OpenAI
Esta página foi traduzida automaticamente. Ver o artigo original em inglês.

Visão geral do SSO

Visão geral de alto nível do SSO e da forma como interage entre o ChatGPT e a Plataforma

Atualizado: 14 hours ago

Finalidade

Este guia destina-se a fornecer aos administradores e equipas de TI as informações necessárias a considerar antes de configurarem o SSO nas vossas contas do ChatGPT ou da Plataforma. O SSO está disponível para clientes Business, Enterprise e Edu.

Arquitetura de base e terminologia

Atualmente, o SSO é suportado através de autenticação SAML tanto para o ChatGPT como para a Plataforma de API.

  • Espaço de trabalho refere-se a uma instância do ChatGPT

  • Organização refere-se a uma instância da Plataforma de API

  • Fornecedor de identidade (IdP) refere-se ao serviço que utiliza para gerir a identidade digital. Suportamos ligações através de todos os IdP que suportam SAML. Alguns dos IdP mais comuns com que estabelecemos ligação incluem:

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

Para obter a lista completa de IdP suportados, consulte a Página de integrações da WorkOS. Suportamos todas as integrações de terceiros nesta página que possam ser ligadas através de SAML ou OIDC.

Atualmente, cada espaço de trabalho do ChatGPT tem uma organização da Plataforma correspondente associada. Isto significa que o ID da organização (org-id) que encontra na página «Geral» da Plataforma Enterprise é o mesmo ID da organização (org-id) associado ao seu espaço de trabalho Enterprise do ChatGPT. Como resultado, o seu espaço de trabalho e a sua organização partilham a mesma camada de autenticação:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Há alguns aspetos importantes a assinalar como resultado desta arquitetura:

  1. Um único ID de organização (org-id) só pode suportar uma única configuração de IdP.

  2. As verificações de domínio e as definições de SSO SAML são partilhadas entre o ChatGPT e a Plataforma de API.

  3. O SSO tem de ser ativado separadamente no ChatGPT e na Plataforma de API. No entanto, depois de o configurar numa delas, a «configuração» da outra consiste, em grande medida, apenas em ativar o interruptor e adicionar uma aplicação de marcador no seu IdP, se assim o desejar.

Começar a utilizar o SSO

Antes de configurar o SSO na sua conta, é importante compreender primeiro alguns conceitos-chave sobre a funcionalidade de SSO da OpenAI.

Terminologia geral de identidade

Aprovisionamento Quando a OpenAI se refere a aprovisionamento no contexto de utilizadores, estamos a referir-nos especificamente ao aprovisionamento de convites. Não suportamos diretamente o aprovisionamento da criação de contas de utilizador. Os convites podem ser aprovisionados através de:

  1. SCIM (suportado tanto na Integração SCIM do ChatGPT como na Integração SCIM da Plataforma de API)

  2. A página «Membros» do ChatGPT ou da Plataforma de API

  3. Criação automática de contas

  4. API de convites

O aprovisionamento de convites é um passo independente da autenticação realizada pelo SSO.


Autenticação – “É quem diz ser?”

Exemplo: um IdP autentica um utilizador no nosso serviço para sabermos que ele é quem diz ser quando inicia sessão.


Autorização – “O que tem permissão para fazer ou ver?”

Exemplo: depois de o seu IdP o autenticar, determinamos de que espaço(s) de trabalho do ChatGPT é membro.

Conhecer as definições de SSO da OpenAI

Verificação de domínio Este é um pré-requisito para ativar o SSO e a Criação automática de contas. Basicamente: “É proprietário deste domínio?”

  1. Ao iniciar sessão através de chatgpt.com ou platform.openai.com, um domínio verificado determina se um utilizador é encaminhado para a nossa página de palavra-passe ou para o respetivo IdP quando o SSO também está configurado

  2. Depois de um domínio ser verificado no seu espaço de trabalho, qualquer utilizador convidado para o espaço de trabalho com um e-mail desse domínio será solicitado a fundir a respetiva conta pessoal da próxima vez que iniciar sessão.

  3. A autenticação do ChatGPT baseia-se no domínio E no espaço de trabalho: quando um domínio é verificado e o SSO está ativado no espaço de trabalho, apenas os utilizadores desse espaço de trabalho que partilham o domínio serão encaminhados para o SSO. Os utilizadores que partilham o domínio, mas NÃO fazem parte do espaço de trabalho (ou seja, utilizadores de contas Free, Plus, Pro ou Team do seu domínio), continuarão a iniciar sessão através de e-mail/palavra-passe ou autenticação social.

  4. A autenticação da Plataforma é baseada no domínio: quando um domínio é verificado e o SSO está ativado, todos os utilizadores da Plataforma sob esse domínio deixam de poder iniciar sessão com palavra-passe. Consulte «Verificação de domínio no ChatGPT vs. na Plataforma de API» abaixo para obter mais detalhes.

  5. Os subdomínios têm de ser verificados separadamente dos domínios de nível superior

Para que possamos processar com êxito a verificação do seu domínio, o seu registo TXT tem de ser legível através de uma pesquisa DNS.


(Apenas ChatGPT) Criação automática de contas (AAC) Quando ativada num espaço de trabalho do ChatGPT, um novo utilizador cujo e-mail corresponda ao(s) domínio(s) verificado(s) receberá automaticamente um convite para o espaço de trabalho Enterprise quando se registar. Não recomendamos ativar a AAC se estiver a utilizar SCIM.


