Scop
Acest ghid este destinat să ofere administratorilor și echipelor IT informațiile necesare de luat în considerare înainte de a configura SSO în conturile dvs. ChatGPT sau Platform. SSO este disponibil pentru clienții Business, Enterprise și Edu.
Arhitectură de bază și terminologie
SSO este acceptat în prezent prin autentificare SAML atât pentru ChatGPT, cât și pentru Platforma API.
Spațiu de lucru se referă la o instanță ChatGPT
Organizație se referă la o instanță a Platformei API
Furnizor de identitate (IdP) se referă la serviciul pe care îl folosiți pentru a gestiona identitatea digitală. Acceptăm conexiuni prin toți IdP-urile care acceptă SAML. Câteva dintre cele mai comune IdP-uri cu care ne-am conectat includ:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Pentru lista completă a IdP-urilor acceptate, consultați pagina de integrări a WorkOS. Acceptăm toate integrările terțe de pe această pagină care se pot conecta prin SAML sau OIDC.
În prezent, fiecare spațiu de lucru ChatGPT are asociată o organizație corespondentă în Platformă. Aceasta înseamnă că ID-ul organizației (org-id) pe care îl găsiți în pagina „General” a Platformei Enterprise este același ID al organizației (org-id) asociat spațiului dvs. de lucru ChatGPT Enterprise. Ca urmare, spațiul dvs. de lucru și organizația dvs. partajează același strat de autentificare:
Ca rezultat al acestei arhitecturi, există câteva lucruri esențiale de reținut:
Un singur ID de organizație (org-id) poate accepta o singură configurație IdP.
Verificările de domeniu și setările SAML SSO sunt partajate între ChatGPT și Platforma API.
SSO trebuie activat separat în ChatGPT față de Platforma API. Totuși, după ce l-ați configurat pe una, „configurarea” celeilalte înseamnă în mare parte doar activarea opțiunii și adăugarea unei aplicații de tip bookmark în IdP-ul dvs., dacă doriți.
Noțiuni introductive despre SSO
Înainte de a configura SSO în contul dvs., este important să înțelegeți mai întâi câteva concepte-cheie despre funcționalitatea SSO a OpenAI.
Terminologie generală privind identitatea
Provisioning
Când OpenAI se referă la provisioning în contextul utilizatorilor, ne referim în mod specific la trimiterea de invitații. Nu acceptăm direct provisioning pentru crearea conturilor de utilizator. Invitațiile pot fi provisionate prin:
SCIM (acceptat atât în integrarea SCIM ChatGPT, cât și în integrarea SCIM a Platformei API)
Pagina „Membri” din ChatGPT sau din Platforma API
Creare automată a contului
API de invitații
Provisionarea invitațiilor este un pas independent de autentificarea efectuată prin SSO.
Autentificare – „Sunteți cine spuneți că sunteți?”
Exemplu: un IdP autentifică un utilizator în serviciul nostru, astfel încât să știm că este cine spune că este atunci când se conectează.
Autorizare – „Ce aveți voie să faceți sau să vedeți?”
Exemplu: după ce IdP-ul dvs. vă autentifică, determinăm din care spațiu/spații de lucru ChatGPT faceți parte.
Cunoașterea setărilor OpenAI SSO
Verificarea domeniului
Aceasta este o condiție prealabilă pentru activarea SSO și a Creării automate a contului. Practic, „Dețineți acest domeniu?”
La conectarea prin chatgpt.com sau platform.openai.com, un domeniu verificat stabilește dacă un utilizator este direcționat către pagina noastră de parolă sau către IdP-ul său, atunci când este configurat și SSO
După ce un domeniu este verificat în spațiul dvs. de lucru, oricărui utilizator invitat în spațiul de lucru cu un e-mail din acel domeniu i se va solicita să își îmbine contul personal la următoarea conectare.
Autentificarea ChatGPT se bazează pe domeniu ȘI pe spațiul de lucru — când un domeniu este verificat și SSO este activat în spațiul de lucru, doar utilizatorii din acel spațiu de lucru care partajează domeniul vor fi direcționați către SSO. Utilizatorii care partajează domeniul, dar NU fac parte din spațiul de lucru (adică utilizatori de cont Free, Plus, Pro sau Team din domeniul dvs.) vor continua să se conecteze prin e-mail/parolă sau Social.
Autentificarea pe Platformă se bazează pe domeniu — când un domeniu este verificat și SSO este activat, toți utilizatorii Platformei din acel domeniu își vor pierde posibilitatea de a se conecta prin parolă. Pentru mai multe detalii, consultați mai jos „Verificarea domeniului în ChatGPT vs. Platforma API”.
Subdomeniile trebuie verificate separat de domeniile de nivel superior
Pentru ca noi să putem procesa cu succes verificarea domeniului dvs., înregistrarea TXT trebuie să poată fi citită printr-o interogare DNS.
(Numai ChatGPT) Creare automată a contului (AAC)
Când este activată într-un spațiu de lucru ChatGPT, un utilizator nou al cărui e-mail corespunde domeniului/domeniilor verificate va primi automat o invitație în spațiul de lucru Enterprise când se înregistrează. Nu recomandăm activarea AAC dacă utilizați SCIM.
