Scop
Acest ghid este destinat să ofere administratorilor și echipelor IT informațiile necesare de avut în vedere înainte de configurarea SSO în conturile tale ChatGPT sau Platformă. SSO este disponibil pentru clienții Business, Enterprise și Edu.
Arhitectură de fundal și terminologie
SSO este acceptat în prezent prin autentificare SAML atât pentru ChatGPT, cât și pentru Platforma API.
Spațiu de lucru se referă la o instanță ChatGPT
Organizație se referă la o instanță a Platformei API
Furnizor de identitate (IdP) se referă la serviciul pe care îl folosești pentru a gestiona identitatea digitală. Acceptăm conexiuni prin toate IdP-urile care acceptă SAML. Unele dintre cele mai comune IdP-uri cu care ne-am conectat includ:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Pentru lista completă a IdP-urilor acceptate, consultă pagina de integrări WorkOS. Acceptăm toate integrările terțe de pe această pagină care se pot conecta prin SAML sau OIDC.
În prezent, fiecare spațiu de lucru ChatGPT are o organizație Platformă corespunzătoare asociată. Aceasta înseamnă că ID-ul organizației (org-id) pe care îl găsești în pagina „General” a Platformei Enterprise este același ID al organizației (org-id) asociat spațiului tău de lucru Enterprise ChatGPT. Prin urmare, spațiul tău de lucru și organizația ta folosesc același strat de autentificare:

Există câteva aspecte importante de reținut ca rezultat al acestei arhitecturi:
Un singur ID de organizație (org-id) poate accepta o singură configurație IdP.
Verificările domeniilor și setările SSO SAML sunt partajate între ChatGPT și Platforma API.
SSO trebuie activat separat în ChatGPT față de Platforma API. Totuși, după ce l-ai configurat într-una dintre ele, „configurarea” celeilalte constă, în mare parte, doar în activarea comutatorului și adăugarea unei aplicații de marcaj în IdP-ul tău, dacă dorești.
Noțiuni introductive despre SSO
Înainte de a configura SSO în contul tău, este important să înțelegi mai întâi câteva concepte-cheie despre funcționalitatea SSO a OpenAI.
Terminologie generală privind identitatea
Provisionare Când OpenAI se referă la provisionare în contextul utilizatorilor, ne referim în mod specific la provisionarea invitațiilor. Nu acceptăm direct provisionarea creării conturilor de utilizator. Invitațiile pot fi provisionate prin:
SCIM (acceptat atât în Integrarea SCIM ChatGPT, cât și în Integrarea SCIM a Platformei API)
Pagina „Membri” din ChatGPT sau din Platforma API
Crearea automată a conturilor
API-ul pentru invitații
Provisionarea invitațiilor este un pas independent de autentificarea efectuată prin SSO.
Autentificare – „Ești cine spui că ești?”
Exemplu: un IdP autentifică un utilizator în serviciul nostru, astfel încât să știm că este cine spune că este atunci când se conectează.
Autorizare – „Ce ai voie să faci sau să vezi?”
Exemplu: după ce IdP-ul te autentifică, stabilim din ce spațiu/spații de lucru ChatGPT faci parte.
Familiarizarea cu setările SSO OpenAI
Verificarea domeniului Aceasta este o cerință preliminară pentru activarea SSO și a creării automate a conturilor. Practic, „Deții acest domeniu?”
La conectarea prin chatgpt.com sau platform.openai.com, un domeniu verificat stabilește dacă utilizatorul este trimis către pagina noastră de parolă sau către IdP-ul său, atunci când SSO este, de asemenea, configurat
După ce un domeniu este verificat în spațiul tău de lucru, orice utilizator invitat în spațiul de lucru cu o adresă de e-mail din acel domeniu va fi îndemnat să își îmbine contul personal la următoarea conectare.
Autentificarea ChatGPT se bazează pe domeniu ȘI pe spațiul de lucru: când un domeniu este verificat și SSO este activat în spațiul de lucru, doar utilizatorii din acel spațiu de lucru care au același domeniu vor fi direcționați către SSO. Utilizatorii care au același domeniu, dar NU fac parte din spațiul de lucru (adică utilizatori de conturi Free, Plus, Pro sau Team din domeniul tău), vor continua să se conecteze prin e-mail/parolă sau autentificare socială.
Autentificarea pe Platformă se bazează pe domeniu: când un domeniu este verificat și SSO este activat, toți utilizatorii Platformei din acel domeniu vor pierde posibilitatea de a se conecta cu parolă. Consultă „Verificarea domeniului în ChatGPT vs. Platforma API” de mai jos pentru mai multe detalii.
Subdomeniile trebuie verificate separat de domeniile de nivel superior
Pentru ca noi să putem procesa cu succes verificarea domeniului tău, înregistrarea TXT trebuie să poată fi citită printr-o interogare DNS.
(Doar ChatGPT) Crearea automată a conturilor (AAC) Când este activată într-un spațiu de lucru ChatGPT, un utilizator nou a cărui adresă de e-mail corespunde domeniului/domeniilor verificate va primi automat o invitație la spațiul de lucru Enterprise atunci când se înscrie. Nu recomandăm activarea AAC dacă folosești SCIM.
(Doar ChatGPT) Permite invitații pentru domenii externe Această setare controlează dacă utilizatorii cu domenii neverificate pot fi invitați în spațiul de lucru. Utilizatorilor din domenii externe nu li se va cere să se conecteze prin SSO, deoarece setările SSO se aplică doar utilizatorilor care aparțin domeniului verificat.
Activează SSO Această setare stabilește dacă setările SSO configurate se aplică spațiului de lucru și/sau organizației.
Impune SSO
Când este dezactivată, această setare permite utilizatorilor cu un domeniu verificat să aleagă între conectarea prin SSO sau prin autentificare socială.
Administratorii globali pot seta Impune SSO ca Obligatoriu atât pentru ChatGPT, cât și pentru Platforma API, direct din pagina Gestionare SSO din Consola de administrare. Când este activată, această setare face ca utilizatorii cu un domeniu verificat să se poată conecta la spațiul de lucru sau organizația cu SSO activat(ă) numai prin SSO. Autentificarea cu parolă și cea socială nu mai sunt valide pentru spațiul de lucru/organizație, dar pot fi folosite în continuare în alte spații de lucru/organizații în care domeniul lor nu este verificat.
Verificarea domeniului în ChatGPT vs. Platforma API
După cum am discutat anterior, verificarea domeniului se aplică în instanțele partajate ChatGPT și Platformă. Totuși, există o diferență esențială în modul în care verificarea domeniului afectează conectările la ChatGPT vs. Platformă atunci când SSO este activat:
SSO pe Platforma API este bazat exclusiv pe domeniu. Aceasta înseamnă că, odată ce un domeniu a fost verificat în orice organizație și SSO a fost activat, TOȚI utilizatorii cu acel domeniu vor pierde posibilitatea de a se conecta cu parolă. Dacă nu au o metodă de autentificare socială, nu vor mai putea accesa organizațiile lor respective decât dacă fac parte din grupul de acces al IdP-ului.
În schimb, în ChatGPT, vor fi afectați doar utilizatorii care aparțin spațiului de lucru în care domeniul a fost verificat. Utilizatorii care nu fac parte din grupul de acces al IdP-ului se vor putea conecta în continuare la spațiile de lucru folosind metodele discutate în secțiunea următoare.
Experiența de conectare pentru utilizatorii tăi
OpenAI acceptă trei metode diferite de autentificare:
Nume de utilizator + parolă
Autentificare socială prin Microsoft/Google/Apple
SSO
Reține că acest comportament va varia în funcție de faptul că utilizatorul se conectează la ChatGPT sau la Platforma API, dacă domeniul său este verificat și dacă spațiile de lucru/organizațiile sale respective au impus SSO.
Conectare inițiată de SP
Toți utilizatorii pot accesa direct chatgpt.com sau platform.openai.com pentru a se conecta. Când se folosește această opțiune, diferitele metode de autentificare pot fi declanșate așa cum se arată mai jos:

