Finalidade
Este guia destina-se a fornecer aos administradores e às equipas de TI as informações necessárias a considerar antes de configurar o SSO nas suas contas ChatGPT ou Platform. O SSO está disponível para clientes Business, Enterprise e Edu.
Arquitetura de base e terminologia
Atualmente, o SSO é suportado através da autenticação SAML tanto para o ChatGPT como para a API Platform.
Espaço de trabalho refere-se a uma instância do ChatGPT
Organização refere-se a uma instância da API Platform
Fornecedor de identidade (IdP) refere-se ao serviço que utiliza para gerir a identidade digital. Suportamos ligações através de todos os IdPs que suportam SAML. Alguns dos IdPs mais comuns com que estabelecemos ligação incluem:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Para a lista completa de IdPs suportados, consulte a página de integrações da WorkOS. Suportamos todas as integrações de terceiros nesta página que possam ser ligadas via SAML ou OIDC.
Atualmente, cada espaço de trabalho ChatGPT tem uma organização Platform correspondente associada. Isto significa que o ID da organização (org-id) que encontra na sua página Platform "Geral" Enterprise é o mesmo ID da organização (org-id) associado ao seu espaço de trabalho ChatGPT Enterprise. Como resultado, o seu espaço de trabalho e a sua organização partilham a mesma camada de autenticação:
Há alguns aspetos importantes a ter em conta como resultado desta arquitetura:
Um único ID de organização (org-id) só pode suportar uma única configuração de IdP.
As verificações de domínio e as definições de SAML SSO são partilhadas entre o ChatGPT e a API Platform.
O SSO tem de ser ativado separadamente no ChatGPT e na API Platform. No entanto, depois de o configurar num deles, a "configuração" do outro resume-se em grande parte a ativar a opção e adicionar uma app de marcador no seu IdP, se assim o desejar.
Primeiros passos com o SSO
Antes de configurar o SSO na sua conta, é importante compreender primeiro alguns conceitos-chave sobre a funcionalidade SSO da OpenAI.
Terminologia geral de identidade
Aprovisionamento
Quando a OpenAI se refere a aprovisionamento no contexto dos utilizadores, estamos a referir-nos especificamente ao aprovisionamento de convites. Não suportamos diretamente o aprovisionamento da criação de contas de utilizador. Os convites podem ser aprovisionados através de:
SCIM (suportado tanto na integração SCIM do ChatGPT como na integração SCIM da API Platform)
A página "Membros" do ChatGPT ou da API Platform
Criação automática de conta
API de convites
O aprovisionamento de convites é uma etapa independente da autenticação realizada pelo SSO.
Autenticação – «É quem diz ser?»
Exemplo: um IdP autentica um utilizador no nosso serviço para sabermos que é quem diz ser ao iniciar sessão.
Autorização – «O que pode fazer ou ver?»
Exemplo: depois de o seu IdP o autenticar, determinamos de que espaço(s) de trabalho ChatGPT faz parte.
Conhecer as definições de SSO da OpenAI
Verificação de domínio
Este é um pré-requisito para ativar o SSO e a criação automática de conta. Basicamente, «É proprietário deste domínio?»
Ao iniciar sessão através de chatgpt.com ou platform.openai.com, um domínio verificado determina se um utilizador é encaminhado para a nossa página de palavra-passe ou para o respetivo IdP quando o SSO também está configurado
Assim que um domínio é verificado no seu espaço de trabalho, qualquer utilizador convidado para esse espaço de trabalho com um e-mail desse domínio será levado a fundir a sua conta pessoal na próxima vez que iniciar sessão.
A autenticação do ChatGPT baseia-se no domínio E no espaço de trabalho — quando um domínio é verificado e o SSO é ativado no espaço de trabalho, apenas os utilizadores desse espaço de trabalho que partilham o domínio serão encaminhados para o SSO. Os utilizadores que partilham o domínio mas NÃO fazem parte do espaço de trabalho (ou seja, utilizadores de contas Free, Plus, Pro ou Team do seu domínio) continuarão a iniciar sessão através de e-mail/palavra-passe ou Social.
A autenticação da Platform baseia-se no domínio — quando um domínio é verificado e o SSO é ativado, todos os utilizadores da Platform nesse domínio perderão a capacidade de iniciar sessão com palavra-passe. Consulte abaixo "Verificação de domínio no ChatGPT vs. na API Platform" para mais detalhes.
Os subdomínios têm de ser verificados separadamente dos domínios de nível superior
Para conseguirmos processar com sucesso a verificação do seu domínio, o seu registo TXT tem de poder ser lido através de uma consulta DNS.
(Apenas ChatGPT) Criação automática de conta (AAC)
Quando ativada num espaço de trabalho ChatGPT, um novo utilizador cujo e-mail corresponda ao(s) domínio(s) verificado(s) receberá automaticamente um convite para o espaço de trabalho Enterprise ao registar-se. Não recomendamos ativar a AAC se estiver a utilizar SCIM.
