Цель
Это руководство предназначено для предоставления администраторам и IT-командам необходимой информации, которую следует учесть перед настройкой SSO в ваших учетных записях ChatGPT или платформы. SSO доступен для клиентов тарифных планов Business, Enterprise и Edu.
Архитектура и терминология
SSO в настоящее время поддерживается через аутентификацию SAML как для ChatGPT, так и для платформы API.
Рабочая область обозначает экземпляр ChatGPT
Организация относится к экземпляру платформы API
Поставщик удостоверений (IdP) — это сервис, который вы используете для управления цифровой идентификацией. Мы обеспечиваем поддержку через все IdP, которые поддерживают SAML. Некоторые из наиболее распространенных IdP, которые мы поддерживаем:
Okta
Azure Active Directory/Entra ID
Google Workspace
Duo
Полный список поддерживаемых IdP см. на странице интеграций WorkOS. Мы поддерживаем все сторонние интеграции на этой странице, к которым можно подключиться через SAML или OIDC.
В настоящее время каждая рабочая область ChatGPT имеет соответствующую организацию на платформе, связанную с ней. Это означает, что идентификатор организации (org-id), который вы видите на странице «Общие» платформы Enterprise, совпадает с идентификатором организации (org-id), связанным с вашей рабочей областью ChatGPT Enterprise. В результате ваша рабочая область и организация используют один и тот же уровень аутентификации:
Есть несколько ключевых моментов, которые следует отметить в результате этой архитектуры:
Один идентификатор организации (org-id) может поддерживать только одну конфигурацию IdP.
Верификации доменов и настройки SAML SSO являются общими для ChatGPT и платформы API.
SSO необходимо включать отдельно на ChatGPT и на платформе API. Однако, как только вы настроите его в одном месте, настройка другого в основном будет сведена к простому переключению и добавлению приложения закладок в вашем IdP, если это необходимо.
Начало работы с SSO
Прежде чем настраивать SSO в вашей учетной записи, важно сначала понять некоторые ключевые концепции функциональности SSO компании OpenAI.
Общая терминология идентификации
Подготовка к работе
Когда OpenAI говорит о подготовке к работе в контексте пользователей, мы имеем в виду предоставление приглашений. Мы напрямую не поддерживаем создание учетных записей пользователей. Приглашения могут быть предоставлены через:
SCIM (поддерживается как в интеграции SCIM для ChatGPT, так и в интеграции SCIM для платформы API)
Страницу «Участники» ChatGPT или платформы API
Автоматическое создание учетной записи
API Invites
Предоставление приглашений является независимым шагом от аутентификации, выполняемой с помощью SSO.
Аутентификация — «Вы тот, за кого себя выдаёте?»
Пример: IdP аутентифицирует пользователя для нашего сервиса, чтобы мы знали, что он действительно тот, за кого себя выдает при входе в систему.
Авторизация — «Что вам разрешено делать или видеть?»
Пример: После того как ваш IdP выполнит аутентификацию, мы определяем, участником какой рабочей области ChatGPT вы являетесь.
Знакомство с настройками SSO OpenAI
Верификация домена
Это предварительное условие для включения SSO и автоматического создания учетных записей. По сути, мы спрашиваем: «Вы владеете этим доменом?»
При входе через chatgpt.com или platform.openai.com верифицированный домен определяет, следует ли перенаправить пользователя на нашу страницу пароля или на их IdP, если также настроена SSO
После того как домен будет верифицирован в вашей рабочей области, любой пользователь, приглашенный в рабочую область с электронной почтой из этого домена, при дальнейшем входе в систему получит подсказку с предложением объединить свою личную учетную запись.
Аутентификация ChatGPT основана на домене и рабочей области: когда домен верифицирован и SSO включена в рабочей области, только пользователи этой рабочей области, которые имеют общий домен, будут перенаправлены на SSO. Пользователи, которые используют домен, но НЕ входят в рабочую область (т. е. пользователи учетных записей Free, Plus, Pro или Team из вашего домена) будут продолжать входить через электронную почту/пароль или социальные сети.
Аутентификация платформы осуществляется на основе домена: после того как домен будет верифицирован и SSO будет включена, все пользователи платформы в этом домене утратят возможность входа с паролем. См. «Верификация домена в ChatGPT и на платформе API» ниже для получения более подробной информации.
Поддомены должны проверяться отдельно от доменов верхнего уровня
Чтобы мы могли успешно обработать вашу проверку домена, ваша TXT-запись должна быть доступна для чтения через DNS-запрос.
(Только для ChatGPT) Автоматическое создание учетной записи (AAC) Когда эта функция включена в рабочей области ChatGPT, новый пользователь, чей адрес электронной почты соответствует проверенным доменам, автоматически получит приглашение в рабочую область Enterprise при регистрации. Мы не рекомендуем включать AAC, если вы используете SCIM.