(Numai ChatGPT) Permiteți invitații din domenii externe
Această setare controlează dacă utilizatorii cu domenii neverificate pot fi invitați în spațiul de lucru. Utilizatorilor din domenii externe nu li se va cere să se conecteze prin SSO, deoarece setările SSO se aplică doar utilizatorilor care aparțin domeniului verificat.
Activați SSO
Această setare stabilește dacă setările SSO configurate se aplică spațiului de lucru și/sau organizației.
Impuneți SSO
Când este dezactivată, această setare le permite utilizatorilor cu un domeniu verificat să aleagă între conectarea prin SSO sau prin autentificare socială.
Administratorii globali pot seta Impunere SSO la Obligatoriu atât pentru ChatGPT, cât și pentru Platforma API direct din pagina Gestionare SSO din Consola de administrare. Când este activată, această setare face ca utilizatorii cu un domeniu verificat să se poată conecta la spațiul de lucru sau organizația cu SSO activat numai prin SSO. Autentificarea prin parolă și socială nu mai sunt valabile pentru spațiul de lucru/organizație, dar pot fi în continuare folosite în alte spații de lucru/organizații unde domeniul lor nu este verificat.
Verificarea domeniului în ChatGPT vs. Platforma API
După cum am discutat mai devreme, verificarea domeniului se aplică în toate instanțele partajate ChatGPT și Platform. Totuși, există o diferență critică în modul în care verificarea domeniului afectează conectările la ChatGPT față de Platformă dacă SSO este activat:
SSO pe Platforma API este bazat în întregime pe domeniu. Asta înseamnă că, odată ce un domeniu a fost verificat în orice organizație și SSO a fost activat, TOȚI utilizatorii cu acel domeniu își vor pierde posibilitatea de a se autentifica cu parole. Dacă nu au o metodă de autentificare socială, atunci nu vor mai putea accesa organizațiile lor respective decât dacă fac parte din grupul de acces al IdP.
În schimb, pe partea de ChatGPT, vor fi afectați doar utilizatorii care aparțin spațiului de lucru în care domeniul a fost verificat. Utilizatorii care nu sunt în grupul de acces al IdP vor putea în continuare să se conecteze la spațiile de lucru folosind metodele discutate în secțiunea următoare.
Experiența de conectare pentru utilizatorii dvs.
OpenAI acceptă trei metode diferite de autentificare:
Nume de utilizator + parolă
Autentificare socială prin Microsoft/Google/Apple
SSO
Rețineți că comportamentul va varia în funcție de faptul că utilizatorul se conectează la ChatGPT sau la Platforma API, dacă domeniul său este verificat și dacă spațiile de lucru/organizațiile respective au impus SSO.
Conectare inițiată de SP
Toți utilizatorii pot merge direct la chatgpt.com sau platform.openai.com pentru a se conecta. Când se folosește această opțiune, diferitele metode de autentificare pot fi declanșate după cum este prezentat mai jos:
Dacă utilizatorul aparține mai multor spații de lucru, inclusiv unuia în care SSO a fost activat pentru domeniul său, i se va cere să selecteze în ce spațiu de lucru să se conecteze.
Conectare ChatGPT inițiată de SP
Dacă observăm că e-mailul introdus aparține unui spațiu de lucru în care domeniul său este verificat, vom direcționa utilizatorul către IdP-ul său pentru autentificare. În caz contrar, utilizatorul va fi direcționat să se conecteze introducându-și parola.
Dacă utilizatorul aparține mai multor spații de lucru, inclusiv cel puțin unuia în care SSO a fost activat pentru domeniul său, i se va cere să selecteze ce metodă să folosească pentru conectare:
Notă: dacă „Impunere SSO” a fost activată pentru un anumit spațiu de lucru, utilizatorii cu domeniul (domeniile) verificat(e) se pot autentifica doar prin SSO. Autentificarea socială și cu parolă nu vor fi disponibile.
Conectare pe Platformă inițiată de SP
După cum am menționat anterior, când un utilizator cu un domeniu verificat își introduce e-mailul în pagina de conectare a Platformei, va fi întotdeauna direcționat către IdP-ul său pentru autentificare.
De aceea este esențial să vă asigurați că înțelegeți acest lucru înainte de a activa SSO pentru Platformă. Altfel, este foarte ușor să blocați din greșeală utilizatorii Platformei care folosesc conturi personale.
Conectare inițiată de IdP
Când configurați SSO din paginile de identitate corespunzătoare, veți găsi un URL Tile unic furnizat atât pentru ChatGPT, cât și pentru Platforma API:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platformă: https://platform.openai.com/enterprise/conn_012abc/login
Aceste URL-uri Tile pot fi configurate în IdP-ul dvs. pentru a le permite utilizatorilor să se conecteze/autentifice automat cu un singur clic.
Pașii următori
Acum că aveți o bază bună despre arhitectura noastră, continuați la pagina noastră „Înțelegerea configurației ideale pentru gestionarea utilizatorilor” pentru a determina implementarea ideală pentru cazul dvs. de utilizare. După aceasta, vă vom ghida despre cum să configurați SSO și SCIM în contul dvs.