OpenAI
Táto stránka bola strojovo preložená. Prečítaj si pôvodný článok v angličtine.

Prehľad SSO

Všeobecný prehľad SSO a jeho fungovania naprieč ChatGPT a platformou

Aktualizované: 2 days ago

Účel

Táto príručka má správcom a IT tímom poskytnúť potrebné informácie, ktoré treba zvážiť pred konfiguráciou SSO vo vašich účtoch ChatGPT alebo platformy. SSO je k dispozícii pre zákazníkov Business, Enterprise a Edu.

Základná architektúra a terminológia

SSO je v súčasnosti podporované prostredníctvom overenia SAML pre ChatGPT aj platformu API.

  • Pracovný priestor označuje inštanciu ChatGPT

  • Organizácia označuje inštanciu platformy API

  • Poskytovateľ identity (IdP) označuje službu, ktorú používate na správu digitálnej identity. Podporujeme pripojenia cez všetky IdP, ktoré podporujú SAML. Medzi najbežnejšie IdP, s ktorými sme sa prepojili, patria:

  • Okta

  • Azure Active Directory/Entra ID

  • Google Workspace

  • Duo

Úplný zoznam podporovaných IdP nájdete na stránke Integrácie služby WorkOS. Podporujeme všetky integrácie tretích strán na tejto stránke, ktoré možno pripojiť cez SAML alebo OIDC.

V súčasnosti má každý pracovný priestor ChatGPT priradenú zodpovedajúcu organizáciu platformy. To znamená, že ID organizácie (org-id), ktoré nájdete na stránke „Všeobecné“ platformy Enterprise, je rovnaké ID organizácie (org-id), ktoré je priradené k vášmu pracovnému priestoru Enterprise ChatGPT. V dôsledku toho váš pracovný priestor a organizácia zdieľajú rovnakú vrstvu overenia:

Diagram of an SSO identity platform connecting through OpenAI's authentication layer to ChatGPT Enterprise and OpenAI API

Z tejto architektúry vyplýva niekoľko kľúčových vecí, ktoré treba mať na pamäti:

  1. Jedno ID organizácie (org-id) môže podporovať iba jednu konfiguráciu IdP.

  2. Overenia domén a nastavenia SAML SSO sú zdieľané medzi ChatGPT a platformou API.

  3. SSO musí byť v ChatGPT a v platforme API povolené samostatne. Keď ho však nakonfigurujete v jednej z nich, „nastavenie“ tej druhej už zväčša znamená len prepnúť prepínač a v prípade potreby pridať aplikáciu so záložkou vo vašom IdP.

Začíname so SSO

Pred konfiguráciou SSO vo vašom účte je dôležité najprv porozumieť niekoľkým kľúčovým konceptom funkcie SSO od OpenAI.

Všeobecná terminológia identity

Zriaďovanie Keď OpenAI hovorí o zriaďovaní v kontexte používateľov, máme na mysli konkrétne zriaďovanie pozvánok. Priame zriaďovanie vytvárania používateľských účtov nepodporujeme. Pozvánky možno zriaďovať prostredníctvom:

  1. SCIM (podporované v integrácii ChatGPT SCIM aj v integrácii SCIM pre platformu API)

  2. Stránka „Členovia“ v ChatGPT alebo v platforme API

  3. Automatické vytváranie účtov

  4. API pre pozvánky

Zriaďovanie pozvánok je samostatný krok nezávislý od overenia vykonávaného cez SSO.


Overenie totožnosti – „Ste tým, za koho sa vydávate?“

Príklad: IdP overí používateľa pre našu službu, aby sme pri prihlásení vedeli, že je tým, za koho sa vydáva.


Autorizácia – „Čo smiete robiť alebo vidieť?“

Príklad: Keď vás váš IdP overí, určíme, ktorých pracovných priestorov ChatGPT ste členom.

Zoznámenie sa s nastaveniami SSO OpenAI

Overenie domény Ide o predpoklad na povolenie SSO a automatického vytvárania účtov. V podstate: „Vlastníte túto doménu?“

  1. Pri prihlasovaní cez chatgpt.com alebo platform.openai.com overená doména určuje, či používateľa presmerujeme na našu stránku s heslom alebo na jeho IdP, ak je zároveň nastavené SSO.

  2. Po overení domény vo vašom pracovnom priestore bude každý používateľ pozvaný do pracovného priestoru s e-mailom z tejto domény pri ďalšom prihlásení vyzvaný na zlúčenie svojho osobného účtu.

  3. Overenie ChatGPT je založené na doméne AJ pracovnom priestore – keď je doména overená a v pracovnom priestore je povolené SSO, na SSO budú presmerovaní iba používatelia v tomto pracovnom priestore, ktorí používajú danú doménu. Používatelia, ktorí používajú danú doménu, ale NIE SÚ súčasťou pracovného priestoru (t. j. používatelia účtov Free, Plus, Pro alebo Team z vašej domény), sa budú naďalej prihlasovať cez e-mail/heslo alebo sociálne prihlásenie.

  4. Overenie platformy je založené na doméne – keď je doména overená a SSO je povolené, všetci používatelia platformy pod touto doménou stratia možnosť prihlasovať sa heslom. Ďalšie podrobnosti nájdete nižšie v časti „Overenie domény v ChatGPT v porovnaní s platformou API“.

  5. Subdomény musia byť overené oddelene od domén najvyššej úrovne.

Aby sme mohli úspešne spracovať overenie vašej domény, váš záznam TXT musí byť čitateľný prostredníctvom vyhľadávania DNS.