(Только для ChatGPT) Разрешить приглашения с внешних доменов
Эта настройка контролирует, могут ли пользователи с непроверенными доменами быть приглашены в рабочую область. Пользователи из внешних доменов не обязаны входить через SSO, поскольку настройки SSO применяются только к пользователям, принадлежащим к верифицированным доменам.
Включить SSO
Этот параметр определяет, применяются ли ваши настроенные параметры SSO к рабочей области и/или организации.
Принудительное использование SSO
Когда эта настройка отключена, пользователи с верифицированным доменом могут выбрать вход через SSO или через социальную сеть.
Глобальные администраторы могут на странице «Управление SSO» в консоли администратора установить для параметра «Принудительное использование SSO» значение «Обязательно» для ChatGPT и платформы API. Когда эта настройка включена, пользователи с верифицированным доменом могут входить в рабочую область или организацию с поддержкой SSO исключительно через SSO. Пароль и социальная аутентификация больше не действительны для рабочей области/организации, но их все еще можно использовать в других рабочих областях/организациях, где их домен не верифицирован.
Верификация домена в ChatGPT и на платформе API
Как уже было указано, верификация домена применяется ко всем общим экземплярам ChatGPT и платформы. Однако существует критическое различие в том, как верификация домена влияет на вход в ChatGPT и на платформу, если SSO включена:
SSO на платформе API полностью основан на домене. Это означает, что как только домен будет верифицирован в любой организации и SSO будет включена, ВСЕ пользователи с этим доменом потеряют возможность входа с паролями. Если у них нет средств социальной аутентификации, то они будут заблокированы в своих организациях, если только они не принадлежат к группе доступа IdP.
И наоборот, на стороне ChatGPT будут затронуты только те пользователи, которые принадлежат к рабочей области, где домен был верифицирован. Пользователи, которые не входят в группу доступа IdP, все равно смогут войти в рабочие области, используя методы, обсуждаемые в разделе далее.
Опыт входа для ваших пользователей
OpenAI поддерживает три различных метода аутентификации:
Имя пользователя + Пароль
Аутентификация через Microsoft/Google/Apple
SSO
Имейте в виду, что поведение будет различаться в зависимости от того, входит ли пользователь в ChatGPT или на платформу API, верифицирован ли его домен и действует ли SSO в соответствующих рабочих областях/организациях.
Вход, инициированный SP
Все пользователи могут перейти непосредственно на chatgpt.com или platform.openai.com, чтобы войти в систему. При использовании этой опции могут быть запущены различные методы аутентификации, как показано ниже:
Если пользователь принадлежит к нескольким рабочим областям, включая одну, где для его домена включена SSO, ему будет предложено выбрать, в какую рабочую область войти.
Вход, инициированный SP ChatGPT
Если мы обнаружим, что введённый адрес электронной почты принадлежит рабочей области, где домен верифицирован, мы перенаправим пользователя к его IdP для аутентификации. В противном случае пользователь будет перенаправлен на страницу входа, где он должен будет ввести свой пароль.
Если пользователь принадлежит к нескольким рабочим областям, включая хотя бы одну, где для его домена включена SSO, ему будет предложено выбрать, какой метод использовать для входа:
Примечание: если для конкретной рабочей области включена функция «Принудительное использование SSO», пользователи с проверенными доменами смогут входить только через SSO. Аутентификация через социальные сети и по паролю не будет доступна.
Вход, инициированный SP платформы
Как уже упоминалось ранее, когда пользователь с верифицированным доменом вводит свой адрес электронной почты на странице входа на платформу, он всегда будет перенаправлен к своему IdP для аутентификации.
Вот почему важно понимать принципы работы механизма, прежде чем включить SSO для платформы. В противном случае очень легко случайно заблокировать пользователей платформы на личных учетных записях.
Вход, инициированный IdP
При настройке SSO на соответствующих страницах идентификации вы увидите уникальный URL-адрес плитки, предоставленный как для ChatGPT, так и для платформы API:
ChatGPT: https://chatgpt.com/auth/login?sso=true&connection=conn_012abcdef
Платформа: https://platform.openai.com/enterprise/conn_012abc/login
Эти URL-адреса плиток можно настроить в вашей IdP, чтобы ваши пользователи могли автоматически входить/аутентифицироваться одним щелчком.
Дальнейшие действия
Теперь, когда у вас есть хорошая база знаний по нашей архитектуре, перейдите на нашу страницу «Понимание вашей идеальной настройки управления пользователями», чтобы определить идеальную реализацию для вашего варианта использования. После этого мы проведем вас через процесс настройки SSO и SCIM в вашей учетной записи.