Dacă utilizatorul aparține mai multor spații de lucru, inclusiv unuia în care SSO a fost activat pentru domeniul său, i se va solicita să aleagă spațiul de lucru în care să se conecteze.
Conectare la ChatGPT inițiată de SP
Dacă identificăm că adresa de e-mail introdusă aparține unui spațiu de lucru în care domeniul său este verificat, vom redirecționa utilizatorul către IdP-ul său pentru autentificare. În caz contrar, utilizatorul va fi direcționat să se conecteze introducând parola.
Dacă utilizatorul aparține mai multor spații de lucru, inclusiv cel puțin unuia în care SSO a fost activat pentru domeniul său, i se va solicita să aleagă metoda de conectare:

Notă: dacă „Impune SSO” a fost activat pentru un anumit spațiu de lucru, utilizatorii cu domeniul/domeniile verificate se pot conecta numai prin SSO. Autentificarea socială și cu parolă nu va fi disponibilă.
Conectare la Platformă inițiată de SP
După cum am menționat anterior, atunci când un utilizator cu un domeniu verificat își introduce adresa de e-mail pe pagina de conectare a Platformei, va fi direcționat întotdeauna către IdP-ul său pentru autentificare.
De aceea este esențial să te asiguri că înțelegi acest lucru înainte de a activa SSO pentru Platformă. În caz contrar, este foarte ușor să blochezi din greșeală accesul utilizatorilor Platformei care folosesc conturi personale.
Conectare inițiată de IdP
Când configurezi SSO din paginile de identitate corespunzătoare, vei găsi un URL de tip Tile unic, furnizat atât pentru ChatGPT, cât și pentru Platforma API:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Platformă: https://platform.openai.com/enterprise/conn_012abc/login
Aceste URL-uri de tip Tile pot fi configurate în IdP-ul tău pentru a le permite utilizatorilor să se conecteze/să se autentifice automat cu un singur clic.
Pașii următori
Acum că ai o bază bună despre arhitectura noastră, accesează pagina noastră „Înțelegerea configurației ideale pentru gestionarea utilizatorilor” pentru a stabili implementarea ideală pentru cazul tău de utilizare. După aceasta, îți vom arăta cum să configurezi SSO și SCIM în contul tău.