(Iba ChatGPT) Automatické vytváranie účtov (AAC) Keď je povolené v pracovnom priestore ChatGPT, nový používateľ, ktorého e-mail zodpovedá overenej doméne alebo doménam, automaticky dostane pri registrácii pozvánku do pracovného priestoru Enterprise. Ak používate SCIM, neodporúčame povoľovať AAC.


(Iba ChatGPT) Povoliť pozvánky pre externé domény Toto nastavenie určuje, či možno do pracovného priestoru pozývať používateľov s neoverenými doménami. Používatelia z externých domén sa nebudú musieť prihlasovať cez SSO, pretože nastavenia SSO sa vzťahujú iba na používateľov patriacich k overenej doméne.


Povoliť SSO Toto nastavenie určuje, či sa nakonfigurované nastavenia SSO vzťahujú na pracovný priestor a/alebo organizáciu.


Vynútiť SSO

Keď je toto nastavenie vypnuté, používatelia s overenou doménou si môžu vybrať medzi prihlásením cez SSO alebo sociálnym prihlásením.

Globálni správcovia môžu nastaviť možnosť Vynútiť SSO na Povinné pre ChatGPT aj platformu API priamo zo stránky Spravovať SSO v konzole správcu. Keď je toto nastavenie zapnuté, používatelia s overenou doménou sa môžu do pracovného priestoru alebo organizácie s povoleným SSO prihlásiť iba cez SSO. Overenie heslom a sociálne overenie už pre pracovný priestor/organizáciu neplatia, ale naďalej ich možno použiť v iných pracovných priestoroch/organizáciách, v ktorých ich doména nie je overená.

Overenie domény v ChatGPT v porovnaní s platformou API

Ako už bolo uvedené, overenie domény sa uplatňuje naprieč zdieľanými inštanciami ChatGPT a platformy. Ak je však povolené SSO, existuje zásadný rozdiel v tom, ako overenie domény ovplyvňuje prihlasovanie do ChatGPT v porovnaní s platformou:

SSO na platforme API je úplne založené na doméne. To znamená, že keď je doména overená v ľubovoľnej organizácii a SSO je povolené, VŠETCI používatelia s touto doménou stratia možnosť prihlasovať sa heslom. Ak nemajú možnosť sociálneho overenia, nebudú mať prístup do svojich príslušných organizácií, pokiaľ nepatria do prístupovej skupiny IdP.

Na strane ChatGPT to naopak ovplyvní iba používateľov, ktorí patria do pracovného priestoru, v ktorom bola doména overená. Používatelia, ktorí nie sú v prístupovej skupine IdP, sa budú môcť do pracovných priestorov naďalej prihlasovať spôsobmi opísanými v ďalšej časti.

Skúsenosť vašich používateľov s prihlásením

OpenAI podporuje tri rôzne metódy overenia:

  1. Používateľské meno + heslo

  2. Sociálne overenie cez Microsoft/Google/Apple

  3. SSO

Majte na pamäti, že správanie sa bude líšiť podľa toho, či sa používateľ prihlasuje do ChatGPT alebo platformy API, či je jeho doména overená a či je v príslušných pracovných priestoroch/organizáciách vynútené SSO.

Prihlásenie iniciované poskytovateľom služby

Všetci používatelia môžu prejsť priamo na chatgpt.com alebo platform.openai.com a prihlásiť sa. Pri použití tejto možnosti možno jednotlivé metódy overenia spustiť tak, ako je uvedené nižšie:

Diagram of login methods grouped into Password, SSO with SAML, and Social providers like Google, Microsoft, and Apple

Ak používateľ patrí do viacerých pracovných priestorov vrátane takého, v ktorom bolo pre jeho doménu povolené SSO, zobrazí sa mu výzva na výber pracovného priestoru, do ktorého sa chce prihlásiť.

Prihlásenie do ChatGPT iniciované poskytovateľom služby

Ak zistíme, že zadaný e-mail patrí do pracovného priestoru, v ktorom je jeho doména overená, presmerujeme používateľa na jeho IdP na overenie. V opačnom prípade bude používateľ presmerovaný na prihlásenie zadaním hesla.

Ak používateľ patrí do viacerých pracovných priestorov vrátane aspoň jedného, v ktorom bolo pre jeho doménu povolené SSO, zobrazí sa mu výzva na výber spôsobu prihlásenia:

ChatGPT sign-in screen with two SSO workspace options plus Google, Microsoft, Apple, and password login

Poznámka: ak bolo pre konkrétny pracovný priestor povolené nastavenie „Vynútiť SSO“, používatelia s overenou doménou sa môžu prihlasovať iba cez SSO. Sociálne overenie a overenie heslom nebudú k dispozícii.

Prihlásenie na platforme iniciované poskytovateľom služby

Ako už bolo spomenuté, keď používateľ s overenou doménou zadá svoj e-mail na prihlasovacej stránke platformy, bude vždy presmerovaný na svoj IdP na overenie.

Preto je kľúčové, aby ste tomu pred povolením SSO pre platformu dobre rozumeli. Inak je veľmi jednoduché omylom zablokovať prístup používateľom platformy s osobnými účtami.

Prihlásenie iniciované IdP

Pri konfigurácii SSO z príslušných stránok identity nájdete jedinečnú URL dlaždice poskytnutú pre ChatGPT aj platformu API:

Tieto URL dlaždíc možno nakonfigurovať vo vašom IdP, aby sa používatelia mohli automaticky prihlásiť/overiť jedným kliknutím.

Ďalšie kroky

Teraz, keď máte dobrý základ v našej architektúre, prejdite na stránku „Pochopenie ideálneho nastavenia správy používateľov“, aby ste určili ideálnu implementáciu pre svoj prípad použitia. Následne vás prevedieme konfiguráciou SSO a SCIM vo vašom účte.

Bol tento článok užitočný?