(Apenas ChatGPT) Permitir convites de domínios externos Esta definição controla se os utilizadores com domínios não verificados podem ou não ser convidados para o espaço de trabalho. Os utilizadores de domínios externos não terão de iniciar sessão através de SSO, uma vez que as definições de SSO só se aplicam a utilizadores pertencentes ao domínio verificado.


Ativar SSO Esta definição determina se as definições de SSO configuradas se aplicam ou não ao espaço de trabalho e/ou à organização.


Impor SSO

Quando desativada, esta definição permite que os utilizadores com um domínio verificado escolham entre iniciar sessão através de SSO ou através de início de sessão social.

Os administradores globais podem definir Impor SSO como Obrigatório tanto para o ChatGPT como para a Plataforma de API diretamente a partir da página Gerir SSO na Consola de Administração. Quando ativada, esta definição faz com que os utilizadores com um domínio verificado só possam iniciar sessão no espaço de trabalho ou na organização com SSO ativado através de SSO. A autenticação por palavra-passe e social deixa de ser válida para o espaço de trabalho/organização, mas ainda pode ser utilizada noutros espaços de trabalho/organizações onde o respetivo domínio não esteja verificado.

Verificação de domínio no ChatGPT vs. na Plataforma de API

Como referido anteriormente, a verificação de domínio é aplicada nas instâncias partilhadas do ChatGPT e da Plataforma. No entanto, há uma diferença crítica na forma como a verificação de domínio afeta os inícios de sessão no ChatGPT vs. na Plataforma quando o SSO está ativado:

O SSO na Plataforma de API é inteiramente baseado no domínio. Isto significa que, assim que um domínio tenha sido verificado em qualquer organização e o SSO ativado, TODOS os utilizadores com esse domínio deixarão de poder iniciar sessão com palavras-passe. Se não tiverem um meio de autenticação social, ficarão sem acesso às respetivas organizações, a menos que pertençam ao grupo de acesso do IdP.

Em contrapartida, no lado do ChatGPT, apenas os utilizadores que pertencem ao espaço de trabalho onde o domínio foi verificado serão afetados. Os utilizadores que não estejam no grupo de acesso do IdP continuarão a poder iniciar sessão em espaços de trabalho através dos métodos abordados na secção seguinte.

Experiência de início de sessão para os seus utilizadores

A OpenAI suporta três métodos de autenticação diferentes:

  1. Nome de utilizador + palavra-passe

  2. Autenticação social através da Microsoft/Google/Apple

  3. SSO

Tenha em atenção que o comportamento varia consoante o utilizador esteja a iniciar sessão no ChatGPT ou na Plataforma de API, consoante o respetivo domínio esteja verificado e consoante os respetivos espaços de trabalho/organizações tenham imposto o SSO.

Início de sessão iniciado pelo SP

Todos os utilizadores podem navegar diretamente para chatgpt.com ou platform.openai.com para iniciar sessão. Ao utilizar esta opção, os diferentes métodos de autenticação podem ser acionados conforme mostrado abaixo:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Se o utilizador pertencer a vários espaços de trabalho, incluindo um em que o SSO tenha sido ativado para o respetivo domínio, ser-lhe-á pedido que selecione o espaço de trabalho onde pretende iniciar sessão.

Início de sessão no ChatGPT iniciado pelo SP

Se verificarmos que o e-mail introduzido pertence a um espaço de trabalho cujo domínio está verificado, encaminharemos o utilizador para o respetivo IdP para se autenticar. Caso contrário, o utilizador será encaminhado para iniciar sessão introduzindo a respetiva palavra-passe.

Se o utilizador pertencer a vários espaços de trabalho, incluindo pelo menos um em que o SSO tenha sido ativado para o respetivo domínio, ser-lhe-á pedido que selecione o método a utilizar para iniciar sessão:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Nota: se a opção «Impor SSO» tiver sido ativada para um determinado espaço de trabalho, os utilizadores com o(s) domínio(s) verificado(s) só podem iniciar sessão através de SSO. A autenticação social e por palavra-passe não estará disponível.

Início de sessão na Plataforma iniciado pelo SP

Como referido anteriormente, quando um utilizador com um domínio verificado introduz o respetivo e-mail na página de início de sessão da Plataforma, será sempre encaminhado para o respetivo IdP para se autenticar.

É por isso que é fundamental garantir que compreende o funcionamento antes de ativar o SSO para a Plataforma. Caso contrário, é muito fácil bloquear por engano o acesso de utilizadores da Plataforma em contas pessoais.

Início de sessão iniciado pelo IdP

Ao configurar o SSO a partir das respetivas páginas de identidade, encontrará um URL de mosaico único fornecido tanto para o ChatGPT como para a Plataforma de API:

Estes URLs de mosaico podem ser configurados no seu IdP para permitir que os seus utilizadores iniciem sessão/se autentiquem automaticamente com um único clique.

Próximos passos

Agora que tem uma boa base sobre a nossa arquitetura, avance para a nossa página «Compreender a sua configuração ideal de gestão de utilizadores» para determinar a implementação ideal para o seu caso de utilização. Em seguida, iremos guiá-lo na configuração do SSO e do SCIM na sua conta.

Este artigo foi útil?