Общая информация

Какие есть функциональные различия между SSO в тарифе Enterprise/Edu и в тарифе Business?

Помимо того, что SSO для Business доступна для самостоятельной настройки, функциональные различия заключаются в следующем:

• На тарифном плане Business нет синхронизации групп SCIM и AD, поэтому предоставление и отзыв доступа пользователей выполняются вручную.

• Область применения: SSO для Business применяется только к ChatGPT; она не распространяется на platform.openai.com. Это отличается от SSO в Enterprise/Edu, где SSO может при необходимости охватывать как ChatGPT, так и платформу.

• Миграция учетных записей: в Enterprise/Edu пользователи с верифицированным доменом обязаны перенести или удалить соответствующие личные учетные записи; пользователи тарифного плана ChatGPT Business могут выполнять миграцию учетных записей на уровне отдельного пользователя, но администраторы рабочих областей плана Business не могут принудительно требовать этого.

Какие протоколы SSO поддерживает ChatGPT Business?

SAML и OIDC.

Что означает IdP / SSO / SP?

• Поставщик удостоверений (IdP): сервис, который вы используете для управления цифровой идентификацией.

• Единая аутентификация (SSO): единая система входа через централизованно управляемого поставщика удостоверений (IdP), которая позволяет пользователю получать доступ ко всем связанным приложениям без повторного ввода учетных данных.

• Поставщик услуг (SP) — ChatGPT: приложение (т.е. ChatGPT), которое доверяет токену IDP и предоставляет пользователю доступ.

Где настроить SSO для моей рабочей области Business?

В настройках вашей рабочей области ChatGPT Business на странице https://chatgpt.com/admin/identity есть вкладка «Идентификация и подготовка к работе», где вы можете изменить настройки вашей рабочей области:

1. Подтвержденные домены

2. Управление идентификацией

Как настроить синхронизацию каталога для предоставления и отзыва доступа через SCIM для рабочей области с тарифным планом Business?

Перейдите на ChatGPT Enterprise, если вам нужна синхронизация каталогов (SCIM).

Нужно ли мне верифицировать домен, прежде чем я смогу включить SSO?

Да. Верификация домена подтверждает, что вы владеете пространством имён электронной почты, для которого планируете настроить объединение с вашим поставщиком удостоверений (IdP). Настройка SSO недоступна, пока не будет проверен как минимум один домен.

Взимается ли дополнительная плата за верификацию домена?

Нет, это не требует дополнительной оплаты. Проверка домена включена в каждую подписку ChatGPT Business.

Почему при попытке включить SSO появляется сообщение: «Домен уже подтвержден в другой рабочей области»?

Мастер настройки Business выдает ошибку, если домен уже принадлежит рабочей области Enterprise (или другой рабочей области Business либо другому экземпляру SSO на платформе API).

IT-команда вашей компании может связаться с отделом продаж OpenAI через нашу форму «Связаться с отделом продаж», чтобы обсудить консолидацию рабочих областей. См. «Как связаться с отделом продаж OpenAI».

Могу ли я приглашать подрядчиков или внешних участников, которых нет в моем IdP.?

Да, вы можете разрешить приглашения с внешних доменов, чтобы приглашать таких пользователей и внешних участников в вашу рабочую область ChatGPT Business.

Что произойдет с моими настройками SSO, если я позже обновлю эту рабочую область Business до ChatGPT Enterprise?

Чтобы перейти на тариф Enterprise, свяжитесь с нашим отделом продаж OpenAI с помощью формы «Связаться с отделом продаж». См. «Как связаться с отделом продаж OpenAI».

Что произойдет, если все будут входить через SSO, а соединение с SSO будет недоступно — как восстановить доступ?

В этом случае есть два варианта:

1. Администратор рабочей области Business обращается в нашу службу поддержки за помощью в отключении SSO. У администратора должен быть способ входа в систему с помощью пароля или через социальную сеть.

2. Если вы разрешите внешние домены, вы сможете создать бэкдорную учетную запись администратора с внешним доменом, чтобы принудительное применение SSO не распространялось на эту учетную запись. Затем используйте этого пользователя (он должен аутентифицироваться с помощью пароля или социальных сетей), чтобы войти в систему, если вы потеряете доступ.

Можно ли сочетать SSO и вход с помощью пароля?

Да. Если в вашей рабочей области Business SSO используется только для ChatGPT, пользователи, которым также нужен доступ к платформе или Intercom, могут просто нажать «Забыли пароль?», чтобы задать обычный пароль и продолжить вход с помощью адреса электронной почты и пароля.

Какие поставщики удостоверений (IdP) поддерживаются?

