) configurou durante a configuração.
Caso constate que seus usuários não conseguem se autenticar com sucesso e encontre dificuldades para reverter as alterações, entre em contato com o Suporte para obter assistência imediata.
Lembre-se de que habilitar o SSO na Plataforma de API aplica a verificação de domínio a todos os usuários com esse domínio. Isso significa que, mesmo que os usuários não pertençam à sua organização empresarial, eles ainda precisarão fazer parte do seu grupo IdP para acessar suas organizações pessoais.
Solução de problemas de login
Se, após ativar o SSO, você estiver enfrentando problemas para fazer login, consulte nossa página de Perguntas Frequentes e Solução de Problemas para obter ajuda na identificação de erros comuns. Caso não encontre uma resposta satisfatória, não hesite em entrar em contato com o Suporte.