(Apenas ChatGPT) Permitir convites de domínios externos
Esta definição controla se os utilizadores com domínios não verificados podem ou não ser convidados para o espaço de trabalho. Os utilizadores de domínios externos não terão de iniciar sessão através de SSO, uma vez que as definições de SSO só se aplicam a utilizadores pertencentes ao domínio verificado.
Ativar SSO
Esta definição determina se as suas definições de SSO configuradas se aplicam ou não ao espaço de trabalho e/ou à organização.
Aplicar SSO
Quando desativada, esta definição permite que os utilizadores com um domínio verificado escolham entre iniciar sessão via SSO ou através de início de sessão social.
Os administradores globais podem definir Aplicar SSO como Obrigatório tanto para o ChatGPT como para a API Platform diretamente na página Gerir SSO da Consola de administração. Quando ativada, esta definição faz com que os utilizadores com um domínio verificado só possam iniciar sessão no espaço de trabalho ou organização com SSO ativado através de SSO. A autenticação por palavra-passe e social deixa de ser válida para o espaço de trabalho/organização, mas pode continuar a ser usada noutros espaços de trabalho/organizações onde o respetivo domínio não esteja verificado.
Verificação de domínio no ChatGPT vs. na API Platform
Como referido anteriormente, a verificação de domínio é aplicada em todas as instâncias partilhadas do ChatGPT e da Platform. No entanto, existe uma diferença crítica na forma como a verificação de domínio afeta os inícios de sessão no ChatGPT vs. na Platform se o SSO estiver ativado:
O SSO na API Platform é inteiramente baseado no domínio. Isto significa que, assim que um domínio for verificado em qualquer organização e o SSO for ativado, TODOS os utilizadores com esse domínio perderão a capacidade de iniciar sessão com palavras-passe. Se não tiverem um meio de autenticação social, ficarão sem acesso às respetivas organizações, a menos que pertençam ao grupo de acesso do IdP.
Em contrapartida, no lado do ChatGPT, só os utilizadores que pertencem ao espaço de trabalho onde o domínio foi verificado serão afetados. Os utilizadores que não estejam no grupo de acesso do IdP continuarão a poder iniciar sessão nos espaços de trabalho utilizando os métodos abordados na secção seguinte.
Experiência de início de sessão dos seus utilizadores
A OpenAI suporta três métodos de autenticação diferentes:
Nome de utilizador + palavra-passe
Autenticação social via Microsoft/Google/Apple
SSO
Tenha em conta que o comportamento varia consoante o utilizador esteja a iniciar sessão no ChatGPT ou na API Platform, o seu domínio esteja verificado e os respetivos espaços de trabalho/organizações tenham aplicado SSO.
Início de sessão iniciado por SP
Todos os utilizadores podem navegar diretamente para chatgpt.com ou platform.openai.com para iniciar sessão. Ao usar esta opção, os diferentes métodos de autenticação podem ser acionados conforme mostrado abaixo:
Se o utilizador pertencer a vários espaços de trabalho, incluindo um em que o SSO tenha sido ativado para o seu domínio, ser-lhe-á pedido que selecione em que espaço de trabalho quer iniciar sessão.
Início de sessão no ChatGPT iniciado por SP
Se verificarmos que o e-mail introduzido pertence a um espaço de trabalho em que o respetivo domínio está verificado, encaminharemos o utilizador para o respetivo IdP para autenticação. Caso contrário, o utilizador será encaminhado para iniciar sessão introduzindo a sua palavra-passe.
Se o utilizador pertencer a vários espaços de trabalho, incluindo pelo menos um em que o SSO tenha sido ativado para o seu domínio, ser-lhe-á pedido que selecione que método pretende usar para iniciar sessão:
Nota: se a opção "Enforce SSO" tiver sido ativada para um determinado espaço de trabalho, os utilizadores com o(s) domínio(s) verificado(s) só podem iniciar sessão através de SSO. A autenticação social e por palavra-passe não estará disponível.
Início de sessão na Platform iniciado por SP
Como referido anteriormente, quando um utilizador com um domínio verificado introduz o seu e-mail na página de início de sessão da Platform, será sempre encaminhado para o respetivo IdP para autenticação.
É por isso que é essencial garantir a sua compreensão antes de ativar o SSO para a Platform. Caso contrário, é muito fácil bloquear por engano utilizadores da Platform em contas pessoais.
Início de sessão iniciado por IdP
Ao configurar o SSO a partir das respetivas páginas de identidade, encontrará um URL de mosaico exclusivo fornecido tanto para o ChatGPT como para a API Platform:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platform: https://platform.openai.com/enterprise/conn_012abc/login
Estes URLs de mosaico podem ser configurados no seu IdP para permitir que os seus utilizadores iniciem sessão/se autentiquem automaticamente com um único clique.
Próximos passos
Agora que já tem uma boa base da nossa arquitetura, avance para a nossa página "Compreender a sua configuração ideal de gestão de utilizadores" para determinar a implementação ideal para o seu caso de utilização. Depois disto, iremos orientá-lo sobre como configurar o SSO e o SCIM na sua conta.