ADP OpenID Connect, Auth0 SAML, CAS SAML, ClassLink SAML, Cloudflare SAML, CyberArk SAML, Duo SAML, Entra ID (Azure AD), Google SAML, JumpCloud SAML, Keycloak SAML, LastPass SAML, Login.gov OpenID Connect, Microsoft AD FS, miniOrange SAML, NetIQ SAML, Okta, OneLogin, Oracle, PingFederate, PingOne, Rippling, Salesforce, Shibboleth Generic SAML, Shibboleth, SimpleSAMLphp SAML, VMware Workspace One.

В мастере также доступны для выбора варианты «Пользовательский SAML» и «Пользовательский OIDC».

Позволяет ли план ChatGPT Business использовать более одного подтвержденного домена электронной почты для одной рабочей области?

Да.

Может ли рабочая область плана ChatGPT Business, которая все еще находится на бесплатном пробном периоде, включить SSO, или активация заблокирована до списания оплаты?

На данный момент для тарифного плана ChatGPT Business нет процесса оформления бесплатного пробного периода. Новые рабочие области должны выполнить регистрационную покупку на 1 долл. США, при которой платеж будет списан, прежде чем смогут включить SSO.

SSO полностью включена в стоимость плана ChatGPT Business (30 долл. США на пользователя/мес.), или существуют какие-либо скрытые комиссии (например, плата за каждое подключение), о которых нам нужно сообщить?

За SSO в рамках Business не взимается отдельная плата сверх базовой цены за лицензию самого тарифного плана Business. SSO доступна без дополнительной платы.

Как обрабатываются сертификаты, срок действия которых истекает?

В настоящее время ответственность за продление сертификатов лежит на администраторах рабочих областей Business и соответствующих IT-командах. Служба поддержки OpenAI готова помочь, если потребуются какие-либо действия, однако обновление или ротация сертификата должны выполняться в IdP клиента.

Каков рекомендуемый порядок действий, если единственный владелец рабочей области, настроивший SSO, покидает компанию, не передав доступ?

Текущий сценарий блокирует выход: единственный владелец рабочей области должен передать право собственности другому участнику, прежде чем сможет покинуть рабочую область.

Если пользователи сначала авторизуются с помощью пароля, а позже — через SSO (с тем же адресом электронной почты), будут ли их переписки автоматически объединены или будут созданы дублирующиеся учетные записи?

Если утверждение SSO возвращает тот же адрес электронной почты, ChatGPT связывает вход с существующим профилем — история чатов сохраняется, и дублирующая учетная запись не создается. Новая (пустая) учетная запись создается только в том случае, если ответ SSO содержит другой адрес электронной почты; после исправления этого сопоставления исходная учетная запись пользователя (со всей историей) остается доступной.

Сценарии SSO и ожидаемое поведение

Организация владеет рабочими областями Enterprise и Business на одном подтвержденном домене

Когда мастер настройки плана Business проверяет домен, он просто сообщает, что домен «уже верифицирован». Не раскрывается, какой рабочей области (Enterprise или иной) принадлежит домен, — только то, что кто-то другой уже завершил проверку.

Две отдельные рабочие области для Business используют один домен

Только одна рабочая область Business может быть владельцем процесса верификации домена.

IT-команда вашей компании может связаться с отделом продаж OpenAI через нашу форму «Связаться с отделом продаж», чтобы обсудить консолидацию рабочих областей. См. «Как связаться с отделом продаж OpenAI».

SSO для ChatGPT включена, а SSO для платформы остаётся отключённой

SSO для ChatGPT и платформы API необходимо настроить в соответствующих порталах администрирования (ChatGPT и API).

Переход рабочей области Business на более низкий тариф или отмена подписки при включенной SSO

Решение в данном случае заключается в том, что каждому пользователю необходимо воспользоваться функцией «Забыли пароль?», чтобы снова войти в систему, так как это единственный вариант.

Пользователи, управляемые через SCIM в Enterprise, присоединяются к рабочей области Business

Этот сценарий возможен и поддерживается. SCIM создает первоначальное приглашение в настроенную организацию или рабочую область. Как только пользователь появляется в системе OpenAI, ничто не мешает пригласить его в другие рабочие области Business/Enterprise. Это ожидаемое поведение не изменится с выпуском функции самостоятельной настройки SSO для тарифных планов Team.

Компании с несколькими доменами (например, acme.com и acme-intl.com)

В корпоративных рабочих областях можно верифицировать более одного домена электронной почты. Добавьте каждый домен в том же портале и завершите проверку для каждого домена, для которого вы планируете подключить SSO.

Домен уже верифицирован на платформе, но не в ChatGPT

IT-команда вашей компании может связаться с отделом продаж OpenAI через нашу форму «Связаться с отделом продаж», чтобы обсудить консолидацию рабочих областей. См. «Как связаться с отделом продаж OpenAI».

Администратор уходит из компании, не завершив верификацию домена

Убедитесь, что в рабочей области есть другой администратор или владелец, который может завершить верификацию домена.